Enterasys Networks Solution Guide 2013/2014

Transkript

1 SOLUTION GUIDE 2013/2014 1

2 Inhaltsverzeichnis Enterasys Networks Solution Guide 2013/2014 Vorwort... 7 Hinweis für alle Leser... 8 Wir über uns... 9 Weitere Informationen...10 Die OneFabric Lösung von Enterasys Die OneFabric Architektur Kapitel 1 Grundlagen Netzwerk & Security Authentisierung als Maßnahme zum Schutz des Netzwerks Authentifizierungsmethoden der technische Ansatz Policy Enforcement...21 RFC 3580 Der kleinste gemeinsame Nenner?...21 Policies MUA+P (Multi User Authentication and Policy) Sicherer Gastzugang mit Default Policies RFC 3580 und Distribution Layer Security Port Protection Policy Enforcement in der Praxis Konvergenz der Netze Quality of Service und Verfügbarkeit QoS (Quality of Service) im Netzwerk Power over Ethernet Redundanz IPv SNMP (Simple Network Management Protocol) MPLS (Multi Protocol Label Switching) Software Defined Networking (SDN) Die Enterasys SDN-Lösung Kapitel 2 - OneFabric Edge Enterasys A/B/C-Serie

3 Enterasys A Technische Eigenschaften Redundante Stromversorgung Equipment Spezifikationen Bestellinformationen Enterasys A4 Features, Standards und Protokolle Unterstützte Funktionalitäten Enterasys B5/C Enterasys C5/B5 Features, Standards und Protokolle Technische Eigenschaften Redundante Power Supply Equipment Spezifikationen Bestellinformationen Enterasys D-Serie Unterstützte Funktionalitäten Enterasys G-Serie Unterstützte Funktionalitäten Enterasys K-Serie Standards und Protokolle Spezifikationen Bestellinformationen Enterprise Mobility WLAN High Density & Performance Best Practise Sicherung von WLAN Netzen Voice over WLAN QoS & Security Lokation-Tracking in WLAN Netzen n & ac - Next Generation WLAN Standard Enterasys IdentiFi WLAN Enterasys IdentiFi WLAN Access Points IdentiFi 3705 Indoor Access Points Spezifikationen Bestellinformationen

4 IdentiFi 3710 & 3715 Indoor APs Spezifikationen Bestellinformationen IdentiFi 3765 & 3767 Industry / Outdoor APs Spezifikationen Bestellinformationen Enterasys IdentiFi WLAN Controller Enterasys IdentiFi Radar Enterasys IdentiFi Wireless Management (WM) Enterasys IdentiFi Wireless Antennen Kapitel 3 - OneFabric Data Center Applikationsverfügbarkeit als Technologietreiber Die Komponenten von Enterasys OneFabric Data Center Virtualisierung Data Center Bridging Virtual Switch Bonding Fabric Core Mesh Layer Fabric Core Mesh Layer Applikationsawareness Zusammenfassung Physikalische Designs im Data Center Tier oder 3-Tier Design? End-of-Row versus Top-of-Rack Überbuchung im Design Logische Designs im Data Center Protokolldesign der Server-Edge/Access-Switches Protokolldesign der Core-Switches Virtuelle Welten Enterasys S-Serie I/O Module Spezifizierung

5 Features, Standards, Protokolle Maße der Chassis der S-Serie Bestellinformationen Enterasys 7100 Serie Standards und Protokolle Spezifikationen Bestellnummern Kapitel 4 - OneFabric Security Detect and Locate Angriffe IDS Erkennungstechnologien Hostbasierte Erkennung versus netzwerkbasierte Erkennung Host Intrusion Detection/Prevention (HIDS/HIPS) Network IDS/IPS IDS versus IPS versus DIPS Enterasys Intrusion Defense System Information and Event Management Enterasys Security Information & Event Manager (SIEM) SIEM Appliances Respond and Remediate Assisted Remediation mit ToS-Rewrite Proactive Prevention / NAC Definition von NAC Der Prozess NAC Lösungsansätze Enterasys Network Access Control / Identity & Access Management Bring Your Own Device (BYOD) OneFabric Connect Kapitel 5 - OneFabric Control Center Die NetSight Komponenten

6 Console (CN) Policy Management (PM) Automated Security Management (ASM) Inventory Management (IM) OneView Wireless Management (WM) Lizenzierung von Enterasys OneFabric Control Center und NetSight MDM Mobile Device Management OneFabric Connect API Kapitel 6 - SMB Switching Enterasys 800-Serie Unterstützte Funktionen Spezifikationen Bestellnummern Kapitel 7 - Dienstleistungen Enterasys SupportNet: Wartungslösungen Schulungs- und Zertifizierungskonzept Weitere Informationen Literaturhinweise Social Media Downloads DMS Enterasys Knowledgebase Enterasys GTAC

7 Vorwort Enterasys Networks Solution Guide 2013/2014 Sehr geehrte Leserin, sehr geehrter Leser, Wie auch im letzten Jahr steht dieser Solution Guide unter dem Motto unserer OneFabric Architektur und präsentiert Ihnen neue Trends, Technologien und Produkte. OneFabric hat im letzten Jahr mit IdentiFi und IdentiFi Adapt einen nicht unwesentlichen Zuwachs bekommen unsere neue WLAN Produktlinie, auf welche wir in dieser Ausgabe näher eingehen werden. Aber dies war nicht die einzige Neuerung, die die letzten Monate mit sich brachten: von Mobile IAM, unserer BYOD-Lösung über OneFabric Connect SDN (Software Defined Networking) bis hin zu OneFabric Data Center mit den neuesten Produkten und Lösungen für das Rechenzentrum und eine komplette Erneuerung der S-Series Produktfamilie. All diese Themen werden natürlich in dieser Ausgabe des Solution Guides ausführlich behandelt. Wenn Sie ein eifriger Leser unserer letzten Solution Guides waren, wird Ihnen sicherlich die überarbeitete Gliederung auffallen: Diese folgt nun unserer OneFabric Architektur und behandelt die einzelnen Komponenten als eigenständige Kapitel. Details zu den Produkten wie Spezifikationen oder Bestellnummern finden Sie wie gewohnt am Ende des jeweiligen Abschnitts. Wir wünschen wir Ihnen in altbekannter Manier ein informatives Lesevergnügen! Ihr Enterasys Team 7

8 Hinweis für alle Leser Enterasys Networks Solution Guide 2013/2014 Das Lösungsportfolio von Enterasys Networks wird kontinuierlich weiter entwickelt, deshalb kann es jederzeit zu Änderungen des bestehenden Lösungsportfolio kommen. Die aktuellsten Informationen finden Sie auf der Enterasys Networks Homepage unter Für ein persönliches Gespräch stehen wir Ihnen in unseren Niederlassungen jederzeit gerne zur Verfügung: Frankfurt am Main +49 (0) Berlin +49 (0) Leipzig +49 (0) Zürich +41 (0) Einen vollständigen Überblick über alle Büros und Kontake weltweit finden Sie unter: Informationsstand:

9 Wir über uns Enterasys Networks Solution Guide 2013/2014 Kurzprofil Enterasys Networks, ein Tochterunternehmen von Siemens Enterprise Communications, gehört zu den am schnellsten wachsenden Unternehmen im Netzwerkbereich. Das Portfolio umfasst patentierte drahtgebundene und drahtlose Lösungen für Netzwerk- Infrastrukturen sowie für die IT-Sicherheit und das -Management. Enterasys OneFabric gilt als erste fabric-basierte Netzwerklösung und schafft Transparenz und Kontrolle über virtuelle Server bis hin zu mobilen Endgeräten für Cloud Computing und Data Center- Umgebungen. Enterasys stellt seinen Kunden durchgängig leistungsfähige Netzwerke und erweiterte Sicherheit für geschäftskritische Applikationen vom Data Center bis zum Endanwender bereit alles aus einer zentralen Konsole heraus. Seit dem 01. Oktober 2008 ist Enterasys Teil des Joint Ventures Siemens Enterprise Communications Group unter der Führung von The Gores Group. Das Joint Venture ist ein Anbieter von Hardware, Software und Services für sichere, service-orientierte Netzwerke, die auf der Basis von Standards Open Communications ermöglichen. Enterasys hat seinen Hauptsitz in Salem, NH, USA, und betreut den globalen Kundenstamm über Niederlassungen in mehreren Ländern. Das Unternehmen beschäftigt weltweit mehr als Mitarbeiter. Weitere Informationen zu finden Sie unter Innovative Technologie Unsere Netzwerkinfrastruktur-, Management- und Netzwerksichheitslösungen bieten einen einzigartigen Level an Automatisierung, Flexibilität, Transparenz und Kontrolle im Netz, die Ihre IT-Effizienz und Nutzer-produktivität verbessern. Sichere Netzwerke sind die Grundlage für eine flexible Infrastruktur und ein Servicemodell: Benutzer, Systeme, Applikationen, Event Management, automatisierte Kontrolle und die Möglichkeit aktiv auf Ereignisse antworten zu können. Eine flexible Infrastruktur stellt einen authentifizierten Zugang an allen Punkten zur Verfügung, an denen ein Zugriff auf Ressourcen erfolgt, und verringert mit einer dynamischen Autorisierung die Angriffsfläche für Denial of Service Attacken. Zusätzlich sichert eine flexible und zuverlässige Infrastruktur die Verfügbarkeit von Applikationen und sichert für geschäftkritische Anwendungen die entsprechenden Bandbreiten. 9

10 Weitere Informationen Enterasys Networks Solution Guide 2013/2014 Unser Management Team Chris Crowell Enterasys President & CEO Edward Semerjibashian SVP & Managing Director CEE, ME, Russia/CIS & APAC Pressekontakte Markus Nispel Chief Technology Strategist Marco Mautone Marketing Manager CEE Solmsstraße Frankfurt am Main Telefon: Fax:

11 Die OneFabric Lösung von Enterasys Unified Computing hat - sowohl als Management-Modell als auch als Rechenzentrumstopologie - Auswirkungen auf den traditionellen Netzwerkmarkt. Virtualisierung ist mittlerweile zu einer etablierten Technologie geworden und hat für eine Zentralisierung der Ressourcen im Rechenzentrum gesorgt. Folgerichtig steigen die Speicheranforderungen an die EDV und somit die Dichte an Ports, die Bandbreite und natürlich vor allem die Kosten des Managements. Wesentlich dabei ist, dass die Einheitslösung der Mainframe-Ära durch das Bedürfnis ersetzt wurde, hochqualifizierten Nutzern verschiedene Anwendungen mit vielen Funktionen schnell zur Verfügung zu stellen. Das bedeutet, dass ein gut funktionierendes Rechenzentrum nicht mehr ausreicht, um die Anforderungen des täglichen Geschäfts abzudecken stattdessen muss der Fokus darauf liegen, Anwendungen durchgehend zur Verfügung zu stellen, End-to-End Application Delivery ist hier das Schlagwort. OneFabric von Enterasys ist eine innovative Architektur, die Einfachheit, Skalierbarkeit und Kontrolle für komplexe IT Infrastrukturen bietet. Mit OneFabric kann das Netzwerk zusammen mit den Unternehmensanforderungen wachsen, ohne die Hochverfügbarkeit oder die geringen Latenzeiten negativ zu beeinträchtigen. Durch Verankerung von Informationen in allen Bereichen des Netzwerks liefert OneFabric eine nutzerbasierte Policy Kontrolle Durchsatzbeschränkungen, Priorisierung und Filterung auf Anwendungsebene basierend auf der Identität des Nutzers, der Anwendung oder des Geräts. OneFabric zentralisiert die Visibilität und Kontrolle des gesamten Netzwerkes durch die Erstellung einer einzigen Netzwerkumgebung. Diese zentralisierte Visibilität ermöglicht die Zusammenarbeit der verschiedenen IT-Abteilungen, was wiederum kostspielige Fehler und Fehlplanungen der Ressourcen verhindert, die typischerweise im operativen Arbeitsablauf entstehen. Eingebettete, automatisierte Eigenschaften verbessern die Bereitstellung der Anwendungen für dynamische IT-Umgebungen indem sie Cloud, Virtualisierung, Server-/Storagekonsolidierung und die sogenannte Consumerization of IT wirksam nutzen. Die einst schwierige Aufgabe des Provisioning und De-Provisioning von Servern und Netzwerkinfrastrukturen wird mit OneFabric vereinfacht: Lokal festgelegt und global duruchgeführt bedeutet eine signifikante Skalierung, verbesserte Effizienz sowie zuverlässigere und erfolgreiche Application Delivery. 11

12 Die OneFabric Architektur Enterasys Networks Solution Guide 2013/2014 Management und Control OneFabric Control Center: Einheitliche, SDN basierende Management Suite für jede Netzwerkinfrastruktur OneFabric Core / Data Center: Leistungsfähige und -starke Router für große, verteilte Netzwerke sowie Anforderungen nach hoher Geschwindigkeit und Bandbreite OneFabric Edge: Offener und sicherer Zugang für kabelgebundene und kabellose Geräte OneFabric Security: Lösungen für Security-Herausforderungen im Unternehmensnetzwerk 12

13 Kapitel 1 Grundlagen Netzwerk & Security Sicherheit gehört heute zu den wichtigsten Anforderungen an Netzwerke, denn sie werden zunehmend zur universellen Plattform für Kommunikation und Geschäftsprozesse in Unternehmen, mithin zur kritischen Ressource. Demzufolge können digitale Angriffe und digitale Spionage betroffenen Firmen nachhaltig schaden. Mit der Einführung der auf Standard IEEE 802.1x aufbauenden Secure Networks Strategie, die Enterasys mittlerweile seit Jahren erfolgreich verfolgt, hat Enterasys ein neues Sicherheitszeitalter für Netzwerke eingeläutet und setzt bis heute Maßstäbe. Gartner betrachtet Enterasys deswegen als Technologieführer im Bereich Netzwerksicherheit Eine sichere, holistische IT-Infrastruktur besteht aus fünf Säulen: gesicherter Netzzugang (Access Control) Authentifizierung als Netzwerkschutz Festlegung von Nutzungsregeln und ihre Durchsetzung (Policy Enforcement) standardbasierte Konvergenz und Hochverfügbarkeit Software-Defined Networking Für alle fünf Säulen bietet Enterasys eigene Produkte an. Sie sollen helfen, die Kernziele des Secure Networking zu erreichen: Zugangsbeschränkung auf authentifizierte Nutzer präventive Angriffsverhinderung 13

14 Reaktion auf Angriffe auf User-, nicht nur auf Gerätebasis Absicherung von Netzwerken unterschiedlicher Hersteller Bereitstellung von Compliance-Hilfsmitteln Einige Worte zum erstgenannten Punkt: Ein wesentliches Ziel von Secure Networks besteht darin, Unbefugte von Ressourcen fernzuhalten. Sicherheitslevel und Zugriffsniveau der User werden dabei in Abhängigkeit zum Sicherheitslevel des benutzten Geräts definiert. Greifen authentifizierte oder nicht authentifizierte Anwender auf Ressourcen im Netzwerk zu, werden diese Angriffe durch verschiedene Technologien erkannt, verifiziert und verhindert. Nach der Abwehr des Angriffs wird der Angreifer aus dem Netzwerk verbannt oder er bekommt neue, eingeschränkte Zugriffsrechte. Ein umfassendes Technologiespektrum garantiert maximale Sicherheit. So können auch Angriffe auf sehr komplexe und neuere Technologien (wie Voice over IP) erkannt und verhindert werden. In der Praxis gilt es, die verschiedenen Lösungselemente in ein durchgängiges Konzept zu integrieren und die einzelnen Umsetzungsschritte für Implementierung und Betrieb festzulegen. Dabei reicht die Frage nach der Realisierbarkeit der möglicherweise einsetzbaren Schutzmaßnahmen weit über Features und Algorithmen hinaus. Denn nicht alles, was technisch möglich ist, ist auch praktikabel. Sicherheit und freie Kommunikation sind auf den ersten Blick Antagonisten. Sicherheitsregeln, die Anwender unzumutbare Prozeduren auferlegten (mehrfache Anmeldung, geringe Flexibilität), hemmen die Produktivität des Unternehmens und werden dauerhaft nicht akzeptiert. Doch den Befürchtungen, Netzwerksicherheit sei aufwändig, unangemessen kompliziert oder gefährde gar den kontinuierlichen Betrieb einer IT Infrastruktur, kann man durch geeignete Ansätze begegnen. In der Praxis hat sich gezeigt, dass der zusätzliche, administrative Aufwand einer sicherheitsbasierten Netzwerklösung durch Werkzeuge kompensierbar ist, die Transparenz und ein möglichst einfach zu handhabendes Management garantieren. Im Gegensatz zur Administration einzelner Netzwerkkomponenten bieten datenbankbasierte Management- Systeme, wie Enterasys sie verwendet, Templates und Policies, mit denen eine flächendeckende Anpassung des Netzes an sich ändernde Anforderungen rationell möglich ist. Die folgenden Abschnitte beschreiben die Grundzüge der fünf Säulen der Secure Networks -Strategie und erklären, welche Beiträge die verschiedenen Komponenten beim Aufbau einer ganzheitlichen Security- Infrastruktur leisten. 14

15 Authentisierung als Maßnahme zum Schutz des Netzwerks Authentisierung war in Netzwerken immer wichtig. Umso mehr gilt dies angesichts der Flut immer neuer mobiler Endgeräte. Denn durch eine größere Auswahl innovativer Mobilsysteme, Spachdienste, Facility Management sowie, die Integration industrieller Produktionsanlagen in übergreifende Netzwerke, ist mit einer Verdopplung der Endgeräte im Netz zu rechnen. Die Systeme lassen sich nur teilweise mit bewährten Sicherheitsmechanismen, wie Personal Firewalls, Virenscannern und einem gehärteten Betriebssystem ausstatten. Monolithische Komponenten wie IP-Telefone, Webcams und Industriesteuerungen, liegen ebenso außerhalb des administrativen Zugriffs wie die Notebooks externer Mitarbeiter und Studenten. Medizinische Geräte, Analyse- und bildgebende Systeme (Röntgen und MRT) unterliegen eigenen Sicherheitsrichtlinien. Die Modifikation ihres Betriebssystems durch geeignete Sicherheitsupdates erfordert in der Regel eine Neukalibrierung und Rezertifizierung des Systems und lässt sich deshalb in der Praxis kaum zeitnah ausführen. Derart heterogene Endgerätelandschaften sind ein zunehmend unkontrollierbarer Risikofaktor fürs das Unternehmen. Zudem standen bisher bei Sicherheitsbetrachtungen meist externe Verbindungen, etwa zum WAN oder Internet, im Mittelpunkt. Die Übergabepunkte zu diesen Netzen mit Firewalls, Virenschutz und Content-Filtern auszurüsten, gehört mittlerweile zum üblichen Standard. Ganzheitlich betrachtet, müssen allerdings interne Angriffe in die Risikobetrachtung einbezogen und entsprechende Maßnahmen ergriffen werden. Hier helfen intelligente Komponenten und Lösungen, die das Netzwerk als unternehmenskritischen Produktionsfaktor auch gegen Bedrohungen aus dem Unternehmen selbst heraus schützen. Authentifizierungsmethoden der technische Ansatz Mit Access Control haben nur zugelassene Endgeräte aller Art genehmigten Umfang Zugriff aufs Netzwerk. Anwender an Endgeräten können sich unabhängig von deren Betriebssystem interaktiv authentifizieren. Viele Switche und die meisten Betriebssysteme für PCs und Workstations unterstützen heutzutage den Authentifizierungsstandard IEEE 802.1x. Allerdings erfordert ein ganzheitlicher Lösungsansatz, dass lückenlos alle Endgeräte im 15

16 Netz erkannt werden. Dies ist nur möglich, wenn auch alternative Authentisierungsmethoden zur Verfügung stehen. Dieser Ansatz soll hier detailliert beleuchtet werden. IEEE 802.1x im Detail IEEE 802.1x liefert ein komplettes Authentifizierungs-Framework für die portbasierende Zugriffskontrolle. Das Modell umfasst folgende funktionale Rollen: Supplicant ist das Endgerät, das einen Netzwerkzugang anfordert. Authenticator ist das Gerät, das einen Supplicanten authentifiziert und den Netzwerkzugang sperrt oder freigibt. Authentication Server ist das Gerät, das den Authentifizierungsdienst im Hintergrund (zum Beispiel RADIUS, Remote Access Dial In User IdentiFication System) bereitstellt Insbesondere weil WLANs (Wireless LANs) eine sicheren Zugangs und Verschlüsselungsmechanismus (802.11i und WiFi WPA (Wireless Protected Access) ) brauchten, hat sich IEEE 802.1x im WLAN durchgesetzt und wird nun immer öfter auch in herkömmlichen Netzwerken verwendet. Dabei nutzt 802.1x bestehende Protokolle wie EAP (Extensible Authentication Protocol) und RADUIS, die empfohlen, aber nicht vorgeschrieben sind x arbeitet mit Ethernet, Token Ring und IEEE zusammen. Im Standard sind vielfältige Authentifizierungsmechanismen wie Zertifikate, Smart Cards, One-Time-Passwörter oder biometrische Verfahren vorgesehen. EAP garantiert Flexibilität. Das Protokoll erlaubt in der von Microsoft favorisierten Variante für RAS VPN (Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2 Tunneling Protocol) die einheitliche Authentifizierung eines Nutzers über LAN-, WLANund WAN-Infrastrukturen. 16

17 Die eigentliche Authentifizierung erfolgt durch die Weiterleitung der EAP-Pakete mittels EAP-RADIUS (RFC 2869) an einen RADIUS-Server. Dieser kann wiederum je nach Hersteller Schnittstellen zu Verzeichnisdiensten wie ADS (Active Directory Service) von Microsoft oder Novell s NDS über LDAP (Lightweight Directory Access Proptocol) oder XML sowie Plug-Ins für die Integration von Secure-ID-Cards haben. Je nach Anforderung und Applikation sind viele EAP-Protokolle geeignet (siehe Tabelle). Client Server Authentisierung Dynamisches Key Management MD5 Klartextübertragung von User Daten; nur selten genutzt Nein Nein PEAP Einbindung von MS-CHAPv2 Ja Ja EAP-TLS Zertifikatsbasiertes Verfahren, benötigt PKI Ja Ja EAP- TTLS Aufbau eines verschlüsselten, authentisierten Tunnels zwischen Sender und Empfänger Ja Ja NAC (Network Access Control) lässt sich also in der Praxis mit bestehenden Authentisierungsinstanzen flächendeckend und benutzerfreundlich realisieren. Protokolle für die Übertragung von Verschlüsselungsdaten MD5 Weil die Übertragung unverschlüsselter Authentifizierungsdaten unsicher ist, wird die ursprüngliche Methode MD5 heute nur noch in Ausnahmefällen genutzt. PEAP (Protected Extensible Authentication Protocol) Diese gebräuchlichere Microsoft-Variante besitzt im Grunde die schon vorhandenen EAP- TTLS (Tunneled Transport Layer Security Protocol). Auch hier benötigt der Authentifizierungsserver ein Zertifikat und es wird zuerst die Verschlüsselung aufgebaut, bevor eine IdentiFizierung mit User Name/Passwort stattfindet EAP-TLS EAP-TLS (RFC 2716) bietet starke kryptografische Authentifizierungsmethoden des Clients gegenüber dem Netzwerk. Client und Anmeldeserver präsentieren sich 17

18 gegenseitig kryptografische Zertifikate, um ihre Identität wechselseitig zu beglaubigen. Voraussetzung dafür ist eine PKI (Public Key Infrastructure), die mit dem Directory verbunden ist. Die entsprechenden Zertifikate müssen auf dem Client verfügbar sein und werden in der Regel auf einer Smart Card gespeichert. Zusammen mit einer mehrstelligen PIN-Nummer ist das die optimale Sicherheitslösung. EAP-TTLS (Tunneled TLS) EAP-TTLS wurde unter anderem von Funk Software und Certicom aus TLS entwickelt. Der Tunneling-Mechanismus ähnelt einem mit SSL (Secure Socket Layer) verschlüsselten Webserver. Anders als bei EAP-TLS braucht nur der Anmeldeserver ein eindeutiges, digitales Zertifikat, das der Client beim Verbindungsaufbau überprüft. Web Authentifizierung Auf Endgeräte externer Mitarbeiter (Gäste, Service Personal, Studenten) können Administratoren nicht zugreifen und sie beispielsweise so konfigurieren, dass eine sichere Authentifizierung möglich ist. MAC Authentication Eine Herausforderung sind Endgeräte ohne standardbasierte Authentisierungsfunktionen, zum Beispiel Drucker, IP Telefone und Industrieanlagen. Authentifizierungsmethoden, die MAC (Media Access Layer)-Adressen verwenden und die automatische Endgeräteklassifizierung durch Protokolle wie CEP (Convergent Endpoint Detection) und LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) sind grundsätzlich eine schwächere Sicherheitsbarriere, da sie sich mit verhältnismäßig einfachen Mitteln kompromittieren lassen. Deshalb reicht es nicht, nur zu entscheiden, ob ein Endgerät zugreifen darf oder nicht. Vielmehr müssen differenziertere Mechanismen her. Die Kombination von Authentisierung und Zugangsregeln (Access Policies) gewährt individuell eingeschränkte Zugangsrechte. Beispielsweise kann man so den Netzzugriff eines Druckers, der sich über eine MAC- Adresse authentifiziert, auf die Kommunikation mit dem zugewiesenen Printserver beschränken. Versucht jemand mit Hilfe dieser MAC-Adresse einen Angriff, ist dessen Erfolg deutlich eingeschränkt. CEP (Convergent Endpoint Detection) Mit Telefonerkennung (Phone Detection) erkennt das Netzwerkmanagement automatisch ans Netz angeschlossene IP-Telefone und setzt passende Parameter für 18

19 Quality of Service. Zum Beispiel kann dessen Datenverkehr via IEEE 802.1p gekennzeichnet und damit höher priorisiert werden als anderer Datenverkehr. LLDP (Link Layer Discovery Protocol,IEEE 802.1ab) Wenn Netzkomponenten sich gegenseitig über ihre Identität und Eigenschaften austauschen, optimiert das ihr Zusammenspiel und ermöglicht die Visualisierung von Layer-2-Verbindungen in grafischen Netzwerk-Management-Tools. Die verwendeten proprietären Discovery Protokolle (CDP, EDP) waren aber nur eingeschränkt interoperabel. Deshalb ratifizierte die IEEE 2005 das herstellerunabhängige Link Layer Discovery Protokoll (IEEE 802.1ab). Unterstützen die Netzwerkkomponenten durchgängig LLDP lässt sich komplette Layer-2- Netzwerktopologie komplett rekonstruieren und neue Netzwerkkomponenten werden automatisch erkannt. LLDP ist einfach erweiterbar. Ein Beispiel hierfür ist LLDP-MED. Dieses Protokoll erkennt automatisch Netzwerkeinstellungen von Endgeräten wie VLAN Priorität oder DiffServ- Werte. Dies erleichtert die Integration spezieller Endgerätetypen, beispielsweise von IP Telefonen. Außerdem helfen LLDP-Informationen, Secure-Networks TM -Policies automatisch zuzuordnen. Multiuser Authentication Als Mitautor der IEEE 802.1x-Standards und Wegbereiter sicherer LANs hat Enterasys Networks sehr bald auch bereits existierende Produkte nachträglich mit den erforderlichen Funktionen ausgerüstet. Diese Strategie reicht zurück bis zur zweiten Generation der Cabletron SmartSwitch- Komponenten aus dem Jahr 1998, welche über die notwendigen Authentisierungsmöglichkeiten verfügen In gewachsenen, heterogenen Netzwerken haben meist nicht alle Access-Komponenten Authentifizierungsfeatures. Die Enterasys-S-Serie löst dieses Problem durch eine integrierte Multiuser-Authentifizierung. Damit können sich auf den Uplinks Tausende User individuell authentifizieren. 19

20 Bekannte Topologien, aber auch neuartige Fiber-to-the-Office-Konzepte mit simplen Kanal-Switches im Zugangsbereich des Netzes, sind so flächendeckend realisierbar. Dabei ist zu berücksichtigen, dass die simplen Access-Switches die bei der IEEE x Anmeldung verwendeten EAPoL (EAP on LAN)-Pakete weiterleiten müssen (EAP- Passthrough). Alle Enterasys SecureStack-Systeme unterstützen diese Funktion. Bei älteren Komponenten ist sicherzustellen, dass EAP-Passthrough ebenfalls möglich ist. Manchmal muss man dafür das Spanning-Tree-Protokoll ausschalten oder ähnliche Konfigurationsänderungen vornehmen. Multi-Method-Authentication Die Enterasys S-Serie kann mehrere User gleichzeitig auf einem Port authentifizieren und jedem eine eigene Policy zuweisen. Außerdem ist es möglich, verschiedene Authentifizierungsmethoden gleichzeitig auf demselben Port zu betreiben. Normalerweise geht man davon aus, dass jedes Gerät/jeder Anwender sich nur einmal authentifiziert; also der stationäre Anwender an seinem PC über IEEE 802.1x, der Gast mit seinem Laptop über PWA (Port Web Authentication), der Drucker basierend auf MAC- Authentication. Aber was passiert, wenn der PC gleichzeitig über IEEE 802.1x und MAC-Authentication angemeldet ist und sich die Profile der Authentifizierungsmechanismen widersprechen? Abgesehen davon, dass dann das Security Design und die Zugangsregeln überarbeitet werden sollten, hat Enterasys dieses Problem im Griff. Die Anmeldung läuft über so genannte Authentication Sessions. Hat ein Anwender mehrere dieser Sessions offen, so wird nur eine wirklich genutzt. Bis zu drei Sessions gleichzeitig sind möglich, denn ein User kann über IEEE 802.1x, PWA oder MAC- Authentifizierung angemeldet sein. Die Authentifizierungsmethoden werden nach Prioritätsregeln angewandt. Die vorgegebenen Prioritäten sehen folgendermaßen aus: 1. IEEE 802.1x 2. Port Web Authentication 3. MAC Authentication 4. CEP (Convergent Endpoint Detection) Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x authentifiziert, aber basierend auf seiner MAC-Adresse läuft auch MAC-Authentication im Hintergrund, da beide Methoden auf dem Port aktiviert sind. Da die 802.1x-Session höhere Priorität hat als die MAC-Session, wird diese angewandt und dem Anwender die entsprechende Rolle zugewiesen. 20

21 MACSec IEEE 802.1ae Der MACSec Standard, der am 8. Juni 2006 verabschiedet wurde, sichert in der IEEE- 802-Welt die Integrität jedes übertragenen Datenpakets und dessen Authentizität. Außerdem dient MACSec zur Abwehr von Lauschangriffen auf die transportierten Daten. Hierbei übernimmt MACSec, implementiert zwischen Endsystemen und dem nächsten Switch oder seltener zwischen Switchen, die Hop-by-Hop -Verschlüsselung, Authentifizierung und Integritätsprüfung. Der ergänzende Standard für das notwendige Schlüsselmanagement (IEEE 802.1af) ist noch nicht verabschiedet. Die Hersteller von MAC-Phy s versprechen sich von IEEE 802.1af mehr Geschäft, da komplexe Chips mit integrierter Verschlüsselung teurer angeboten werden können. Allerdings erwarten viele Fachleute, dass diese Lösung erst dann breit angewendet wird, wenn die Preise solcher Chips vergleichbar mit bestehenden MAC Phy s sind. Die potentiellen Anwendungsbereiche von MACSec in Kombination mit IEEE 802.1af sind vielfältig. Dazu gehören die sichere Trennung von Kunden, die sich in der gleichen Layer-2-Domain eines Serviceproviders bewegen (Ethernet First Mile, etc.), die Sicherung von Metronetzen, die Unternehmen verbinden, erweiterte Sicherheitsfeatures für IEEE x-Unternehmensinstallationen mit Verschlüsselung und Integritätswahrung zwischen Endgerät und Switch (vergleichbar mit WLANs unter IEEE ) sowie die Garantie, dass nur vertrauenswürdige Geräte ins Netz eingelassen werden. Policy Enforcement Die eindeutige Authentifizierung eines Geräts oder Benutzers ist eine wichtige Komponente der Access Control. Ist sie gelungen, müssen den nun eindeutig erkannten Geräten/Benutzern Regelwerke zugewiesen werden, die alle Zugriffsrechte und Zugänge eindeutig definieren und kontrollieren. Schon die unterschiedlichen Authentifizierungsmöglichkeiten zeigen, dass die Technologie hier ein sehr differenziertes Vorgehen erlauben muss. Der Administrator darf Rechte und Zugang nur genau in dem Umfang einräumen, in dem individuellen Nutzern oder Endgeräten Vertrauen entgegengebracht wird. RFC 3580 Der kleinste gemeinsame Nenner? Oft wird aus dem Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abgeleitet. Doch dies birgt zahlreiche Unzulänglichkeiten. So widerspricht es bereits dem allgemeinen Trend zu gerouteten Segmenten, den gesamten Campus mit weitverzweigten Layer-2-Segmenten auszurüsten. Werden Anwender oder Anwendergruppen mit VLANs assoziiert, entsteht in der Praxis 21

22 mindestens eine umfangreiche Gruppe von Standard-Usern. Vor ihnen ist zwar der Netzwerkkern durch entsprechende Zugangskontrolllisten geschützt, sie können aber untereinander unbegrenzt kommunizieren. Wurde eines der Endsysteme dieser Nutzergruppe durch Schadsoftware kompromittiert, kann sich der Schädling in der gesamten Gruppe verbreiten. Deshalb sollte man bereits am ersten Access-Port entscheiden, welche Informationen überhaupt in das Netzwerk eingespeist werden dürfen. Policies Verteilte Zugriffsinformationen mit Bordmitteln zu pflegen, ist für jeden Administrator eine kaum zu bewältigende Herausforderung. Enterasys stellte mit dem NetSight Policy Manager schon 2001 ein Werkzeug dafür vor. Damit lassen sich komplexe Regelwerke, unterstützt von einer dreistufigen Hierarchie, baukastenförmig erstellen und verbreiten. Policies Hierarchisches Regelwerkzeug Die oberste Ebene dieser Hierarchie ergibt sich aus der Rolle, die ein Benutzer in der Struktur des Unternehmens spielt. Da diese Rolle bereits anhand der User-Management- Regeln der zentralen Betriebssystemplattform erkennbar ist, liegt es nahe, schon bei der Authentifizierung auf diese Informationen zuzugreifen. Unterhalb dieser Ebene sind Services definiert, die grob beschreiben, was der Benutzer tun darf und was nicht. Sie setzen sich aus einzelnen Regeln zusammen, die den Datenverkehr zunächst nach Kriterien der Layer 2, 3 und 4 klassifizieren. Passt eine Regel, wird eine zugewiesene Aktion ausgeführt: Access Control Zugriffe zulassen oder verwerfen Kennzeichnen des Frames mit einer definierten VLAN-ID Veränderung von Parametern zur Servicequalität (QoS) 22

23 Begrenzung der Bandbreite (Rate Limiting, pro Port, Applikations-Flow, Protokoll, Nutzer IP oder MAC) Mit dem Policy Manager kann man ein derartiges Konstrukt aus Rollen und Regeln zusammenstellen und per SNMP (Simple Network Management Protocol) an alle Netzwerkkomponenten verbreiten. Dass Zugriffsinformationen im gesamten Access- /Distributionsbereich verfügbar sind, garantiert hierbei Skalierbarkeit. Granularität der Secure Networks Policies Die Stärke des Policy Enforcement bei Secure Networks liegt in der Kombination von Authentisierung, Klassifizierung und Kontrolle (siehe Grafik oben). Damit kann man vielfältigen Bedrohungen entgegentreten. 23

24 Einige Beispiele: Risiko Illegitime DHCP-Server tauchen immer wieder in LANs auf und stören den Betrieb durch Zuweisung eigener IP Adresse Port Scanner versuchen das Netz auszuspähen Rogue Access Points schaffen offene WLAN Zugänge Priorisierte Protokolle sind anfällig für Packet Flooding Lösungen Eine Deny Regel auf SourcePort TCP69 verhindert dies Das Blockieren des ICMP Protokolls für Standardbenutzer unterbindet Scan Versuche Auch ein AP muss sich via 802.1x authentifizieren bevor er am Netzverkehr teilnimmt Die Kombination aus Priorisierung und Rate Limiting schützt das Netz Nicht alle IT Komponenten lassen einen Schutz der Management Ports zu Würmer verbreiten sich exzessiv in lokalen Netzen Layer 4 Regeln filtern Dienste, wie Telnet und SSH, sofern der Benutzer keine Administratorenrolle spielt Für zahlreiche Attacken bietet der Policy Manager vorgefertigte Filterregeln an MUA+P (Multi User Authentication and Policy) Die bisher Authentifizierungs-Kommunikationskette wird bei MUA+P um die Managementfunktion erweitert, mit deren Hilfe der Administrator Rollen und Regeln verteilt. Kombination von Access Control und Policy Enforcement 24

25 Dabei meldet das zentrale Verzeichnis neben der positiven Authentisierungsbestätigung auch die Gruppenmitgliedschaften des Benutzers an den RADIUS-Server zurück. Mit einfachen Filterregeln ermittelt der RADIUS-Server die relevante Gruppe. Anhand ihres Namens weist der Switch jedem Port die richtige Policy zu. Die Authentisierungsmethode wird also lediglich um eine Filter-ID erweitert. Alle anderen Funktionen führt die verteilte Netzwerkarchitektur selbsttätig aus. Das an sich sehr schlanke Standard-RADIUS-Protokoll wird damit zur Grundlage einer hochskalierbaren Gesamtlösung. Im Kontext heterogener Netze, in denen nicht alle Access-Komponenten Policies unterstützen, müssen sich oft mehrere Benutzer, wie oben beschrieben, an demselben Port der nachgeschalteten Verteilungsschicht des Netzwerks authentifizieren. Mit den flexiblen Enterasys-Switches der S-Serie lässt sich die benutzerabhängige Policy an die jeweils involvierte MAC-Adresse koppeln. Die folgende Grafik verdeutlicht das Konzept der beschriebenen Distribution Layer Security. Ihre Vorteile sind: Integration Tausender unterschiedlicher Benutzer, Vielfältige Authentifizierungsmethoden (802.1x, MAC, PWA, CEP ), mehrere unterschiedlicher Regelsets (Policies) am selben Uplink-Port. Multiuser-Authentifizierung Sicherer Gastzugang mit Default Policies Mitarbeiter von Unternehmen werden zusehends mobil. Gleichzeitig wollen Sie von überall auf Ihre im zentralen Firmenserver gespeicherten Informationen zugreifen, im Web recherchieren oder auf andere Weise an der IT-Infrastruktur des jeweiligen 25

26 Aufenthaltsortes partizipieren. Gastzugänge für die mobilen Endgeräte von Praktikanten, Besuchern, Wartungstechnikern oder auch Mitarbeitern spielen daher in Unternehmensnetzen eine immer wichtigere Rolle. Netzwerke müssen diese kontinuierlich steigenden Mobilitätsanforderungen unterstützen. Der Administrator muss einen heiklen Balanceakt bewältigen. Einerseits soll er diesen Bedarf befriedigen, ohne andererseits die Sicherheitsrichtlinien des Unternehmens zu kompromittieren. Einige der Gäste, besonders solche, die regelmäßig im Unternehmen sind, lassen sich in der Organisation registrieren und technisch mittels Web Authentication und einer restriktiven Policy in das Sicherheitskonzept einbinden. Für die oft vielen sporadisch anwesenden Besucher ist das zu viel Aufwand. Eine einfache Lösung muss her, die ohne Eingriff des Administrators funktioniert. Der Schlüssel hierzu ist die Default Policy. Sie gestattet einem nicht authentifizerten Benutzer nur minimalen Zugriff auf die Netzwerkinfrastruktur. Zu einer solchen Grundversorgung gehören beispielsweise der Zugriff auf VPN-, HTTP-, DHCP und DNS- Services sowie der Zugang zum Web-Proxy des Unternehmens. Eine Begrenzung der nutzbaren Bandbreite verhindert exzessiven Gebrauch. Der Gast erhält also an jedem freigegebenen Port Basisdienste, bleibt aber von den internen Ressourcen der IT- Infrastruktur ausgeschlossen. Aber vordefinierte Regelwerke (Default Policies) eignen sich auch für andere Szenarien. Die Softwareverteilung etwa findet meist nach Büroschluss statt. Mit einer Regel lässt sich sicherstellen, dass der Server zwecks Update auch dann auf ein Gerät zugreifen kann, wenn der Anwender abgemeldet ist. Default Policies machen also ein sicheres Netzwerk so flexibel, dass sich Spezialaufgaben erfüllen lassen, ohne die Sicherheit durch manuelle Konfiguration von Ausnahmen und Lücken zu kompromittieren. RFC 3580 und Distribution Layer Security Besonders bei kostengünstigen Switches werden Anwender gemäß RFC 3580 meist fest einem VLAN zugeordnet. RFC 3580 ergänzt die Authentisierungsantwort des RADIUS- Servers um eine VLAN-ID, anhand derer der Switch dem User Port ein entsprechendes VLAN zuweist. Im Folgenden wird dargestellt, wie man solche Umgebungen in Secure Networks integriert. 26

27 Enhanced Policy mit RFC 3580 In dem abgebildeten Beispiel agiert der Distribution Layer Switch nicht als Authentifizierungsinstanz, sondern weist den eingehenden Frames anhand der VLAN-ID ein entsprechendes Regelset zu. Damit können nur solche Clients unkontrolliert miteinander kommunizieren, die am selben Access-Switch und im selben VLAN arbeiten. Auch die Abbildung von VLAN-Zuordnungen auf Rollenbeschreibungen erfolgt zentral im Policy Manager und lässt sich flächendeckend an alle Switche kommunizieren. Port Protection Im Gegensatz zum Policy Enforcement direkt am Zugangsport bleibt bei allen Szenarien, bei denen Sicherheitsmechanismen auf der Verteilebene realisiert werden, ein Restrisiko. Denn die Zugangskontrolle findet erst in einer nachgelagerten Instanz statt. Port Protection oder Private VLAN, erlauben den Datenaustausch ausschließlich in Richtung definierter (Uplink-)-Ports. Also fließt die gesamte Kommunikation des Switches direkt in die Verteilebene, wo die Zugriffsregeln zugewiesen werden. So kommt es nicht zu unkontrolliertem Verkehr innerhalb des Switches oder VLANs. 27

28 Policy Enforcement in der Praxis Auf den ersten Blick wirkt eine Netzwerkarchitektur mit Distribution Layer Security hochkomplex und kaum zu handhaben. Daher sollte man LANs nur schrittweise in abgestuften Phasen in sichere Netzwerke überführen. Die Phasen können je nach der individuellen Situation variieren. Es folgt ein Beispiel für dieses Vorgehen: Schritt 1 Bestandsaufnahme und Situationsanalyse Die Bestandsaufnahme ist grundlegend für alle weiteren Überlegungen. Sie sollte folgende Fragen klären: Welche Komponenten sind im Netz aktiv, welche Funktionen und Eigenschaften sind verfügbar? Welche Verkehrsbeziehungen bestehen zwischen Endgeräten und Servern? Welche Dienste werden genutzt? Welche sollten fallweise restriktiv behandelt werden? Welche Authentifizierungsmethoden können/müssen eingesetzt werden? Welche Methoden unterstützen die Betriebssystemplattformen der Endgeräte? Schritt 2 - Management Die Einrichtung des Netzwerkmanagements verdient besondere Aufmerksamkeit. Die Auswertung von SNMP-Traps und Syslog-Meldungen ist wichtig, um den Netz- Betriebszustand transparent darzustellen. Wurde nämlich Redundanz implementiert, zeigen sich einzelne Ausfälle nicht mehr als Betriebsstörungen. Umso wichtiger ist es, Teilausfälle zu erkennen, damit die Gesamtverfügbarkeit der Infrastruktur erhalten bleibt. Zudem erfordern immer mehr intelligente Funktionen in Netzwerkkomponenten auch mehr Kontrolle als einfaches Port-Management. Die Enterasys NetSight Console wertet Meldungen aktiver Komponenten intelligent aus. Gleichzeitig erledigt sie Managementaufgaben flächendeckend und geräteübergreifend. So verbrauchen Administratoren nur wenig Zeit und Energie für wiederkehrende Routineaufgaben und können Funktionsstörungen jederzeit gezielt lokalisieren. Die Integration des Policy Managers in die NetSight-Installation ist der erste Schritt zu einem sicheren Netzwerk. Schritt 3 Statische Regeln Verschiedene Rahmenbedingungen verzögern die flächendeckende Einführung von Authentifizierungsmethoden. Als Vorstufe lässt sich ein statischer Schutz errichten, der ohne jede Authentifizierung auskommt. Dafür werden den Zugangsports einige wenige Regeln als Standardvorgabe zugewiesen. 28

29 An sich ist es sehr attraktiv, mit dem Policy Manager Sicherheit an den Zugangsports zu schaffen gerade in kleinen und mittleren Netzen als Zwischenstufe einer Migration. Diese statische Lösung ist jedoch nur wenig flexibel. Jeder Umzug von Endgeräten erfordert eine Prüfung der dem Port zugewiesenen Policy. Schritt 4 - Authentifizierung Dieser Schritt erfordert einen Blick über den Netzwerktellerrand hinaus. Möglicherweise wurde in Verbindung mit der zentralen Benutzerverwaltung einer VPN- oder WLAN- Lösung ein RADIUS-Dienst ins Netz integriert. Nun gilt es im RADIUS-Server ein Filterwerk aufzubauen. das die Gruppenzugehörigkeit eines Users auf Betriebssystemebene auf einen entsprechenden Policy String (Filter ID) destilliert. Dem folgt die Autorisierung der Access Switches als registrierte RADIUS- Clients. Das Aktivieren der Authentifizierungsfunktion auf den Switchen ist ein wesentlicher Migrationsschritt. Der Zugang zum Netz hängt nun nicht mehr nur von einer physikalischen Verbindung, sondern zahlreichen weiteren Faktoren ab: Endgerätekonfiguration, Switch-Einstellung, RADIUS, Directory. Damit diese Kommunikationskette risiko- und störungsfrei funktioniert, ist eine Pilotphase sinnvoll. Dabei wird jedem Port zunächst eine liberale Default-Policy zugeordnet, die Anwenderaktivitäten im Netz nicht einschränkt. Ein authentifizierter User erhält lediglich eine neue Rolle mit den gleichen Rechten. Nun kann der Administrator risikofrei prüfen, ob die Authentifizierungsmechanismen auch unter Volllast greifen. Ist diese Prüfung abgeschlossen, können die vorbereiteten Regelwerke aktiviert werden. Schritt 5 Nächste Schritte Die Integration von Authentisierungsverfahren und Regelwerken im Access-Bereich ist ein großer Schritt hin zu flächendeckender Netzwerksicherheit. Doch das Enterasys Secure-Networks -Portfolio hat weit mehr zu bieten. Die Fähigkeit, Protokolle und Dienste auf den Layern 2, 3 und 4 flächendeckend zu kontrollieren, bildet eine solide Basis für Präventivmaßnahmen. Der nächste Schritt besteht darin, Missbrauch und Attacken auf der Content-Ebene oder aufgrund von anomalem Verhalten zu erkennen und darauf zu reagieren, (siehe Abschnitt Detecte and Locate ). Neben der Sicherheitsüberprüfung des Benutzers stellt sich auch die Frage, ob das Endgerät vertrauenswürdig ist. Das Kapitel Prävention statt Abwehr beleuchtet Techniken, mit denen sich PCs, Laptops, Telefone und Embedded Devices in ein erweitertes Sicherheitskonzept einbinden lassen. 29

30 Rückblickend hat es sich bewährt, bei Migrationen auf Secure Networks zunächst vor Ort einen kundenspezifischen Workshop durchzuführen, in dem Grundlagen vermittelt, einzelne Schritte festgelegt und Konfigurationen vorab erstellt werden können. Enterasys Networks bietet für alle Schritte, angefangen von der Erstellung eines Pflichtenheftes über die Planung, Implementierung und bis zur Einweisung professionelle Unterstützung an. Konvergenz der Netze Quality of Service und Verfügbarkeit Enterasys Networks hat schon immer darauf geachtet, sich so eng wie möglich an bestehenden Standards anzulehnen und neue Standards voranzutreiben. Einige wichtige Standards werden im Folgenden beschrieben. QoS (Quality of Service) im Netzwerk Um QoS in heutigen Netzwerken zu verwenden, müssen DiffServ-Qualitätsklassen eingeführt werden. Dazu später mehr. Durch leistungsfähige Switches und Router, die die entsprechenden Standards unterstützen, sind so die Verzögerungszeiten innerhalb eines Netzwerks optimierbar. Die Sprachpakete erhalten auf der gesamten Strecke eine höhere Übermittlungspriorität als beispielsweise der tägliche Mail-Verkehr. Die Schwierigkeit besteht darin, Sprachdaten zu erkennen, um sie gegenüber den restlichen Daten zu priorisieren. Die Servicequalität eines Netzwerks wird als Kombination aus Verzögerungszeit, Bandbreite und Zuverlässigkeit bewertet. Wichtig sind folgende Parameter: Verzögerungszeit o Ende-zu-Ende oder Hin- und Rückweg (Round-Trip-Verzögerung) o Varianz der Verzögerungszeit (Jitter) o Echtzeit-Möglichkeiten Bandbreite o Peak Data Rate (PDR), Spitzenübertragungsrate o Sustained Data Rate (SDR), durchschnittliche Übertragungsrate o Minimum Data Rate (MDR), minimale Übertragungsrate Zuverlässigkeit o Verfügbarkeit in Prozent, Uptime o Mean Time Between Failures / Mean Time To Repair (MTBF/MTTR), mittlere fehlerfreie Laufzeit und mittlere Reparaturdauer o Fehlerrate und Paketverlustrate 30

31 Die eigentliche Schwierigkeit besteht nun darin, die neuen VoIP-Dienste ausreichend zuverlässig bereitzustellen. Nur mit einem Ende-zu-Ende-Ansatz ist das in der IT- Infrastruktur möglich. Effektives Bandbreitenmanagement und eine definierte Servicequalität lassen sich mit IntServ und DiffServ umsetzen. Integrated Services (IntServ) Die standardisierte Methode Integrated Services (IntServ) basiert auf der Reservierung bestimmter Ressourcen, etwa mit dem RSVP (Resource Reservation Protocol). Hierzu werden bestimmte Bandbreiten für einen Datenstrom (Flow) auf der gesamten Strecke reserviert. Jedes Element in der Übertragungskette muss RSVP verstehen und die Bandbreiten für die entsprechenden Flows reservieren. Hier liegt auch die wichtigste Schwachstelle von RSVP: Meist versteht nicht jeder Router in der Kette RSVP - schon gar nicht im Internet. Weiterhin muss jeder Router diese Informationen dynamisch vorhalten und als so genannte Soft States ablegen. Das kann bei vielen Flows sehr prozessorintensiv sein. Die Zugriffskontrolle für die Netzwerkressourcen ist eine weitere Herausforderung. Für RSVP braucht man einen zentralen Policy Server entstand die IETF Policy Framework Working Group. Die Resource Admission Policy Working Group der IETF kümmerte sich um die Standardisierung von COPS (Common Open Policy Server). COPS arbeitet mit einer IntServ/RSVP (Integrated Services / Resource Reservation Protocol)- Umgebung zusammen. Die Kommunikation zwischen PDP (Policy Decision Point) und PEP (Policy Enforcement Point) übermittelt RSVP-/RESV-Anfragen und lässt sie zu. Das Konzept skaliert aber wie RSVP leider nicht ausreichend für große Netzwerke, daher gibt es nur wenige COPS Implementierungen. Policy Based Networking mit COPS 31

32 Insgesamt hat sich der Integrated-Services-Ansatz nicht durchsetzen können. Stattdessen wird meist DiffServ verwendet. Differentiated Services Differentiated Services (DiffServ) setzen auf OSI-Layer 3 auf. Für DiffServ wird das ToS (Type of Service)- Feld im IP-Header genutzt. Im Gegensatz zu IntServ braucht DiffServ keine Ende-zu-Ende-Signalisierung der Datenflows. Die einzelnen Datenpakete werden zunächst klassifiziert und anschließend entsprechend ihrer Prioritäten über das Netzwerk transportiert. Damit ist es möglich, zwischen bestimmten Dienstklassen (Class of Service, CoS) innerhalb einer DiffServ-Domäne zu differenzieren, um den unterschiedlichen Anforderungen der verschiedenen Applikationen gerecht zu werden. Die Netzwerkkomponenten klassifizieren das Datenpaket und leiten es dann priorisiert weiter. Diese Form der Weiterleitung wird als Per-Hop Forwarding Behavior (PHB) bezeichnet. PHB beschreibt generell die Zuteilung bestimmter Bandbreiten- und Speicherressourcen sowie die angeforderten Verkehrscharakteristika wie Verzögerungszeit oder Paketverluste. Damit ist eine Differenzierung in verschiedene Dienstklassen möglich. DiffServ-Feld Als Unterscheidungsmerkmal zwischen den verschiedenen PHB-Weiterleitungsklassen dient der DiffServ Codepoint (DSCP). Er besteht aus den ersten sechs Bit im IPv4-ToS- Feld. In RFC 2474 wurde das ToS-Feld im IPv4-Header in DS (DiffServ)-Feld umbenannt. Damit sind maximal 64 Prioritätsklassen möglich. 32

33 Zur Zeit sind folgende DSCP-Werte definiert; die anderen sind noch reserviert oder stehen für experimentelle Zwecke zur Verfügung. DSCP Binary Decimal DSCP Binary Decimal Default AF CS AF AF AF AF CS AF AF CS AF AF AF AF CS AF EF CS CS CS Die Default Klasse ist für nicht speziell klassifizierten Traffic und entspricht damit der IP Precedence 0. 33

34 Per Hop Behaviour (PHB) Enterasys Networks Solution Guide 2013/2014 Diffserv Code Point (DSCP) IP Precedence Default Assured Forwarding Low Drop Probability Medium Drop Probability High Drop Probability Class 1 AF AF AF Class 2 AF AF AF Class 3 AF AF AF Class 4 AF AF AF Expedited Forwarding EF Die Class Selector (CS) Code Points sind rückwärtskompatibel zu anderen IP- Precedence-Werten. Expedited Forwarding (EF, RFC 2598) stellt als Klasse geringe Latenzzeiten, wenig Jitter, möglichst keinen Paketverlust und garantierte Bandbreite zur Verfügung. Assured Forwarding (AF, RFC 2597) hat viele Klassen, um den Datenverkehr zu differenzieren und das PHB mit verschiedenen Paketverlustwahrscheinlichkeiten zu definieren. Explicit Congestion Notification (ECN) Die Grundidee hinter der Explicit Congestion Notification ist, dass eine Netzwerkkomponente, die ECN unterstützt, bei Überlast im Netzwerk Pakete nicht verwirft, sondern stattdessen weiterleitet. Die Bits 6 und 7 des DSCP-Feldes bilden das so genannte ECN-Feld (spezifiziert in RFC 3168). Es realisiert Flusskontrolle im IP-Protokoll, wie man sie beispielsweise im WAN- Protokoll Frame Relay mit FECN und BECN-Bits (Forward/Backward Explicit Congestion 34

35 Notification) kennt. Die ECN-Bits sind folgendermaßen definiert: Bit 6: ECN-Capable Transport (ECT) Bit Bit 7: Congestion Experienced (CE) Bit Dabei wurde beschlossen, dass nicht nur der binäre Wert 10 (als Kombination von Bit 6 und Bit 7), sondern auch die Kombination 01 ausdrückt, dass ECN unterstützt wird. Es ergibt sich also folgende Bedeutung: ECT BIT CE BIT Bedeutung 0 0 Not-ECT (Not ECN-Capable Transport) 0 1 ECT(1) (ECN-Capable Transport - 1) 1 0 ECT(0) (ECN-Capable Transport - 0) 1 1 CE (Congestion Experienced) Leitet nun ein Gerät bei Überlast Pakete weiter, werden diese Pakete mit dem CE Wert markiert, sofern sie schon vorher als ECT gekennzeichnet sind. Diese Information wird dann an den TCP-Stack weitergegeben, der daraufhin die Fenstergröße in seinem Acknowledge-Paket heruntersetzt. Das veranlasst den Sender, die versandte Datenmenge zu reduzieren. Zwar ist dieses Konzept gut, dennoch scheint es fraglich, ob es in absehbarer Zeit im Internet genutzt wird. Denn wer auf seinem Rechner bei Überlast ECN einschaltet und so sein eigenes Datenvolumen reduziert, macht nur mehr Platz für alle anderen, die ECN nicht nutzen. Deren Pakete haben jetzt freie Fahrt. Ganz anders ist die Situation in einem Firmennetz, wo man mit regelbasiert durchsetzen kann, dass alle ECN nutzen. Dort garantiert ECN bei Engpässen, insbesondere im WAN, eine vernünftige Flusskontrolle. IP Precedence Das ToS (Type of Service)-Feld im IPv4 Header ist zwar mittlerweile als DS Feld für die DSCP-Werte umdefiniert, die IP-Precedence Bits in ihrer herkömmlichen Bedeutung werden aber immer noch oft als Alternative zu DSCP genutzt. Die ursprüngliche Definition des ToS-Felds (Länge: 1 Byte = 8 Bits) sieht folgendermaßen aus: 35

36 TOS Feld Mit den drei IP Precedence-Bits kann man dem IP-Paket einen Prioritätswert zwischen 0 und 7 zuweisen: 000 (0) - Routine 001 (1) - Priority 010 (2) - Immediate 011 (3) - Flash 100 (4) - Flash Override 101 (5) - Critical 110 (6) - Internetwork Control 111 (7) - Network Control Die beiden höchsten Prioritäten sind für Netzwerk-Traffic reserviert. So schicken zum Beispiel Routingprotokolle ihre Nachrichten meist mit der IP Precedence 6 (Internetwork Control). Verzögerungssensitive Daten wie Sprache werden im Allgemeinen mit der IP- Precedence 5 versandt. Während der Standardwert für normale Daten die IP Precedence 0 ist, kann man mit den verbleibenden Werten von 1-4 den Datenverkehr weiter differenzieren und priorisieren. Die weiteren Bits des ToS-Feldes sollten eigentlich Verzögerung, Durchsatz, die angestrebte Zuverlässigkeit und Kosteninformationen routen. Das letzte Bit war immer noch ungenutzt und musste deswegen auf 0 gesetzt sein (MBZ Must Be Zero). Routingprotokolle wie OSPF unterstützen zwar laut Definition die Auswertung der ToS- Bits, allerdings gibt es keine Implementierungen, die dies auch wirklich tun. Bei der Wahl der bisher definierten DSCP-Werte hat man Wert auf Rückwärtskompatibilität gelegt. So wird zum Beispiel VoIP-Traffic mit Expedited Forwarding EF = versandt, die ersten drei Bits entsprechen also dem IP Precedence Wert 5. Betrachtet man andere Lösungen, um die Servicequalität festzulegen, beispielsweise IEEE 802.1p für Ethernet oder die Experimental Bits für MPLS (Multiprotocol Laben Switching), finden sich auch hier drei Bits, um Prioritäten darzustellen. Nutzt man diese 36

37 QoS-Verfahren, so werden im Allgemeinen die drei IP-Precedence-Bits in die entsprechenden Felder für IEEE 802.1p oder MPLS kopiert. Die Servicequalität mit IP-Precedence-Werten zu definieren, ist also trotz der neueren Technik mit DSCP-Werten noch aktuell und wird es in absehbarer Zeit auch bleiben. Die Produkte von Enterasys Networks unterstützen beide Varianten. Priorisierung nach IEEE 802.1p Der Standard IEEE 802.1p ist ein weiterer Ansatz zur Verbesserung der Servicequalität p veranlasst, dass bestimmte Datenpakete auf dem Netzwerk priorisiert übertragen werden. Man versieht die Datenpakete mit einer Markierung, die entsprechend dem Ende-zu-Ende-Ansatz von jedem Glied der Kette erkannt und entsprechend priorisiert übertragen wird. Beispiele für diesen Ansatz sind IEEE 802.1p und Differentiated Service (DiffServ). IEEE 802.1p erweitert IEEE 802.1d: Ein Markierungssegment (Tag) wird in das Datenpaket eingeschoben. Es ist zwei Byte lang und ermöglicht die Prioritätenvergabe durch drei Bits (entsprechend acht Prioritätsklassen) und die Bildung von Virtuellen LANs (VLANs) nach IEEE 802.1q, was der Priorisierung von Daten auch auf Layer 2 entspricht. Queuing-Verfahren IEEE 802.1p-Tag Mit DSCP, IP Precedence und IEEE 802.1p lassen sich Paketen durch Markierungen bestimmte Servicequalitäten zuweisen. Damit der gewählte Service tatsächlich ablaufen kann, braucht man dedizierte Verfahren zum Aufbau und zur Abarbeitung von Warteschlangen (Queuing-Verfahren). Enterasys-Geräte unterstützen verschiedene Queuing-Methoden wie Strict, Hybrid oder Weighted Round Robin. Dabei existieren für 37

38 jeden Port mehrere in Hardware realisierte Queues. Während kleinere Geräte meist vier fest verdrahtete Queues pro Port haben, bietet die N-Serie bis zu 16 pro Port, abhängig vom Modultyp. Fifo Queuing Am einfachsten ist das Fifo (First in, first out)-queuing: Die Pakete werden in der Reihenfolge auf einen Ausgangsport weitergeleitet, in der sie ihm zugeordnet wurden. Dieses Verfahren ist als Vorgabe auf allen Ports aktiv geschaltet und gilt auch für alle Subqueues bei den komplexeren Queuing-Methoden. Strict Priority Queuing Strict Priority Queuing Beim streng prioritätsgesteuerten (Strict Priority) Queuing werden den verschiedenen Subqueues Prioritäten zugeordnet und diese dann streng entsprechend dieser Priorität abgearbeitet. Solange in den Queues der höchsten Priorität Pakete auf Weiterleitung warten, werden diese weitergeleitet. Erst wenn diese Queues geleert sind, wird die Queue mit der nächstniedrigeren Priorität bearbeitet. So verlassen die Pakete mit der höchsten Priorität das Gerät mit minimaler Verzögerung. Daher wird Strict Priority Queuing gerne für VoIP-Pakete genutzt. Allerdings muss man bei Planung der Priorisierung und Klassifizierung der Pakete sehr vorsichtig sein. Werden zu viele Pakete unangebracht hoch priorisiert, werden Datenströme der unteren Prioritätsklassen nicht mehr weitergeleitet, da die höher eingestuften Pakete die vorhandenen Kapazitäten vollständig verbrauchen. 38

39 Weighted Round Robin Queuing Enterasys Networks Solution Guide 2013/2014 Weighted Round Robin Queuing Beim Weighted-Round-Robin-Queuing werden die verschiedenen Queues abwechselnd bedient. Um den Traffic aber unterschiedlich gewichten zu können, erhält jede Queue einen bestimmten Prozentsatz der vorhandenen Kapazität, also ein Gewicht (Weight). Durch eine höhere Gewichtung (einen höheren Prozentsatz) bekommen Pakete der zugehörigen Queue also einen besseren Service. Gleichzeitig ist gewährleistet, dass jeder Queue eine gewisse Bandbreite zusteht. Hybrid Queuing Hybrid Queuing Hybrid Queuing ist eine Mischung von Priority- und Weighted-Round-Robin-Queuing. Es vereinigt Vorteile beider Verfahren. Dabei wird einem Weighted-Round-Robin-Queuing 39

40 eine Priority-Queue vorgelagert. Letztere wird im Allgemeinen für VoIP-Pakete oder vergleichbaren zeitsensiblen Traffic genutzt. Da die entsprechenden Pakete normalerweise wenig Bandbreite benötigen, ist die Gefahr, dass der übrige Traffic verhungert, gering. VoIP Pakete werden aber bevorzugt behandelt, um kurze Latenzzeiten zu garantieren. Der übrige Traffic erhält gemäß dem Weighted-Round- Robin-Verfahren die ihm zugestandene Bandbreite. Rate Limiting und Rate Shaping Manchmal ist es auch nötig, die von bestimmtem Verkehrsarten genutzte Bandbreite zu begrenzen. Dies ist durch strikte Bandbreitenbegrenzung (Rate Limiting) oder das weniger strikte Rate Shaping möglich. Rate Limiting lässt sich für ankommende (Inbound Rate Limiting) oder ausgehende (Outbound Rate Limiting) Pakete festlegen. Dabei werden Pakete, welche die konfigurierte Rate überschreiten, verworfen. Beim Rate Shaping versucht man, den Bandbreitenverbrauch innerhalb der vorgegebenen Rate zu halten, indem man Pakete zwischenspeichert. Das Verfahren ist daher nur für ausgehenden Traffic sinnvoll. Zur Konfiguration von QoS auf Enterasys-Komponenten finden Sie weitergehende Informationen unter Power over Ethernet In konvergenten Netzen müssen mehr und neuartige Geräte mit Strom versorgt werden, zum Beispiel IP-Telefone. Verwendet man PoE (Power over Ethernet) muss keine zusätzliche Stromversorgung zu den Endgeräten verlegt werden, was deren Installation vereinfacht. Bei IP-Telefonen erspart man den Endanwendern so, dass gleich zwei Kabel des Telefons (Strom und Daten) auf dem Schreibtisch liegen, wobei das Stromkabel meist noch ein externes Netzteil enthält. Ansonsten ist PoE vor allem für Wireless APs (Access Points), Kartenlesegeräte oder Kameras interessant. Es gibt aktuell 2 Standards.af und.at Der Standard IEEE 802.3af ergänzt und beschreibt die Stromversorgung mit Gleichstrom über 10-, 100- und 1000Base-T-Twisted Pair-Verkabelung. Dabei sind auf jedem Port ausgangsseitig maximal 15,4 Watt Leistung bei einer Spannung bis zu 48 Volt verfügbar, wobei sich die Verbraucher auch mit geringerem Maximalverbrauch anmelden können, wenn die optionalen Klassen 1 (max. 4 W) oder 2 (max. 7,0 W) unterstützt werden. Unter Berücksichtigung der Verlustleistung auf den Leitungen darf das Endgerät dann eingangsseitig maximal 12,95 W respektive 3,84 W bei Klasse 1 und 6,49 W bei Klasse 2 verbrauchen. Der gelieferte Strom wird dabei auf jedem der Ports 40

41 ständig überwacht, so dass das Strom einspeisende Gerät (Power Sourcing Equipment, PSE), also der Switch, entscheiden kann, ob ein neu hinzugekommener Port überhaupt noch mit Strom versorgt werden darf. Ist die insgesamt verfügbare Leistung des Switches überschritten, wird ein neuer Port nicht mit Strom versorgt und damit eine Überlastung verhindert. Die Überwachung der PoE-spezifischen Porteigenschaften mittels SNMP (Simple Network Management Protocol) wurde durch die IETF in RFC 2665 standardisiert. IEEE 802.3af-fähige Geräte müssen diverse Anforderungen erfüllen. Die wichtigsten beziehen sich auf die Kompatibilität zwischen PoE- und nicht PoE-fähigen Geräten. Schließlich darf beim Anschluss eines nicht PoE-fähigen Geräts an einen PoE-fähigen Switch kein Gerät durch eine Überspannung beschädigt werden. Weiterhin muss PoE über die vorhandene (drahtgebundene) Ethernetverkabelung möglich sein (Cat3, Cat5, Cat5e und Cat6). Offiziell bezeichnet der Standard die stromeinspeisenden Geräte als PSE (Power Sourcing Equipment). Um PoE mit PoE-fähigen und nicht PoE-fähigen Switchen einsetzen zu können, sind zwei Methoden der Stromeinspeisung vorgesehen: durch den Switch direkt oder über sogenannte Midspan-Geräte, die in das Kabel zwischen Switch und Verbraucher eingeschleift werden. Es gibt zwei Gründe warum man die Kombination aus Switch und Midspan-Gerät statt PoE-fähiger Switches einsetzt: Alte Switches unterstützen den Standard erstens noch nicht. Und zweitens lohnt es sich manchmal aufgrund nur weniger nötiger PoE-Ports nicht, alle Switches mit PoE auszustatten. PoE kann Strom über die Datenleitungen und über die bei Ethernet/Fast Ethernet ungenutzten Adernpaare 4,5 und 7,8 übertagen. Bei Gigabit Ethernet erfolgt die Einspeisung immer über Leitungspaare, die auch für die Datenübertragung genutzt werden. PoE-fähige Switches 41

42 Diverse Geräte von Enterasys können als PSE arbeiten: Bei der S-Serie versorgt ein 48- Port-10/100Base-TX-Board mit externem Powershelf die PoE-Geräte. Beim N5 übernehmen vier integrierte, modulare 1200-Watt-PoE-Netzteile diese Aufgabe. Die gesamte A/B/C-Serie ist ebenfalls als PoE-Variante erhältlich. Mehr Power IEEE 802.3at IEEE 802.3at ist ein Standard zur Weiterentwicklung von Power over Ethernet. Ziel der auch als PoE+ bezeichneten Initiative ist es, über die vier Adern eines Kabels, das zumindest den Spezifikationen von Ethernet-Kategorie-5 (Cat5) entspricht, bis zu 56 Watt Leistung zu übertragen. 56VDC, 30W Damit kann man Geräte mit höherem Leistungsbedarf wie IEEE n APs direkt über ein Kabel mit Strom versorgen. Verfügbarkeit im Netz Heute ist Business ohne IT und Netzwerkinfrastruktur kaum noch denkbar. Dementsprechend wichtig ist es, dass das Netzwerk, die darauf laufenden Services und die Endgeräte permanent zur Verfügung stehen. Um das zu realisieren, sollte man vor allem auf Standards setzen. Redundanz Unter hoher Verfügbarkeit versteht man, dass die über das Netzwerk operierenden Dienste wie VoIP, SAP, etc. weitgehend unbeeinflusst von Ausfällen oder Umstrukturierungen im Netzwerk bleiben. Dafür müssen die einzelnen Schichten der Netzwerkkommunikation einzeln betrachtet und gesichert werden. Für die eigentliche Sicherung gibt es zwei grundlegende Ansätze: erstens die zu sichernde Komponente so stabil wie möglich zu machen und zweitens Redundanz (zum Beispiel in Form eines zweiten Gerätes) aufzubauen. Das Zweitgerät oder die Ersatzverbindung realisieren im Notfall alle Funktionen der ausgefallenen Komponente. Im Folgenden werden die einzelnen Netzwerkschichten zusammen mit den verfügbaren Redundanzen vorgestellt. Layer1 physikalische Redundanzen Die physikalische Schicht besteht aus der Hardware der grundlegenden Komponenten: etwa redundante Stromversorgungung durch mehrere Netzteile, verbunden mit verschiedenen Versorgungspfaden. Zur Layer-1-Sicherheit gehört auch, dass die Standorte der Netzwerkkomponenten physikalisch zum Beispiel durch Türsicherungen abgesichert werden was nutzt die sicherste Firewall, wenn sie öffentlich zugänglich in 42

43 einem nicht abgeschlossenen Rack im Lager steht? Datenübertragungsschicht Auf der Datenübertragungsschicht oder Layer 2 gibt es in Abhängigkeit von der eingesetzten Technologie verschiedene Verfahren, Redundanzen herzustellen - In der Regel durch zusätzliche Leitungen beziehungsweise physikalische Übertragungswege in einem Layer-2-Netzwerk (Broadcast Domain). Bei Ethernet ermöglichte der Spanning- Tree-Algorithmus diese Redundanz, später kamen Weiterentwicklungen wie Rapid Spanning Tree und Spanning Forest dazu, um schnellere Konvergenz im Fehlerfall und die Verwaltung von Spanning Trees in einer VLAN-Umgebung möglich zu machen. Link Aggregation IEEE 802.3ad Mehrere physikalische Links zwischen zwei Switches dienen oft nur der Redundanz. Dann kann man eine Redundant-Port-Lösung auf Layer 1 oder Spanning Tree als Protokoll auf Layer 2 einsetzen, um Endlosschleifen (Loops) und damit Broadcast- Stürme zu verhindern. Link Aggregation Eine bessere und gerne genutzte Möglichkeit besteht darin, die physikalischen Links zu einem logischen Link zu bündeln und so gleichzeitig Redundanz herzustellen und die Bandbreite zu erhöhen. Enterasys bot diese Technik früher unter der Bezeichnung Smarttrunk mit dem proprietären Huntgroup-Protokoll an, heute unterstützen alle neuen Enterasys-Switches den Standard IEEE 802.3ad - Link Aggregation. Es ist zwar möglich, Bündel physikalischer Links statisch zu einem virtuellen Link zu bündeln. Besser ist es aber, ein Kontrollprotokoll zu nutzen. Denn damit lässt sich prüfen, ob die dazugehörigen Links auch sauber laufen und die Switches an beiden Enden der Verbindung dieselben Ports ins virtuelle Link integrieren. 43

44 Aktuelle Switches, die nach dem Standard IEEE 802.3ad arbeiten, kommunizieren über LACP (Link Aggregation Control Protocol). Dabei entstehen virtuelle Links, die als LAG (Link Aggregation Group), bezeichnet werden. Alle Links auf demselben virtuellen LAG- Port müssen gleich konfiguriert sein und Full Duplex (also in Hin- und Rückrichtung) die gleiche Geschwindigkeit unterstützen. Der Switch behandelt dann den virtuellen LAG- Port bei der Konfiguration wie einen ganz normalen physikalischen Port. Der LAG-Port kann also zum Beispiel einem VLAN angehören oder als IEEE 802.1q-Trunk definiert werden. In einem Chassis-basierten System und einem Stack aus mehreren Switches lässt sich ein LAG-Port aus Ports verschiedener Module bilden. Das erhöht die Ausfallsicherheit, denn selbst falls ein ganzes Board ausfällt, bleiben die beiden Chassis-basierten Switches verbunden. Der Standard IEEE 802.3ad sorgt für Interoperabilität zwischen verschiedenen Herstellern. Zusätzlich sind Switches von Enterasys Networks standardmäßig so vorkonfiguriert, dass sie automatisch eine LAG-Port Gruppe bilden, wenn sie mit einer entsprechenden Gegenstelle verbunden werden. Sollte es aber nötig sein, einen Enterasys-Switch mit einer Gegenstelle zu verbinden, die kein LACP unterstützt, kann man den LAG-Port auch statisch konfigurieren. Man verzichtet dann zwar auf das Kontrollprotokoll, das vor Fehlern und Netzproblemen durch Fehlkonfiguration schützt, kann aber trotzdem die Vorteile eines virtuellen, gebündelten Links nutzen. Der Datenverkehr lässt sich mit verschiedenen Methoden auf die physikalischen Links verteilen, etwa durch ein einfaches Round-Robin-Verfahren oder basierend auf den MACoder IP-Adressen der Pakete. Meist sorgt die Analyse von Absender- und Ziel-IP für eine ausgewogene Verteilung auf die physikalischen Links. Diese Methode ist daher auch auf der S-Serie voreingestellt. IEEE 802.3ad und Spanning Tree schließen sich natürlich nicht aus. Während IEEE 802.3ad Link Aggregation immer zwischen zwei direkt miteinander verbundenen Switches läuft, kann und sollte man weiterhin Spanning Tree nutzen, um Loops im gesamten geswitchten Layer-2-Netz zu verhindern. Spanning Tree betrachtet dann bei der Berechnung des Verbindungsbaumes den logischen LAG-Port statt der zugehörigen physikalischen Ports. Auch die Kosten für diesen virtuellen LAG-Port entsprechen dabei der Summe der Bandbreiten aller zugehörigen physikalischen Ports. Spanning Tree IEEE 802.1d Der Spanning-Tree-Algorithmus verhindert Loops auf der Datenübertragungsschicht. Denn Broadcasts können in einem Ethernet-Netzwerk mit redundanten Pfaden 44

45 unendlich lang kreisen. Dadurch verringern sie die verfügbare Bandbreite immer weiter, bis kein normaler Datenverkehr mehr möglich ist. Um Loops zu verhindern, tauschen die Netzwerkkomponenten (Switches) eines Layer-2- Netzwerks untereinander Nachrichten aus, die sich vom normalen Datenverkehr unterscheiden. Anhand dieser Nachrichten wird dann eine der Komponenten zur Wurzel der Spanning-Tree-Baumstruktur. Alle anderen Komponenten gliedern sich in diese Struktur ein. Pfade, die nicht innerhalb der Baumstruktur liegen (also redundante Pfade) werden dabei ausgeschaltet. Kommt ein neuer Switch oder Link hinzu oder fällt ein Switch aus, wird diese Baumstruktur neu berechnet. Solange sie nicht vollständig aufgebaut ist, leiten die Switche nur solche Nachrichten weiter, die für den Aufbau der Baumstruktur relevant sind. Solange die Struktur also nicht vollständig ist, bleibt der normale Datenverkehr im Netzwerk unterbrochen. Die Neuberechnung der Baumstruktur dauert typischerweise bis zu 60 Sekunden. Zur Konfiguration von Spanning Tree auf Enterasys-Komponenten finden Sie weitere Informationen unter: Rapid Spanning Tree IEEE 802.1w IEEE 802.1d wurde entwickelt, als es noch ausreichte, wenn sich das Netz nach einem Ausfall in etwa einer Minute erholte. Heutzutage sind solche Ausfallzeiten nicht mehr akzeptabel. Um schnellere Konvergenzzeiten zu ermöglichen, wurde Spanning Tree zum Rapid Spanning Tree Protocol (RSTP) weiterentwickelt. Prinzipiell wird dabei die Baumstruktur wie bei STP berechnet. Die Nachrichten, welche die Switches austauschen, enthalten aber mehr Informationen. Außerdem wurde die Verarbeitung der Nachrichten verbessert. Die wichtigste Neuerung im IEEE 802.1w-Standard (RSTP) besteht darin, einen Port schneller in den Forwarding-Modus zu bringen, in dem normale Datenpakete ausgetauscht werden. Bei STP werden die Ports erst dann aktiviert, wenn der gesamte Baum konvergiert ist. Der neue Standard aktiviert Ports früher. Um das zu erreichen, können Endnutzerports als so genannte Edge Ports konfiguriert werden. Diese Edge Ports aktivieren sich sofort, wenn der Port angesprochen wird. Die entsprechende Konfigurationsoption heißt adminedge=true. Außerdem können auch Ports in der Infrastruktur bei Fehlern schneller auf einen alternativen Port in Richtung des Root- Knotens umschalten, da die RSTP-Switches aktiv Rückmeldungen austauschen. In entsprechend konfigurierten Netzwerken sinkt so die Zeit, bis die Baumstruktur nach Fehlern wieder funktioniert, auf wenige hundert Millisekunden. 45

46 VLANs gemäß IEEE 802.1q Enterasys Networks Solution Guide 2013/2014 Mit VLANs kann man die vielen physikalischen Ports eines Switches logisch in Portgruppen unterteilen, die getrennte Broadcast Domains bilden. Der Standard IEEE 802.1q beschreibt, wie man Daten, die zu einer bestimmten logisch separierten Portgruppe gehören, eindeutig kennzeichnet und sie so markiert an einen anderen Switch transportiert. Der Link, über den diese markierten Pakete transportiert werden, heißt Trunk. Am Ziel werden die Daten wieder den einzelnen Gruppen zugeordnet und, falls die Gruppen auf diesem Switch ebenfalls existieren, zu den entsprechenden Ports geschickt. So lässt sich eine logische Struktur von Broadcast Domains über eine physikalisch vorgegebene Struktur untereinander verkabelter Switches legen. Dadurch können die Mitarbeiter einer Abteilung mit ihren Rechnern derselben Broadcast Domain zugeordnet werden, obwohl die Abteilung auf verschiedene Gebäude verteilt ist. Multiple Spanning Trees IEEE 802.1s MST (Multiple Spanning Trees) ergänzt den VLAN-Standard IEEE 802.1q um schnelle Konvergenz und Lastverteilung in einer VLAN-Umgebung. RSTP (IEEE 802.1w) wurde erweitert, um mehrere Spanning Trees zu unterstützen. Mit MST kann man mehrere Spanning-Tree-Instanzen über Trunks hinweg aufbauen. Dabei können in Gruppen zusammengefasste VLANs einzelnen Spanning-Tree-Instanzen zugeordnet werden. Die Topologien der Instanzen sind dabei unabhängig voneinander. Dafür werden die Spanning-Tree-Parameter wie Root-Priorität etc. für jede Instanz angepasst. So verteilt man die Verkehrslast für unterschiedliche-vlan Gruppen über redundante Layer-2-Wege. MST benutzt dabei MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s), eine modifizierte Variante von RSTP. Netzwerkschicht Auf der Netzwerkschicht entsteht Redundanz hauptsächlich durch intelligente Routingprotokolle wie OSPF (Open Shortest Path First, RFC 2328) und die bessere Erreichbarkeit des Default-Gateways mit VRRP (Virtual Router Redundancy Protocol). Dafür müssen schon auf der Netzwerkebene verschiedene Wege zum selben Ziel vorhanden sein. Shortest Path Bridging Shortest Path Bridging (SPB) ist eine Computernetzwerktechnologie, welche die Konfiguration und den Betrieb von Netzwerken stark vereinfacht. SPB reduziert Bedienungsfehler durch seinen Zero-touch-Core Ansatz und ermöglicht optimale Bandbreitenausnutzung und Lastverteilung via Shortest-path und Multi-path -Routing. 46

47 Shortest Path Bridging (IEEE 802.1aq) wurde als Ersatz für die älteren Spanning Tree Protokolle (IEEE 802.1D STP, IEEE 802.1w RSTP, IEEE 802.1s MSTP) entwickelt, welche Verkehr auf alle bis auf einen Netzwerkpfad blockieren. Im Gegensatz dazu ermöglicht IEEE 802.1aq (Shortest Path Bridging SPB) alle Pfade aktiv zu nutzen und unterstützt viel größere und flexiblere Layer-2 Topologien. Es hat eine kürzere Konvergenzzeit und verfügt über volle Unterstützung der Netzwerkvirtualisierung durch den Einsatz einer Service ID im SPB Netz anstelle von VLAN Ids. Stark vereinfacht lässt sich Shortest Path Bridging dadurch darstellen, dass jeder Switch in der SPB Domäne den Spanning Tree zu allen anderen Knoten berechnet. Da alle Knoten via IS-IS permanent Daten zur Topologie austauschen, können auch während des Betriebs neue Knoten der Domäne hinzugefügt werden. Von den speziellen Topologiebäumen eines jeden Switches abgesehen, wird ebenfalls noch der sogenannte Common Internal Spanning Tree (CIST) berechnet. Der CIST ist im Grunde nichts anderes als der normale Spanning Tree, der die Abwärtskompatibilität zu älteren Switches ohne SPB Unterstützung gewährleistet und darüber hinaus auch im Notbetrieb zur Verfügung steht, falls es Probleme mit der SPB Konfiguration geben sollte. Jeder Switch verfügt so über eine Liste aller potentiellen Ziele im Netz und über welche Pfade die Daten zu versenden sind. Mit diesen Informationen kann jeder Switch dann einen Reverse-Path Forwarding Check durchführen und somit verhindern, dass ein Loop entsteht. Die Gewissheit, über welchen Weg die Daten gesendet werden, erlaubt auch die vollständige Kompatibilität zu den etablierten IEEE Standards insbesondere der OAM Suite. Wie auch bei SPT, bietet SPB die Möglichkeit zur Gewichtung der einzelnen Verbindungen. Als Besonderheit gilt hier jedoch, dass Verbindungen mit gleichen Kosten nicht einfach abgeschaltet werden, sondern via Equal-Cost Multi-Path ein Möglichkeit zur Lastverteilung über symmetrische Hin- und Rückrouten besteht. Obwohl SPBM ganze 16 47

48 Standard Algorithmen zur Lastverteilung spezifiziert, bietet SPBV leider nur einen an. Enterasys bietet hier jedoch auch die Möglichkeit einen weiteren propietären Algorithmus um die Lastverteilung über zusätzliche Verbindungen realisieren zu können. Um all dies nutzen zu können, muss also SPB irgendwie ankommende Daten markieren können und mit einer Service ID versehen. Im Grunde genommen nicht unähnlich zum Label Tagging in MPLS. SPBV benutzt hierfür das VLAN Tag und SPBM eine MAC-in-MAC Enkapsulierung. Dabei ist zu beachten, dass SPBV kein Q-in-Q verwendet, sondern VLAN Translation. Damit werden ankommende Frames am Rand der SPB Domäne entsprechend dem Ziel und des VLANs mit einer Service-ID versehen, die das bestehende VLAN überschreibt. Wenn die Daten dann die Domäne verlassen, so wird das VLAN Tag wieder zurück getauscht und kann zugestellt werden. Da SPBV das VLAN Tag zur Identifikation der Service ID benutzt, die wiederrum für jeden Switch eindeutig einen Verbindungsbaum zu allen anderen Switches darstellt, lässt sich somit als Faustregel die Anzahl benötigter VLAN Ids ermitteln: (Anzahl Switches x Anzahl Basis VLANs) + Anzahl Basis VLANs Die Basis VLANs müssen zum Schluss noch einmal drauf gerechnet werden, da ja der STP-kompatible CIST zwischen den Switches über das jeweilige Basis VLAN abgebildet ist. Damit ist auch schnell klar, dass SPBV Domänen eher für Bereiche mit einer überschaubaren Anzahl Switches und VLANs gedacht ist. Letztendlich ist es auch ein 48

49 Protokoll zur Vermaschung einer grossen Layer2 Domäne. Wem dies nicht reichen sollte, der wird mit SPBM feststellen, dass das Limit von 4096 möglichen Service IDs deutlich auf 16 Millionen angehoben wurde und damit durchaus auch für den Access Bereich interessant werden wird. Open Shortest Path First OSPF (RFC 2328) ist ein hierarchisch aufgebautes Link-State-Routingprotokoll und derzeit der de-facto-standard bei Interior-Gateway-Protokollen, also Protokollen, mit denen Informationen innerhalb einer Organisation ausgetauscht werden. BGP (Border Gateway Protokoll) dagegen routet als Exterior-Gateway-Protokoll Daten zwischen autonomen Systemen, also über die Organisationsgrenzen hinaus. Distance-Vector-Protokolle wie RIP (Routing Information Protocol, inzwischen in Version 2 verfügbar, RFC 2453), sind dafür wegen ihrer schlechten Konvergenzzeiten mittlerweile meist ungeeignet. Denn Ausfallzeiten bis zu mehreren Minuten sind in heutigen Netzwerken nicht mehr tolerierbar. Link-State-Protokolle arbeiten eventgesteuert. Informationen über Topologieänderungen werden sofort im gesamten Netz verteilt. Die gesamte Netztopologie ist hier in einer Datenbank gespeichert und alle Router kennen sie. Deswegen können die Router sofort auf Events reagieren und berechnen dann mögliche Ersatzwege. Das führt bei Link- State-Protokollen zu Konvergenzzeiten im Sekundenbereich. Außerdem schonen Link- State-Protokolle, verglichen mit Distance-Vector-Protokollen die Netzwerkressourcen, weil die periodische Verbreitung der gesamten Routinginformationen im gesamten Netz entfällt. Der hierarchische Ansatz von OSPF macht dieses Routingprotokoll skalierbar. Es eignet sich daher auch für sehr große Netze. Die Hierarchie ist zweistufig: An ein zentrales Backbone-Area sind alle anderen Areas direkt angebunden. Verfahren wie Route Summarization (die Zusammenfassung der zwischen zwei Routern übertragenen Informationen, um die Verarbeitungslast der Router zu verringern) und das Definieren von Areas als Stub Area oder NSSA (Not-So-Stubby Area, RFC 3101) minimieren die Auswirkungen von Topologieänderungen auf das gesamte Netz. 49

50 OSPF-Area-Konzept OSPF, ein offenes Protokoll, das von allen Herstellern unterstützt wird, ist derzeit der Standard für das Routing innerhalb des eigenen Netzwerks. OSPF schafft Kompatibilität zwischen allen Komponenten. Die schnellen Konvergenzzeiten, die OSPF als Link-State- Protokoll besitzt, sind für heutige Netze unverzichtbar. Der hierarchische Ansatz unterstützt die OSPF-Implementierung in Netzwerken jeder Größe. Netze mit OSPF-Routing sind mit dem entsprechenden Netzwerk- und Adressdesign einfach zu erweitern. Als modernes Routingprotokoll unterstützt OSPF natürlich VLSM (Variable Length Subnet Mask) und ermöglicht so Optimierungsverfahren wie Route Summarization. Wegen seiner Allgegenwart wurde OSPF als Routingprotokoll für den IPv4-Nachfolger IPv6 spezifiziert (RFC 2740) und wird deshalb auch in Zukunft nicht aus den Netzwerken wegzudenken sein. Equal Cost Multi Path (ECMP) Ein Paket kann in einem gerouteten Netzwerk über unterschiedliche, gleichwertige Pfade ans Ziel gelangen. Bei Equal Cost Multi Path werden diese Pfade gleichzeitig zur Lastverteilung genutzt. Redundanz gewährleistet das jedoch nicht. Dafür muss das darunterliegende Routingprotokoll sorgen. Bei Verwendung von ECMP wählt der Router, an dem sich der Pfad gabelt, unterschiedliche Folgestationen (next-hops) für die Pakete. Idealerweise sollten sich die Pakete gleichmäßig auf die beiden gewählten Pfade verteilen. Das wäre mit paketeweisem Aufteilen am einfachsten zu realisieren. Dies ist aber in der Regel nicht sinnvoll, da dieses Verfahren unterschiedliche Laufzeiten und Paketreihenfolgen verursachen kann. Meist wird daher versucht, die Pakete flowbasiert aufzuteilen: Pakete, die dieselbe Absender-IP und Ziel-IP oder zusätzlich noch dieselbe Portadresse haben (Absender-IP+Port/Ziel-IP+Port) gehören zum selben Flow und nehmen den gleichen Weg. 50

51 Prinzipiell läuft ECMP in jedem gerouteten Netzwerk. In der Regel beschränken die Routingprotokolle jeweils in ihrer individuellen Metrik, wie viele Pfade gleicher Qualität möglich sind. VRRP (Virtual Router Redundancy Protocol) VRRP (RFC 2338) sorgt für redundante Auslegung des Default-Gateways. Router nutzen untereinander Routing-Protokolle, um die aktuellsten Routing-Informationen auszutauschen. So erfahren sie bei einem Ausfall von Ersatzwegen und nutzen sie dann. Bei sehr vielen Endclients wird dagegen eine statische Router-Adresse als Default- Gateway eingetragen. Was geschieht mit ihren Datenpaketen, wenn der Router ausfällt? Selbst wenn es einen Ersatzweg gibt, können die Clients diesen wegen des statischen Eintrags nicht nutzen. VRRP-Konzept VRRP behebt dieses Problem durch einen virtuellen Router, dessen IP-Adresse als Default-Gateway auf den Hosts konfiguriert wird. Die physikalischen, redundanten Router kommunizieren dann über VRRP und handeln aus, wer die Routing-Aufgabe des Default-Gateways übernimmt. Der gewählte Router wird als Master bezeichnet, weitere redundante Router sind Backup-Router. VRRP erkennt jeden Ausfall des Master und der Backup-Router übernimmt dessen Aufgabe, ohne dass die Clients das merken. Um Probleme bezüglich der ARP (Address Resolution Protocol)-Einträge zu vermeiden, nutzt der virtuelle Router eine für VRRP reservierte MAC Adresse. Emulation eines virtuellen Routers 51

52 Durch VRRP ist die statische Konfiguration des Default-Gateways auf den Clients kein Single Point of Failure mehr. Normalbetrieb VRRP-Redirection im Fehlerfall Die Konfiguration zweier virtueller Router ermöglicht Lastverteilung zwischen den redundanten Geräten. Man nutzt dazu zwei virtuelle IP-Adressen, für die jeweils einer der Router die Master-Funktion übernimmt. Für die jeweils andere IP-Adresse ist dieser virtuelle Router der Backup-Router. Zusätzlich wird an den Clients eine der beiden IP- Adressen der virtuellen Router als Default-Gateway konfiguriert. Eine gleichmäßige Verteilung lässt sich zum Beispiel mit dem DHCP (Dynamic Host Configuration Protocol) erreichen. Damit sind beide virtuellen Router Default-Gateway. Dieser Ansatz kombiniert Lastverteilung mit Redundanz. Weitere Informationen finden Sie in RFC Server Load Balancing In aktuellen Netzwerkdesigns sorgen meist Protokolle wie VRRP und OSPF bereits für Redundanz. Das gilt allerdings oft nicht für den Anschluss der Server. Um hier Redundanz zu schaffen, braucht man eine zusätzliche Lösung, die eine Netzwerkkomponente bereitstellen muss. Das Konzept, Server redundant auszulegen, bezeichnet man als SLB (Server Load Balancing) oder LSNAT (Load Sharing Network Address Translation, RFC 2391). Das sorgt für Ausfallsicherheit und mehr Leistung. Enterasys-Produkte verwenden LSNAT. Die Geräte reagieren hierbei auf Anfragen an einen virtuellen Server und setzen diese Anfragen entsprechend in Abhängigkeit vom angesprochenen Layer-4-Port auf reelle Serveradressen um. Zwischen den physikalischen Servern werden dann die Anfragen mit einem vom Administrator ausgewählten Algorithmus, etwa Round-Robin, Weighted Round-Robin oder Least Weighted Load First, verteilt. Parallel dazu überprüft das System die Verfügbarkeit der Server und verteilt Anfragen beim Ausfall eines Servers auf die verbleibenden Serversysteme. 52

53 Verwendung von LSNAT Das sorgt für hohe Ausfallsicherheit. Das virtuelle Serversystem skaliert sehr gut, da man beliebig viele Server hinzufügen kann. Die Server müssen allerdings auf eine einheitliche Datenstruktur zugreifen, die das Betriebssystem der Server unterstützen muss. Kombiniert mit den weiter oben beschriebenen Redundanzverfahren, lässt sich so folgendes Szenario realisieren: Szenario für Business Continuity Services In dieser Grafik ist der Zugang des Hosts zum Netz via VRRP redundant ausgelegt; außerdem werden die Anfragen am Ziel, das heißt am Server, per LSNAT verteilt. Wegen des Multi Path Support von OSPF können alle redundanten Wege genutzt werden. Bei einem Defekt sorgt OSPF für sehr kurze Ausfallzeiten. Zwischen den Switchen werden 802.3ad-Trunks gebildet, die mehr Bandbreite liefern und die Redundanz erhöhen. 53

54 IPv6 Das Internet hat sich in den vergangenen Jahren aus einem reinen Datennetzwerk zu einer Multi-Service-Plattform entwickelt. Dies bringt auch neuartige Kommunikationsbeziehungen mit sich, zum Beispiel Peer-to-Peer (P2P)-Vernetzung für Multimedia-Übertragungen oder die Datenversendung über mobile, kabellose Netze. Der Adressraum des jetzigen Internetprotokolls (IPv4) ist höchst unterschiedlich verteilt. So besitzt etwa das Massachusetts Institute of Technology (MIT) in Cambridge/USA ein Netz, in dem sich mit rund 16 Millionen Rechnern mehr Adressen ansprechen lassen als in ganz China. Doch im Web sind gerade vom MIT verwendete Adressen zu IdentiFizieren. Bei linearer Fortschreibung der Vergabepraxis für die restlichen IP- Adressen sind daher Engpässe in wenigen Jahren vorgezeichnet. Zudem steigt die Zahl der Endgeräte exponentiell, so dass der begrenzte Adressraum von IPv4 nicht mehr ausreicht, alle zu versorgen. IPv6 nutzt 128-Bit-Adressen und bietet damit viermal so viel Adressraum wie IPv4. Das bedeutet, dass IPv6 unvorstellbare Adressen pro Quadratmeter Erdfläche bereitstellt. IPv6 dürfte daher in Zukunft die alte Protokollbasis IPv4 in immer mehr Netzen ersetzen. Durch IPv6 lassen sich ganz neue, flexiblere Strukturen zur Verbindung der Knotenpunkte untereinander realisieren. Mit IPv4 werden auch Network Address Transalation (NAT) und CIDR (Classless Inter Domain Routing) verschwinden. Zusätzlich ist wie bei jeder anderen Technologie auch die Sicherheitsfrage zu beantworten. Während IPv4 ursprünglich nur zum einfachen Datenaustausch entwickelt wurde, besitzt IPv6 von Anfang an Sicherheitsfunktionen, die heute unverzichtbar sind. Im Folgenden werden sie näher beschrieben. Sicherheitsfunktionen unter IPv6 IPv6 wurde 1994 als Standard verabschiedet. Es besitzt die Grundfunktionen von IPv4, bietet aber zukunftssichere Neuerungen, um den gestiegenen Anforderungen gerecht zu werden. Eine nähere Betrachtung von IPv6 zeigt die grundsätzlichen sicherheitsbezogenen Vorteile dieses Protokolls. Erweiterter Adressraum im IPv6-Datagrammformat Prinzipiell besteht ein IPv6-Datagramm aus dem Basis-Header, gefolgt von optionalen Zusatzheadern und den Nutzdaten. 54

55 Allgemeine Form eines IPv6-Datengramms Der IPv6-Basis-Header ist doppelt so groß wie der IPv4-Header, enthält aber weniger Felder als dieser. Die Adressgröße für die Quell- und Zieladresse wurde von bisher 32 auf nunmehr 128 Bit erweitert. Erweiterungsheader IPv6 Basis-Header Die wichtigste Neuerung von IPv6 besteht in dem erweiterten Header. Er soll eine effiziente Datenübertragung und Protokollerweiterungen ermöglichen. Der Basis-Header enthält nur Felder, die unbedingt für die Übermittlung eines Datagramms notwendig sind. Erfordert die Übertragung weitere Optionen, können diese im Erweiterungsheader angegeben werden. Einige IPv6-Merkmale des Protokolls werden nur gezielt eingesetzt, etwa die Fragmentierung von Datagrammen. Im IPv4-Basisheader sind Fragmentierungsfelder vorhanden, obwohl viele IPv4-Datagramme nicht fragmentiert werden müssen. IPv6 gliedert diese in einen Erweiterungsheader aus, der nur dann verwendet wird, wenn das Datagramm fragmentiert werden muss. Dies ist bei IPv6 höchst selten, da hier in der Regel mittels Path MTU (Maximum Transmission Unit) Discovery (RFC 1981) die maximale Paketgröße via ICMPv6 (Internet Control Message Protocol) ausgehandelt wird. Daher sollte IPv6-Fragmentierung nur genutzt werden, wenn Anwendungen ihre Paketgrößen nicht individuell anpassen können. Vorteilhaft ist, dass Erweiterungsheader neue Funktionen in das Protokoll integrieren. Es genügt, für das Feld Next Header einen neuen Typ und ein neues Header-Format zu definieren. Bei IPv4 müsste hierzu der Header vollständig geändert werden. Derzeit sind sechs optionale Erweiterungsheader definiert. Werden mehrere Erweiterungsheader verwendet, sind sie in einer festen Reihenfolge anzugeben. 55

56 IPv6-Erweiterungsheader nach RFC 2460, 2402 und 2406: Header Ipv& Basis Header Optionen für Teilstrecken (Hop-by-Hop Options Header) Optionen für Ziele (Destination Options Header) Routing (Routing Header) Fragmentierung (Fragment Header) Authenfizierung (Authentication Header) Verschlüsselte Sicherheitsdaten (Encapsulating Securtiy Payload Header) Optionen für Ziele (Destination Options Header) Header der höheren Schichten (Upper Layer Header) Beschreibung Zwingend erfoderlicher IPv6 Basis Header Verschiedene Informationen für Router Zusätzliche Informationen für das Ziel Definition einer vollständigen oder teilweisen Route Verwaltung von Datengrammfragmenten Echtzeitsüberprüfung des Senders Informationen über den verschlüsselten Inhalt Zusätzliche Informationen für das Ziel (für Optionen, die nur vom endgültigen Ziel des Pakets verarbeitet werden müssen) Header der höheren Protokollschichten (TCP, UDP,...) In Bezug auf die Sicherheit sind zwei Erweiterungsheader interessant, die für Datenintegrität sorgen. Authentisierung Mit Hilfe des Authentication Headers lässt sich die Echtheit eines Paketes prüfen. Er garantiert auch, dass Daten bei der Übertragung unverändert bleiben. Eine Sequenznummer schützt den Empfänger eines Pakets vor Angriffen durch wiederholtes 56

57 Senden desselben Pakets. Der Authentication Header (AH) liefert dabei dieselbe Sicherheit wie IPv4 zusammen mit IPSec. Bei der Authentisierung unterscheidet man zwei Verfahren: den Transport- und den Tunnelmodus. Verschlüsselte Sicherheitsdaten Der ESP (Encapsulating Security Payload)-Header verschlüsselt vertrauliche Daten und garantiert ihre Unversehrtheit. Außerdem schützt ESP wirksam vor sogenannten Data- Replay-Attacken. Wie bei der Authentisierung unterscheidet man bei der Verschlüsselung zwischen Transport- und Tunnelmodus. Der Transportmodus wird bei der Kommunikation zwischen zwei Rechnern verwendet. Normalerweise kennen sich die Rechner hier nicht oder besitzen keine gültigen Schlüssel für eine Verbindung. Daher müssen beide Rechner bei einem Trust Center einen One-Session-Key anfordern, der nur für eine begrenzte Zeit gilt. Der IP-Header selbst bleibt beim Transportmodus unverschlüsselt. Deshalb besteht die Gefahr, dass Hacker Informationen darüber erhalten können, wohin ein Rechner Verbindungen aufbaut und wann er wie viele Daten sendet. Um zwei Firmennetze über öffentliche Leitungen zu verbinden, bietet sich daher der Tunnelmodus an. Hier ist von außen ausschließlich sichtbar, dass die beiden Router kommunizieren, darüber hinaus aber keinerlei weitere Informationen. Wird bei einer kompletten Übertragung der Authentifizierungs-Header genutzt, können IPv6-fähige Firewalls sogar die höheren Schichten im Datenpaket überprüfen und somit Pakete sperren oder freischalten. ICMPv6 ICMPv6 gehört zur IPv6 Protocol Suite. Es dient zur Autokonfiguration unter IPv6. Hier erhalten die Clients automatisch eine IPv6-Adresse. Auch die Entdeckung benachbarter Stationen läuft über einen bestimmten ICMPv6-Nachrichtentyp. Viele Firewalls filtern allerdings die ICMP-Messages oder blocken sie komplett. Unter IPv6 müssen aber bestimmte Nachrichtentypen unbedingt zugelassen werden. Daher ist es nötig, bei der Implementierung von IPv6 den Firewalls erhöhte Aufmerksamkeit zu widmen. Zudem dürfen keine unerlaubten ICMP-Messages vom Zugangspunkt zur Infrastruktur geschickt werden. DHCP- und DNS-Server stecken im Inneren des Netzes und sind meistens bekannt. Daher können diese Pakettypen am Zugangspunkt ausgefiltert werden. Enterasys tut dies mit der Secure Networks Architektur. 57

58 IP bleibt IP IPv6 und IPv4 sind reine Transportprotokolle. Angriffe auf höheren Ebenen, beispielsweise Buffer Overflow oder Angriffe auf Web-Applikationen, sind bei beiden IP- Varianten möglich. Daher braucht man unbedingt zusätzliche Sicherheitsmaßnahmen wie IKE (Internet Key Exchange) aus der IPSec-Protokollsuite oder IEEE 802.1x. Damit lassen sich Attacken wie Flooding (Überflutung mit großen Verkehrsmengen, um einen Zusammenbruch der empfangenden Infrastruktur auszulösen) und Man-in-the-Middle (hier schleicht sich der Angreifer unerkannt in die Kommunikation zwischen zwei Partnern ein, hört mit oder greift selbst ins Kommunikationsgeschehen ein) verhindern und im Netz befindliche, nicht zugelassene Geräte (Rogue Devices) erkennen und entfernen. SNMP (Simple Network Management Protocol) SNMP ist das Standard-Netzwerkmanagementprotokoll, um die Konfiguration und Leistungsinformationen entfernter Netzwerkkomponenten auszulesen. SNMPv1 wurde 1988 veröffentlicht und wird noch heute von den meisten am Markt erhältlichen Netzwerkmanagementsystemen verwendet. Ursprünglich wurde SNMPv1 vor allem entwickelt, um die Ressourcen der Rechner zu schonen. Daher verwendete SNMP zunächst einen minderwertigen Authentifizierungsmechanismus zur Sicherung der Kommunikation: ein einfaches Klartextpasswort, den Community-String. Ergänzend verwendet man auch heute noch oft auf IP-Adressen basierende Zugangslisten, um den Zugriff für SNMPv1 zu regeln. Da SNMP auf dem verbindungslosen UDP (User Datagram Protocol) aufbaut, ist dies ebenfalls eine Sicherheitslücke: Weil man keinen Handshake für den Aufbau der Verbindung braucht, muss die Absenderadresse des IP-Pakets nicht stimmen. Mit SNMPv2 wurden einige neue Methoden in das Protokoll integriert, auch die Sicherheitsproblematik lässt sich durch mehrere Ansätze in den Griff bekommen. Allerdings hat sich bisher keiner von ihnen durchgesetzt. Weil die sichere Kommunikation zwischen Managementstation und Netzwerkkomponenten immer wichtiger wird, bietet die aktuelle Version des Protokolls, SNMPv3, Authentifizerung, Verschlüsselung und Zugriffskontrolle und damit ein komplettes Portfolio von Sicherheitsfunktionen. SNMPv3 (RFC ) definiert verschiedene Sicherheitsmodelle. VACM (View Based Access Control Model) ergänzt die nutzerbasierte Zugriffskontrolle durch die Definition von Views. Die Nutzer erhalten dadurch nur Zugriff auf Teilbereiche der MIB 58

59 (Management Information Base). Fast alle Geräte von Enterasys Networks und alle Komponenten der Enterasys NMS Suite unterstützen SNMPv3. MPLS (Multi Protocol Label Switching) MPLS wurde in den 90er Jahren entwickelt und standardisiert. Die Technologie sollte den Routing- beziehungsweise Forwarding-Prozess durch die Fokussierung auf das sogenannte Label beschleunigen. Damit muss ein Router nicht mehr den gesamten IP- Header lesen, um eine Routing-Entscheidung zu treffen er muss nur noch das dem IP- Header vorangestellte Label auswerten. Dies half insbesondere den Service Providern, das schnelle Wachstum ihrer Netze zu bewältigen. Durch neue Hardwaregenerationen und NPU(Network Processor Units)-basierte Router tritt inzwischen dieser Vorteil von MPLS in den Hintergrund. Das Protokoll ist vielseitig nutzbar. Zu den häufigen Anwendungen gehören: Layer-2- oder Layer-3-VPNs Mit VPN-Services können Service Provider oder Betreiber eines öffentlichen Netzes das Äquivalent dedizierter Private-Network-Services für mehrere Kunden über ein gemeinsames Netz bereitstellen. Dabei bleibt der Datenverkehr der verschiedenen Kunden strikt getrennt. Die verschiedenen Ansätze, VPN-Services mit MPLS einzurichten, lassen sich allesamt als Switched Services (Layer 2) oder Routed Services (Layer 3) einstufen. Auch viele Betreiber von Campusnetzen ziehen heute MPLS in Betracht, weil sie ihren Nutzern gern dieselben Funktionen wie in Service-Provider- Netzen bieten möchten. Traffic Engineering (MPLS-TE) Traffic Engineering ist die häufigste Anwendung für MPLS in Service-Provider- Netzwerken. Das Protokoll wird vor allem in großen, komplexen WANs, etwa nationalen oder globalen Infrastrukturen verwendet. Es hilft, die teuren Langstrecken-Links besser auszunutzen und die Datenströme in diesen Netzwerken besser zu überwachen. MPLS arbeitet auf einer Netzwerkschicht, die zwischen dem traditionell definierten Layer 2 (Data Link Layer) und dem Layer 3 (Netzwerk-Layer) liegt. Diese Schicht wird oft als Layer 2.5 bezeichnet. MPLS bezeichnet man deswegen auch als Layer 2,5. MPLS-Header Layer 2.5 mit Bottom- und Top-Label 59

60 In Unternehmensnetzen ist MPLS eher eine Ausnahme. Unternehmen nutzen oft MPLS- Netzwerke von Service Providern, um entfernte Lokationen anzubinden. Normalerweise ist die MPLS-Infrastruktur völlig transparent für das Unternehmensnetzwerk. Der Datenverkehr des Unternehmens wird in seinem ursprünglichen Format, also ohne MPLS-Labels, an den Router des Service Providers geschickt. Der Service Provider versieht die Daten mit Labels oder entfernt sie. Das Unternehmensnetzwerk kennt den Aufbau der MPLS-Infrastruktur des Service Providers nicht. Ein VPN-Service kann dadurch aufgewertet werden, dass man die VPN-Serviceschicht auf Layer 3 von der darunter liegenden Transportschicht trennt. In diesem Modell kennen die Edge Router der Service Provider die VPNs. Die Core-Router der Provider stellen Transportdienste für den VPN-Traffic bereit, ohne die VPNs selbst erkennen zu müssen. Die Transportschicht versorgt den VPN-Servicelayer mit Konnektivität. Er bietet dem VPN-Verkehr Hochverfügbarkeit durch die Unterstützung mehrerer Transportpfade (Multi-Pathing) und Redundanz. Die Enterasys S-Serie bietet unterschiedliche VPN- Funktionen auf Layer 3, die teils schon verfügbar sind, zum Teil später hinzukommen. Die folgenden Abschnitte beschreiben die aktuelle und zukünftige Technologie. Übersicht über Virtual Routing and Forwarding (VRF) Auch wenn sich ein Campus-VPN mit MPLS aufbauen lässt, ist es einfacher, dazu Virtual Routing und Forwarding zu nutzen (VRF). Mit VRF unterhält ein physikalischer Router mehrere getrennte Routing-Domains mit separaten Routing-Tabellen und Prozessen. Typischerweise wird diese Funktion von PE (Provider Edge)-Routern in MPLS-Netzen von Service Providern genutzt. In den Routing Domains laufen alle bekannten und beim Kunden bereits implementierten IP-Routing-Applikationen. Beispiele sind OSPF, BGP oder RIP. Dafür müssen diese Protokolle und Technologien nicht ins Provider-Netz integriert werden. Mit dieser Technologie ist es möglich, unterschiedliche Server im Rechenzentrum sicher voneinander zu trennen, indem man sie in getrennten Routing Domains platziert. Zwischen separaten Gruppen gibt es keine gemeinsamen Verbindungen, obwohl nur ein Set physikalischer Router und gemeinsame Managementschnittstellen genutzt werden. Medizinische und industrielle Applikationen lassen sich so vom Rest des Netzwerks separieren. Man kann ihnen dedizierte Netzwerkressourcen zuweisen, was Sicherheit gewährleistet und sensible Anwendungen vor unbefugten Zugriffen schützt. Mit VRF lassen sich Campus-LAN-Anwendungen, die sich nur für eine bestimmte Netzwerkgröße eignen, ohne neue, aufwändige Protokolle oder Architekturen (zum Beispiel MPLS, RSVP, LDP, ibgp, etc.) in das LAN integrieren. Dafür brauchen 60

61 Netzwerkarchitekten und Administrationspersonal nur wenig zusätzliches Training. Neue Management- oder Diagnosetools sind nicht erforderlich. Alle bekannten Protokolle, etwa OSPF und RIP, funktionieren unverändert innerhalb ihrer jeweiligen Routing Domains und sind mit den bisherigen Protokollanalysatoren analysierbar. Appliances müssen nicht erweitert werden, um MPLS-Protokolle bearbeiten zu können. VRF kann im Netzwerk auf der gesamten Verbindung (Ende zu Ende) eingesetzt werden, aber auch gemeinsam mit GRE (Generic Routing Encapsulation Protocol)-Tunneling oder MPLS-Labels. Nutzt VRF kein MPLS, bezeichnet man es als VRF-lite oder Multi-VRF Customer Edge. Diese Varianten sind eine Art Leichtversion von MPLS, da es hier beispielsweise keine Label-Verteilung gibt. VRF-Support bei der S-Serie VRF-Trennung innerhalb des Routers Die Enterasys S-Serie unterstützt Ende-zu-Ende-VRF, VRF over IPv4 und IPv6 GRE- Tunneling. Im Ende-zu-Ende Modell gehört jede geroutete Schnittstelle zu einem VRF und muss manuell auf allen Routern konfiguriert werden, die am VRF teilnehmen. Das kann ermüdend und umständlich zu managen sein. Eine typische Faustregel ist, dass ein 61

62 Ende-zu-Ende-VRF am besten für Netzwerke mit weniger als vier Router-Hops von Netzwerkrand zu Netzwerkrand passt. VRF im Core-Router Damit VPN-Services auf Layer 3 leichter aufgesetzt und skaliert werden können, sollte man VRF-Instanzen nur auf solchen Routern einrichten, die VRF für Edge Services unterstützen sollen. Die Konfiguration der Core-Router beim Service Provider vereinfacht sich, wenn VRFs zwischen PE-Routern über GRE-Tunnel unterstützt werden. Denn die Core-Router müssen dann diese VRFs nicht selbst erkennen. Für jeden VRF auf einem PE-Router wird allen anderen VRF-Instanzen auf PE-Routern im Netzwerk ein GRE-Tunnel vorgehalten. Dadurch braucht man weniger VRF-Instanzen in jedem Core-Router und die Infrastruktur für das IP-Core-Routing vereinfacht sich. VRF over GRE Sowohl Ende-zu-Ende-VRF als auch VRF over GRE-Tunnel sind sichere, dedizierte Routing-Ressourcen für kritische Applikationen und bieten eine einfache Lösung für Campus-LAN-Applikationen mit limitierter Netzwerkgröße, ohne eine neue Netzwerktechnologie wie MPLS, einzuführen. 62

63 MPLS - Details Eine MPLS-Architektur, die auf einem PPVPN (Provider Provisioned VPN)-Modell basiert, nutzt spezifische Knotentypen auf jeder Netzwerkschicht P Provider Core Knoten steckt im Netzwerkkern und trifft MPLS-Forwarding- Entscheidungen anhand der Informationen auf den MPLS-Labels. Die Routing- Infrastruktur des Kunden kennt der Core-Router nicht. PE Provider Edge Knoten bildet die Schnittstelle zwischen dem Provider-Core- Knoten und dem CE (Customer Edge). Fügt den Daten MPLS-Label hinzu, sobald sie ins Provider-Netzwerk fließen und entfernt die Labels wieder, bevor der Traffic ins CE einläuft. CE Customer Edge Gerät am Netzwerkrand des Kunden, das die MPLS- Infrastruktur nicht kennt. CE-Geräte versenden und empfangen keinen Traffic mit MPLS Labels. MPLS-Netzwerkübersicht Verschiedene VPN-Modelle sind in einer solchen Architektur einsetzbar: Virtual Private Router Networks (VPRN, z.b. RFC 4364 oder RFC 4023), für den Aufbau gerouteter virtueller Layer-3-Netzwerke. Virtual Leased Line Services (VLL, RFC 2764), bilden Point-to-Point-Links nach. Virtual Private LAN Service (VPLS)/Transparent LAN Service, bildet ein Bridged LAN auf Layer-2 nach. MPLS und VPN RFC 4364 und RFC 4023 beschreiben, wie IP-VPNs durch VRF, MP-BGP und MPLS unterstützt werden. In diesem Zusammenhang gleicht ein VRF einem VPN. Die Daten tragen MPLS-Label, um die VPNs zu IdentiFizieren, und Routen werden per BGP verteilt. BGP isoliert den Datenverkehr und versieht ihn mit einem passenden MPLS-Label, um 63

64 das VRF zu bestimmen. Das MPLS wird anschließend entweder in ein anderes MPLS- Label oder einen IP- oder GRE-Tunnel-Header (MPLS-in-IP-GRE) verpackt und anschließend über den Backbone an den richtigen Edge-Router getunnelt. Folglich müssen die Backbone-Core-Router die VPN-Routen jedes VRF nicht kennen. P-Router ohne VRF-Wissen MPLS-VPN-Unterstützung bei der Enterasys S-Serie Die S-Serie wird MPLS-Funktionen für Unternehmenskunden bieten, die es erlauben, MPLS in mehreren Phasen zu implementieren. Phase 1 MPLS-BGP-VPNs / GRE (RFC 4023) Immer mehr Layer-3-VPN-Domains und PE-Knoten können es sehr komplex machen, einen separaten GRE-Tunnel für jedes VRF zu konfigurieren. Um die Skalierbarkeit über die IP-Core-Infrastruktur zu verbessern, lässt sich MPLS auf der Netzwerkschicht des VPN-Service, Layer-3, einführen. Wie in RFC 4023 definiert, kann man mit MPLS mehrere jeweils mit einem Label versehene VRF- Instanzen über einen einzigen GRE-Tunnel führen, und zwar unabhängig davon, wie viele VRFs zwischen zwei PE-Routern bestehen. ibgp vereinfacht dabei den Austausch von VPN-Routinginformationen und verringert die Anzahl der IGP (Interior Gateway Protocol)- Routing-Instanzen, wie zum Beispiel OSPF oder RIP, die den Core über GRE-Tunnel durchqueren müssen. Eine einzige ibgp-peering-instanz vereinfacht, verglichen mit VRF over GRE, Konfiguration und Management der PE-Router. Letzteres braucht einen GRE- Tunnel für jeden gemeinsamen VRF zwischen zwei PE-Routern. 64

65 MPLS over GRE Phase 2 MPLS-BGP-L3-VPNs /dynamischer Transport In sehr großen VPN-Architekturen ist das GRE-Tunneling zwischen vielen PE-Routern oft sehr komplex und schwierig zu managen. Um die Skalierungsfähigikeiten zu verbessern, könnte man als nächstes eine dynamisch provisionierte Infrastruktur nutzen, in der Transportdienste für L3 VPN-Services nicht manuell konfiguriert werden müssen. Es gibt alternative Transporttechnologien, die für diesen Zweck genutzt werden können. MPLS Core Transport RFC 4364 definiert die Architektur für BGP/MPLS-IP-VPNs. Ein MPLS-fähiger Core stellt hier LSP (Label Switched Path)-Tunnel zwischen PE-Routern dynamisch bereit. Sobald neue PE-Router oder neue VPN-Instanzen hinzugefügt werden, hält die dynamische Anzeige der MPLS Infrastruktur die Vermaschung der LSP Tunnel vor, über welche die MPLS IP VPNs Services transportiert werden. IP-VPN-Services gemäß RFC 4364 werden gewöhnlich in großen Service-Provider-Netzwerken eingesetzt, die bereits eine MPLS-fähige Core-Infrastruktur nutzen. MPLS L3-BGP-VPN gemäß RFC 4364 Shortest Path Bridging Transport Der noch relativ neue Standard IEEE 802.1aq (SPB, Shortest Path Bridging) definiert einen dynamisch bereitgestellten Transportservice, der 65

66 auch sehr große Strukturen ermöglicht. SPB, eine Ethernet-Erweiterung zielt auf Anwendung in rapide wachsenden Rechenzentren und Core-Netzwerkapplikationen. Da SPB auf Ethernet basiert, hoch skalierbar und dynamisch ist, Multi-Path und Hochverfügbarkeits-Fähigkeiten bietet, ist das Verfahren ein idealer Kandidat für unternehmenstaugliche VPN-Transportservices über einen mit MPLS-BGP ausgerüsteten Layer 3. SPB verwendet BEB (Backbone Edge Bridges) und BCB (Backbone Core Bridges). In diesem Modell werden BEBs und der PE zu einem einzigen Switch/Router zusammengefasst. SPB ermöglicht grundsätzlich transparente LAN-Services mit mehreren Endpunkten (Multi-Point) ohne die zusätzliche Komplexität von VPLS. Der Vorteil des Aufbaus unternehmenstauglicher VPN Services auf Layer 3 mittels SPB liegt in ihrer auf Ethernet-Technologien wurzelnden Architektur, denn Ethernet ist den meisten Administratoren von Firmen-LANs bestens vertraut. MPLS over SPB Mit MPLS lassen sich VRF(Lite)-Netze in großen Unternehmensinfrastrukturen einfacher aufbauen. Die Enterasys-S-Serie mit ihrer auf ASICs aufbauenden CoreFlow2-Architektur wird MPLS zusammen mit SPB unterstützen. Die Umsetzung der Technologie in den Geräten wird in mehreren Phasen und jeweils per Software-Update realisiert. Auch durch diese Funktionen wird die S-Serie zu einer erstklassigen Switch/Router-Lösung für Rechenzentrum, Core, Aggregationsebene und Edge in der OneFabric-Architektur. Software Defined Networking (SDN) In virtualisierten Infrastrukturen werden Netzwerke immer wichtiger. Nachdem dem Zeitalter des Mainframes, der Client/Server-Architekturen und des Internet Computing werden virtuelle Applikationen nun in privaten und öffentlichen Clouds gehostet. Damit sind sie für mobile Nutzer und Geräte von überall erreichbar. Netzwerke sind in solchen Infrastrukturen eine kritische Komponente. Verteilte Architekturen aus Switches, Routern und anderen Geräten sollen skalieren und verlässlich verfügbar sein. Mit der Zeit wuchs 66

67 die Komplexität dieser Infrastrukturen und es wurde immer schwieriger, neue Ende-zu- Ende-Services und Applikationen ohne Betriebsunterbrechungen und kosteneffizient bereitzustellen. Das Kerngeschäft verlangt jedoch agilere und flexiblere IT-Services. Diese Herausforderung zu bewältigen, treibt Innovationen voran und unterscheidet erfolgreiche Hersteller wie Enterasys von den übrigen. Das Konzept, mit dem die neuen Aufgaben gelöst werden, heißt SDN (Software Defined Networking). Die SDN-Idee stammt aus den frühen 90er Jahren. Damals entwickelte Cabletron den Prototyp eines Secure VNS (Virtual Network Service). Er führte zur SecureFast-Lösung und wurde von Ipsilon als GSMP (General Switch Management Protocol) umgesetzt. In Serviceprovider-Netzen wurde und wird der Ansatz bisher durch die IMS (IP Multimedia Systems)-Architektur und in Voice-TDM (Time Division Multiplexing)-Netzwerken mittels des IN (Intelligent Network)-Konzepts implementiert. SDN ermöglicht es, in Netzwerken gleichzeitig Sicherheit, Virtualisierung, Managebarkeit, Mobilität und Agilität zu realisieren. Eine SDN-Infrastruktur stellt neue Services und Anwendungen so schnell und verlässlich bereit, wie es dynamische Infrastrukturen verlangen. Im Allgemeinen ist in SDNs die Daten- von der Kontrollebene getrennt. Dienste werden im Netzwerk kollektiv über Schnittstellen/APIs (Application Programming Interfaces), bereitgestellt. Netzwerkgeräte werden eher durch externe, zentrale Systeme konfiguriert als durch solche, die im Netz verteilt sind. Neben Unternehmensnetzen eignet sich SDN auch für Multi-Tenancy-Infrastrukturen und die Servervirtualisierung in den Infrastrukturen der Großrechenzentren von Cloud Service Providern. Es gibt derzeit keine verbindliche Definition einer SDN-Architektur. Vielmehr koexistieren heute verschiedene Herangehensweisen. Jeder Kunde muss deshalb heute im Detail prüfen, welches SDN-Konzept am besten zu seinen individuellen Anforderungen passt. Enterasys bettet SDN Konzepte als Teil der OneFabric Architektur in Unternehmensnetzwerke ein. Trennung von Kontroll und Datenebene in einem SDN Der vielleicht umstrittenste Teil der SDN-Architektur betrifft den Grad der Zentralisierung bei der Steuerung des Netzwerks. Die Kernfragen lauten: Wieviel Kontrolle kann man zentralisieren? Wie effizient können Netzwerkkomponenten sein, ohne ein hoch performantes Kontrollebenen-Subsystem zu benötigen? Das Schlüsselargument für SDN-Architekturen und protokolle liegt in einer bisher unerreichbaren Senkung der Kapitalkosten durch SDN. Denn die Kosten des Host-Komplexes in heutigen Access- Switch-Architekturen sind, verglichen mit den Kosten des kompletten Systemdesigns, fast unerheblich. Erfahrungen haben zwar gezeigt, dass sich die Netzwerkarchitektur 67

68 durch eine Zentralisierung der Kontrollebenen vereinfachen lässt. Allerdings skalieren diese Architekturen in der Praxis nicht ausreichend. Dies trifft vor allem auf moderne IP Netze zu, die immer mehr Knoten und Endsysteme integrieren. Auch die Zahl der Datenströme (Flows), die von einem zentralisierten System verwaltet werden müssen, wächst ständig. Enterasys glaubt daher an einen hybriden SDN-Ansatz mit einer verteilten und einer zentralisierten Kontrollebene. Nur so kann man den Implementierungs- und Wartungsaufwand in IP-Netzen optimieren, ausreichend Kontrolle ausüben und mit den stark wachsenden Infrastrukturen und dem Verkehrsaufkommen in IP-Netzwerken Schritt halten. SDN-Überblick Sehr feingranular definierte Datenströme, welche, wie es aus Sicherheitsgründen unumgänglich ist, die Applikationsebene einschließen, überfluten jedes zentralisierte System mit Millionen von Flows. Jeder Flow muss aufgesetzt oder bei Link/Geräte- Ausfällen in großen Unternehmens oder Service-Provider-Netzen umprogrammiert werden. Werden dagegen nur einfache Steuermechanismen (wie ein Pfad zwischen Ressourcengruppen, z.b. Server Subnet) benötigt, ist ein zentralisierter Ansatz realistisch. 68

69 Anzahl neuer Flows pro Client Die oben genannten Zahlen zeigen, wie viele neue Flows pro Client typischerweise anfallen. Laufen virtualisierte Maschinen auf Servern, sind es zehn- bis hundertmal mehr. Das bedeutet für ein Rechenzentrum mit 1000 Servern dauerhaft bis einer Million neuer Flows pro Sekunde, wobei die Flows im gesamten Netzwerk definiert sein müssen. Das Flaggschiff unter den Flow-basierten Switches mit CoreFlow2- Technologie von Enterasys bearbeitet schon heute bis zu 64 Millionen simultane Flows - bald werden es bis zu 96 Millionen Flows sein. Müssen Verbindungen nach einem Ausfall neu geroutet werden (Rerouting) oder stört ein anderes Ereignis den Datenverkehr, etwa ein Wurmausbruch oder ein Netzwerkscan, kann die Flow-Rate drastisch nach oben gehen. Eine verteilte Kontrollebene mit Instanzen lokal an jedem Switch bewältigt solche Flow-Massen effektiver als ein zentralisiertes System. Um immer mit Leitungsgeschwindigkeit arbeiten zu können, darf die Verzögerung im Switch bei einer Leitungsgeschwindigkeit von 10Git/s eine Nanosekunde nicht überschreiten. Der Verzug, der bei zentralisierten Flow-Setup-Entscheidungen in Echtzeit entsteht, wird deshalb häufig nicht akzeptabel sein. In diesem Fall wäre nur das Preprovisioning von groben Pfadbeschreibungen (Coarse Flows oder Pfade ) möglich. Eine praktikablere Alternative für den Einsatz in großem Stil, die trotzdem granulare Kontrolle ermöglicht, ist der Hybridansatz, wie ihn Enterasys anbietet. Dabei spielen lokale und zentrale Kontrollebenen zusammen. Sie sind gemeinsam verantwortlich für das Topologiemanagement, die Netzwerkvirtualisierung, Ausfallsicherung, das Lernen der Adressen und dafür, neue Flows mit den für sie vorgesehenen Regeln zu versorgen. Nur ausgesuchte Flows werden zur zentralisierten Kontrollebene geschickt, um weitere Inspektions und Policy-Entscheidugungsprozesse zu durchlaufen. Die Resultate wandern zurück an die nachgelagerten Ebenen und modifizieren bereits aufgesetzte Flows. 69

70 Schnittstellen und APIs für ein SDN Enterasys Networks Solution Guide 2013/2014 SDNs können heute etablierte APIs wie CLI, SNMP, RADIUS, NETCONF, XML, XMPP zu ihrem Vorteil nutzen. Inzwischen werden neue APIs wie OpenFlow oder OpenStack und andere entwickelt. Doch sie sind noch nicht ausgereift und deshalb manchmal unpassend für Unternehmensnetzwerke und Data Center. Eine Standardisierung über mehrere Hersteller fehlt bislang, es gibt noch keine einzige Wahl-API aller Hersteller. Es folgt eine Übersicht der in SDNs nutzbaren APIs mit ihren Vor- und Nachteilen. CLI (Command Line Interface) Jeder Hersteller hat seine eigene CLI-Implementierung. Meistens existieren mehrere unterschiedliche CLIs innerhalb eines Herstellerportfolios. Es gibt kostspielige Management-/Provisioning-Tools, die mit mehreren Herstellerimplementierungen zu arbeiten versuchen. Sie eignen sich nur für große Service Provider. SNMP Hier sind die Herausforderungen mit CLI vergleichbar. Zudem nutzen viele Hersteller SNMP nur fürs Monitoring, aber nicht zur Konfiguration und Provisionierung. Enterasys dagegen verwendet einheitlich bei allen Switches, Routern und Wireless Access Points im Portfolio SNMP für das Policy Provisioning. Mit Enterasys OneFabric Control Center lassen sich Policies via SNMP3 nahtlos über alle Layer und Technologien einer Enterasys-Infrastruktur von einem einzigen, zentralen Kontrollpunkt aus verteilen. RADIUS Als Teil der Standardisierung von Attributen für Network Access Control (RFC 3580) dient dieses Protokoll unter anderem der dynamischen Regelverteilung an Systeme mehrerer Hersteller. Es hat sich in verschiedenen großen, heterogenen Installationen bewährt. Auch Enterasys OneFabric Control Center erledigt in derart heterogenen Installationen diese Aufgabe. Allerdings reichen seine Provisionsfähigkeiten über die grundlegende VLAN-Policies hinaus, sofern die zu steuernden Netzwerkkomponenten wie Switches, Access Points oder Remote Access VPN-Gateways weitergehende Regeln wie ACLs und andere unterstützen. Das Network Access Control Management von Enterasys OneFabric Control Center abstrahiert gerätespezifische Mechanismen zur Durchsetzung von Regeln und vereinheitlicht das dynamische Policy-Provisioning und -Management. Eine typische Lösung für Network Access Control stellt vor allem Netzwerkdienste am Rand der Infrastruktur bereit. Deshalb sollten andere Netzschichten statisch im Netz vorgehalten werden. Die fürs Edge definierten Regeln, beispielsweise RADIUS Snooping oder Bandbreitenmanagement, lassen sich durch geeignete Switches auch auf die 70

71 Verteilschicht ausdehnen. So nutzen die Geräte der Enterasys S- und K-Serie die Policy- Zuweisung am Edge, um feinere granulare Policies für das Endsystem auch auf dem Distribution Layer durchzusetzen. NETCONF (Network Configuration Protocol) Dieses Protokolll (RFC 6241) ist vor allem für Router-Implementierungen vorgesehen und wird von Enterprise-Produkten unterstützt. Momentan eignet es sich nur für Router Provisioning in Service-Provider-Netzen oder ähnlichen Infrastrukturen. XMPP (Extensible Messaging and Presence Protocol) RFC 6120 wurde entwickelt, um strukturierte, aber riesige Datenmengen zwischen zwei oder mehr Netzinstanzen in echtzeitähnlichen Geschwindigkeiten auszutauschen. Es zielt auf Applikationen rund um das Presence Management, kann aber auch für andere Lösungen genutzt werden. XML / SOAP (Extensible Markup Language / Simple Object Access Protocol) NETCONF, XMPP und SOAP nutzen dieses Protokoll als Wrapper/Encoder für ihre Nachrichtenübertragung. SOAP ist ein leichtes Protokoll zum Informationsaustausch in dezentralisierten, verteilten Umgebungen. Da SOAP applikationsdefinierte Datenarten unterstützt, kann man es verwenden, um Daten bei der Regelverteilung auszutauschen. So arbeitet die Verbindung XMP/SOAP-basiert, über die Enterasys OneFabric Control Center Regelsätze für virtuelle Maschinen in physikalischen und virtuellen Infrastrukturen (vswitch) an Managementlösungen für virtualisierte Umgebungen wie VMware vcenter und Citrix XEN Center (mit Nutzung von Microsoft SCVMM Powershell) liefert,. OpenFlow Dieses Protokoll öffnet normalerweise den Zugriff auf die Forwarding-Ebene. Software auf einer getrennten Kontrollebene darf über OpenFlow-Controller die Pfade für Paket- Flows durch das Netz festlegen. Diese Trennung von Steuerung und Weiterleitung bedeutet faktisch eine Virtualisierung der Netzinfrastruktur. Sie erlaubt potentiell eine anspruchsvollere Verkehrssteuerung als ACLs und Routing-Protokolle. OpenFlow wird hauptsächlich auf einem sicheren Kanal zwischen Switch und Controller eingesetzt. IF-MAP (Interface for Metadata Access Point) Die Trusted Computing Group hat mit Trusted Network Connect (TNC) eine offene Architektur entwickelt und Protokolle zusammengestellt, die hochgradige Interoperabilität bei gleichzeitig erhöhter Datensicherheit ermöglichen. Außerdem 71

72 schützt dieses Konzept die betriebliche Integrität der Geräte am IP Netz. Die IF-MAP- Protokolle sorgen für sichere, offene und flexible Kommunikation und gestatten es, Daten zwischen gesicherten Applikationen, Geräten und Systemen zu teilen. OpenStacks Ziel von OpenStacks ist eine allgegenwärtige Open-Source Cloud-Computing-Plattform für öffentliche und private Clouds. Konzerne, Service Provider, Reseller, kleine und mittlere Betriebe und globale Data Center, die große Cloud Netze für öffentliche oder private Clouds einsetzen wollen, sind potentielle Nutzer dieser Technologie. SDN für Netzwerkautomatisierung und Virtualisierung nutzen SDN in Unternehmensnetzen erlaubt Netzwerkvirtualisierung und automatische Konfiguration im gesamten Netzwerk/Fabric. So können neue Services und Endsysteme schnell eingesetzt werden und die Betriebskosten werden minimiert. Neu entstehende Protokolle wie OpenFlow haben speziell diesen Aspekt im Blick. Doch das angestrebte Ziel ist schon heute realisierbar, indem man die Vorteile existierender und in fortgeschrittenen Standardisierungsphasen befindlicher Topologieprotokolle, SPB, VLANs und VRF/MPLS mit SDN Architekturen kombiniert, um neuen Geräten und Applikationen Netzwerkressourcen dynamisch bereits am Edge bereitzustellen. Beispiel Netzwerkvirtualisierung 72

73 Die Enterasys SDN-Lösung Die Enterasys OneFabric Architektur mit dem OneFabric Control Center nutzt die Vorteile des SDN Konzepts. Allerdings wird die Kontrolle an andere IT Systeme delegiert, beispielsweise an Lösungen für das VM-/Cloud-Management, Tools für das Provisioning und das DHCP/DNS-Management oder andere Werkzeuge, die Endsysteme im Netz managen von mobilen Geräten über VoIP bis zum IP-Videomanagement. Kunden können mit statischem Policy Provisioning beginnen und SNMP3 auf allen Netzwerkschichten verwenden. In einer zweiten Phase können sie am Netzwerkrand dynamisch Policies bereitstellen und dabei von der Authentifizierung oder IdentiFizierung der Anwender und Endsystemen profitieren. Schließlich können sie den Netzbetrieb und die Bereitstellung von Regeln, Services und Anwendungen mit Hilfe bestehender IT- Systeme automatisieren. Der Core arbeitet dabei normalerweise statisch und bietet virtualisierte Netzwerkdienste. In Zukunft wird die direkte und dynamische Flowsteuerung möglich. Denn die Hybrid- Architektur von Enterasys erlaubt es, auch die Vorteile von SDN-Protokollen wie OpenFlow zu nutzen. Typische Anwendungen für SDN sind Lokalisierungsdienste und das Provisionieren in konvergenten Netzen. Aus Sicherheitsgründen (Notfall-Antwort) und für das Gerätemanagement brauchen VoIP-Administratoren detaillierte Informationen über jedes IP-Telefon und andere SIP (Session Initiation Protocol)-fähige Endpunkte am Netz. Dazu gehört die Telefonnummer des Geräts, IdentiFikationsinformationen wie die MAC- Adresse des Telefons, auf dem Gerät/Endpunkt laufende Software mit Versionsbezeichnung sowie alle Konfigurationstemplates, etwa Kurzwahlzuweisungen, die dem Endgerät zugewiesen wurden. Dazu kommen detaillierte Informationen zum Standort: angeschlossener Switch und Port, der IP-Adresse des Switches und Ports, Sicherheitsstatus des Telefons und zugewiesene Netzwerkregeln des Endgeräts. Diese Informationen wurden lange für jeden Endpunkt am Netz manuell ins System eingeführt und gewartet. Das verursacht hohen Aufwand, erhöht die Betriebskosten und skaliert schlecht. Gerade standortbezogene Informationen auf Dauer genau zu halten, ist fast unmöglich. Umzüge führen in solchen Installationen häufig dazu, dass diese Daten nicht mehr stimmen. Das liegt daran, dass der VoIP (Voice over IP)-Controller zwar MAC-Adresse, Telefonnummer, Gerätetyp, Software und Softwareversion aller registrierten Telefone automatisch lernt, nicht jedoch Informationen zum Standort. Anders ist es, wenn man OneFabric Control Center in eine VoIP-Infrastruktur von Siemens integriert. Diese Kombination bietet automatisierte Lokalisierungsdienste für VoIP-Telefone. Zugriffskontrolle und Lokalisierungsdienste erkennen ein IP-Telefon, 73

74 sobald es sich zum ersten Mal mit dem Netz verbindet. Telefon und Telefonnummer werden automatisch den detaillierten Standortinformationen zugewiesen. Das betrifft den Switch (oder Wireless Controller), den Port (oder die SSID an WLAN Access Points), an den das Telefon angeschlossen ist, die IP Adresse des Switches/Wireless Controllers, die Lokalisierung von Switch und Port, die Port ELIN (Emergency Location Information Number), den Sicherheitsstatus des Telefons, die dem Telefon zugewiesenen Netzwerkregeln und seinen momentanen Status. Die automatische Zuweisung reduziert die administrativen und betrieblichen Kosten, da die Informationen nicht manuell in eine Datenbank eingegeben werden müssen und sich bei Umzügen automatisch aktualisieren. Besonders kritisch ist das, wenn es im Notfall darum geht, ein Telefon schnell zu lokalisieren. Sobald ein IP Telefon erkannt und autorisisert wurde, kann dem gesamten Traffic des Telefons die VoIP-Policy-Rolle zugewiesen werden. Dieser Regelsatz hat zwei Elemente: Das Sicherheitselement schützt den VoIP Server vor Attacken, indem nur autorisierte IP-Telefone VoIP-Protokollpakete zum Server schicken dürfen. Das QoS- Element markiert und priorisiert alle vom Telefon kommenden Pakete, um Verzögerungen im Netz zu minimieren und die Sprachqualität zu verbessern. Dadurch bleibt die hohe Sprachqualität auch bei mehr Verkehr im Netz erhalten. Die Enterasys OneFabric Architektur nutzt SDN-Architekturkomponenten, um das gesamte Netz von einem zentralen Punkt aus durchschau- und kontrollierbar zu machen. Durch diese zentralisierte Transparenz können Infrastruktur- und Applikations- Teams kooperieren. Das senkt die Kosten und verringert das Auftreten von Fehlern im typischen Netzwerkbetrieb. Die einst komplexe Aufgabe, Server und Netzwerkinfrastruktur zu provisionieren und deprovisionieren, wird radikal vereinfacht: Regeln werden lokal definiert und auch in sehr großen Netzen flächendeckend durchgesetzt, die Betriebseffizienz steigt und Applikationen lassen sich verlässlich bereitstellen. 74

75 Kapitel 2 - OneFabric Edge Enterasys A/B/C-Serie Enterasys Networks Solution Guide 2013/2014 Die A/B/C-Switchserie besteht aus kostengünstigen Switches mit Routing- und Secure Networks -Unterstützung. Die Geräte kommen im Accessbereich in der 10/100 Ethernet-Variante und im Server-Bereich in der 10/100/1000 Ethernet Variante mit 10Gbit Uplink zum Einsatz. Die Buchstaben A/B/C kennzeichnen drei unterschiedliche Varianten. Gestapelt in Stacks, sind sie einfach zu verwalten und bieten gleichzeitig hohe Portdichte: Pro Switch sind bis zu 48 Enduser-Ports und 4 Uplink-Ports möglich. Stacks können aus maximal acht verbundenen Switches bestehen, pro Stack ergeben sich so bis zu 384 Enduser- Ports. In einem Stack lassen sich nur Modelle einer Serie kombinieren (A, B oder C).Eine Closed-Loop-Lösung mit bidirektionalen Switchverbindungen sorgt in Switch-Stacks für Hochverfügbarkeit. Dabei wird bei Ausfall eines Switch innerhalb des Stacks der Ring (Closed Loop) dynamisch geschlossen und so ein Single Point of Failure beim Stacken vermieden. Alle Switches sind auch in einer PoE-Variante (Power over Ethernet) erhältlich und durch die Kennung P am Ende der Bestellnummer gekennzeichnet. Die PoE-Switches erkennen adaptiv den Stromverbrauch der angeschlossenen Geräte. Dadurch wird die verfügbare Leistung optimal verteilt. Alle Module nutzen dieselben Netzteile, die auf Wunsch auch redundant lieferbar sind. Wichtig für Switches in Netzen mit Distribution Layer Security ist die Unterstützung von EAP-Forwarding. So ist auch bei Nutzung von Spanning Tree eine zentrale IEEE 802.1x Authentifizierung über den Switch möglich. Neben 802.1x werden auch MAC, Web und CEP Authentifizierung unterstützt. Da die Switche diese Authentifizierungsarten auch gleichzeitig an einem Port unterstützen, entfällt eine statische Konfiguration nach Gerätetypen. Dadurch wird eine hohe Mobilität in einer konvergenten Infrastruktur gewährleistet. Zusätzlich lässt sich die Kommunikation zwischen den Access Ports so weit einschränken, dass nur noch Access- und Uplink Ports Daten austauschen können. Das schafft optimale Sicherheit auch bei einer nachgelagerter Authentifizierung z.b. über die Uplinks der Enterasys S-Serie.. Lebenslange Garantie Kunden können Switches aus der A/B/C-Serie bis zu 30 Tage nach dem Eingang der Ware bei Enterasys registrieren lassen. Dadurch erhalten sie eine lebenslange Garantie 75

76 (Lifetime Warranty, LW) für die fehlerfreie Funktion der Switche bis mindestens fünf Jahre nach der Einstellung des Produktes bei Enterasys Networks. Die Garantie umfasst kostenlose Firmware-Bugfixes und die Bereitstellung von Ersatzgeräten nach vorhergehender Beratung durch das GTAC. Mehr Informationen dazu unter: Enterasys A4 Enterasys A4 ist ein leistungsstarker, schneller Ethernet-Edge-Switch mit einer Switching- Kapazität von 12,8 Gbps. Das Gerät hat bis zu Base-FX-Ethernet-Ports und 4 Gigabit-Ethernet-Uplink-Ports. Der Switch arbeitet auch im Stack mit Leitungsgeschwindigkeit, ist skalierbar und eignet sich besonders für brandbreitenintensive und verzögerungssensitive Applikationen. Er unterstützt MAC Adressen. Damit passt der A4 besonders gut in Umgebungen, die Support für 100Base-FX-Ethernet-Ports mit Gigabit-Uplinks benötigen. Der A4 bietet Multi-Layer- Paketklassifizierung und Prioritätsqueuing für unterschiedliche Dienste. Bis zu acht A4- Switches lassen als Stack zu einem virtuellen Switch verbinden, der 102,4 Gbps Kapazität bietet und bis zu Base-FX-Ethernet-Ports sowie 16 Gigabit-Ethernet- Uplink-Ports zur Verfügung stellt. Durch robuste QoS- Eigenschaften eignet sich der A4 besonders für integrierte Multimedia-Netzwerke mit VoIP und Video sowie datenintensive Anwendungen. Das Gerät hat pro Port acht in Hardware realisierte Prioritätsqueues, die Services mit maximal sechs unterschiedlichen Dringlichkeitsstufen unterstützen. In Verbindung mit seiner blockierungsfreien Layer-2-Switching-Architektur stellt der intelligente Queuing- Mechanismus des A4 sicher, dass geschäftskritische Anwendungen vorrangigen Zugriff auf Netzwerkresourcen erhalten. Der Switch garantiert durch seine Authentifizierungsund Sicherheits-Features auf Port- oder User-Ebene ein sicheres Netzwerk. Pro Port ist ein Endgerät oder ein Nutzer anschließbar, die Authentifizierung erfolgt via IEEE 802.1x oder MAC Adresse. Enterasys A4 - Zuverlässigkeit und Verfügbarkeit Redundanz und Fehlerschutz, Grundvoraussetzungen für ein zuverlässiges Netz, realisiert der A4-Switch durch automatisierte Fehler- und Recoveryleistungen. Strom bekommt der A4 durch eine integrierte Stromversorgung, optional ist auch eine externe Stromversorgung möglich, die für Redundanz sorgt. Werden bis zu acht der A4-Switches zu einem Stack verbunden, entsteht ein virtueller Switch mit einer einzigen IP-Adresse, 76

77 der mit redundantem Management verwaltet werden kann. Das Closed-Loop-Stacking des A4 nutzt bidirektionale Switchverbindungen, damit auch bei Fehlern auf der physikalischen Ebene der Switches die Verbindungen im virtuellen Switch erhalten bleiben. Bis zu acht Ethernet Ports lassen sich in einer Multi-Link-Aggregation Gruppe (LAG) zusammenfassen. Der A4 unterstützt mehrere LAGs, die über mehrere A4s innerhalb eines Stacks verteilt sein dürfen. Das verhindert Unterbrechungen der Datenkommunikation aufgrund von Fehlern auf Switchlevel. Enterasys A4 - Investitionsschutz Der A4 ist ein kosteneffektiver, stapelbarer Switch mit breitgefächertem Featureset für Netze von heute und morgen. Für alle Switche der A-Serie übernimmt Enterasys ohne Zusatzkosten eine lebenslange Garantie. Zum Garantieumfang gehören Vorabaustausch der Hardware, Firmware-Upgrades und Telefonsupport. A4 Stack 8F8T 24FX 77

78 Technische Eigenschaften Performance Throughput Capacity wirespeed Mpps (switch / stack) Switching Capacity (switch / stack) Stacking Capacity (switch / stack) Aggregate Throughput Capacity (switch / stack) PoE Specifications Enterasys Networks Solution Guide 2013/2014 A4h A4h124-24P A4h A4h124-48P A4h254-8F8T A4h124-24FX 9.5 Mpps / 76.2 Mpps 12.8 Gbps (9.5 Mpps) / Gbps (76.2 Mpps) 4.0 Gbps (2.98 Mpps)/32.0 Gbps (23.8 Mpps) No dedicated stacking on A4; Up to two Gigabit uplinks can be used for stacking or uplinks 12.8 Gbps (9.5 Mpps) / Gbps (76.2 Mpps) 9.5 Mpps / 76.2 Mpps 12.8 Gbps (9.5 Mpps) / Gbps (76.2 Mpps) 4.0 Gbps (2.98 Mpps)/32.0 Gbps (23.8 Mpps) No dedicated stacking on A4; up to two Gigabit uplinks can be used for stacking or uplinks 12.8 Gbps (9.5 Mpps) / Gbps (76.2 Mpps) 13.1 Mpps / Mpps 17.6 Gbps (13.1 Mpps) / Gbps (104.8 Mpps) 4.0 Gbps (2.98 Mpps)/32.0 Gbps (23.8 Mpps) No dedicated stacking on A4; up to two Gigabit uplinks can be used for stacking or uplinks 17.6 Gbps (13.1 Mpps) / Gbps (104.8 Mpps) 13.1 Mpps / Mpps 17.6 Gbps (13.1 Mpps) / Gbps (104.8 Mpps) 4.0 Gbps (2.98 Mpps)/32.0 Gbps (23.8 Mpps) No dedicated stacking on A4; up to two Gigabit uplinks can be used for stacking or uplinks 17.6 Gbps (13.1 Mpps) / Gbps (104.8 Mpps) 8.3 Mpps / 66.7 Mpps 11.2 Gbps (8.3 Mpps) / 89.6 Gbps (66.7 Mpps) 4.0 Gbps (2.98 Mpps)/32.0 Gbps (23.8 Mpps) No dedicated stacking ports on the A4; 10/100/1000 can be used for stacking or uplinks 802.3af N/A Yes N/A Yes N/A N/A Interoperable System Power N/A 370 watts per N/A 415 watts per N/A N/A switch with up to 15.4 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection switch with up to 15.4 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection Physical Specifications Dimensions (H x W x D) H: 4.4 cm (1.73 ) W: 44.1 cm (17.36 ) D: 20.7 cm (8.15 ) H: 4.4 cm (1.73 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) 5.50 kg (12.13 lb) H: 4.4 cm (1.73 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) 4.59 kg (10.12 lb) H: 4.4 cm (1.73 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) 6.00 kg (13.23 lb) H: 4.4 cm (1.73 ) W: 44 cm (17.32 ) D: 36.5 cm (14.37 ) 4.78 kg (10.50 lb) 9.5 Mpps / 76.2 Mpps 12.8 Gbps (9.5 Mpps) / Gbps (76.2 Mpps) 4.0 Gbps (2.98 Mpps)/32.0 Gbps (23.8 Mpps) No dedicated stacking ports on the A4; 10/100/1000 can be used for stacking or uplinks H: 4.4 cm (1.73 ) W: 44 cm (17.32 ) D: 36.5 cm (14.37 ) 4.85 kg (10.69 lb) Net Weight 2.58 kg (5.69 lb) MTBF 408,618 hours 286,587 hours 323,946 hours 232,259 hours 388,498 hours 388,135 hours 78

79 Physical Ports (24) 10/100 auto-sensing, autonegotiating MDI/MDI-X RJ45 ports (2) SFP ports (2) Gigabit stacking/uplin k Rj45 ports (1) DB9 console port (1) RPS port Power Requirements Enterasys Networks Solution Guide 2013/2014 (24) 10/100 PoE (.af) autosensing, autonegotiating MDI/MDI-X RJ45 ports (2) SFP ports (2) Gigabit stacking/uplin k Rj45 ports (1) DB9 console port (1) RPS port (48) 10/100 auto-sensing, autonegotiating MDI/MDI-X RJ45 ports (2) SFP ports (2) Gigabit stacking/uplin k Rj45 ports (1) DB9 console port (1) RPS port (48) 10/100 PoE (.af) autosensing, autonegotiating MDI/MDI-X RJ45 ports (2) SFP ports (2) Gigabit stacking/uplin k Rj45 ports (1) DB9 console port (1) RPS port (8) 10/100BASE-T RJ45 ports (8) 100Base- FX MT-RJ ports (2) Gigabit Ethernet SFP ports (2) 10/100/1000 stacking/uplin k RJ45 ports (1) DB9 console port (1) RPS port (24) 100Base-FX MTRJ fiber optic ports (2) mini-gbic ports (2) 10/100/1000 stacking/uplin k RJ45 ports (1) DB9 console port (1) RPS port Normal Input VAC VAC VAC VAC VAC VAC Voltage Input Hz Hz Hz Hz Hz Hz Frequency Input Current 1.0 A Max 5 A Max 1.0 A Max 5 A Max 1.0 A Max 1.0 A Max Power Consumption Temperature IEC Standard Operating Temperature IEC Non-Operating Temperature Heat Dissipation humidity Operating Humidity Vibration Shock drop Acoustics 31 watts 63 watts 47 watts 73 watts 47 watts 66 watts 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 105 BTUs/Hr 215 BTUs/Hr 161 BTUs/Hr 249 BTUs/Hr 161 BTUs/Hr 224 BTUs/Hr 5% - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC IEC IEC IEC IEC IEC IEC IEC IEC IEC IEC IEC IEC db when 50.0 db 47.0 db 50.0 db 50.0 db 51.5 db the fan runs Agency and Regulatory Standard Specifications Safety UL , CSA , EN , and IEC UL , CSA , EN , and IEC UL , CSA , EN , and IEC UL , CSA , EN , and IEC UL , CSA , EN , and IEC UL , CSA , EN , and IEC

80 EMC FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN Environmenta l 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V- 3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V- 3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive) Redundante Stromversorgung Equipment Spezifikationen STK-RPS-150CH2 Power Shelf STK-RPS-150CH8 Power Shelf Power Supply Slots STK-RPS-150PS Power Supply Dimensionen H: 5,5 cmb: 44 cmt: 18 cm H: 22,26 cmb: 44 cmt: 26,4 cm H: 19,6 cmb: 5,2 cmt: 25,7 cm Gewicht 0,95 kg 5,27 kg 1,75 kg MTBF Std. Betriebstemperatur bis 50 Lagertemperatur bis 73 Feuchtigkeit %-90% Stromversorgung Hz, VAC Maximum Ausgangsleistung - Stetig 150 W 80

81 Bestellinformationen Part Number A4 Switches Enterasys Networks Solution Guide 2013/2014 description A4H x 10/100, (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45 ports, Ext RPS A4H124-24P 24 x 10/100 PoE (.af), (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45 ports, Ext RPS A4H x 10/100, (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45 ports, Ext RPS A4H124-48P 48 x 10/100 PoE (.af), (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45 ports, Ext RPS A4H124-24FX 24 x 100Base-FX, (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45 ports, Ext RPS A4H254-8F8T 8 x 100Base-FX plus 8 x 10/100, (2) SFP ports, (2) 10/100/1000 stacking/uplink RJ45 ports, Ext RPS Cables SSCON-CAB Redundant Power Supplies STK-RPS-150CH2 STK-RPS-150CH8 STK-RPS-150PS STK-RPS-500PS Spare DB9 Console Cable 2-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) 8-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) 150W Non-PoE redundant power supply 500W redundant PoE power supply Enterasys A4 Features, Standards und Protokolle Switching Services IEEE 802.1D MAC Bridges IEEE 802.1s Multiple Spanning Trees IEEE 802.1t 802.1D Maintenance IEEE 802.1w Rapid Spanning Tree Reconvergence IEEE 802.3ab GE over Twisted Pair IEEE 802.3ad Link Aggregation IEEE 802.3i 10Base-T IEEE 802.3u 100Base-T, 100Base-FX IEEE 802.3z GE over Fiber Full/half duplex auto-sense support on all ports IGMP Snooping v1/v2/v3 Jumbo Frame support (9,216 bytes) Loop Protection One-to-One and Many-to-One Port Mirroring Port Description Protected Ports Per-Port Broadcast Suppression Spanning Tree Backup Root STP Pass Thru Security IEEE 802.1x Port Authentication MAC-based Port Authentication Password Protection (encryption) RADIUS Client Secured Shell (SSHv2) Secured Socket Layer (SSL) 81

82 MIB Support Enterasys Entity MIB Enterasys VLAN Authorization MIB IEEE 802.1X MIB Port Access IEEE 802.3ad MIB LAG MIB RFC 826 ARP and ARP Redirect RFC 951 BOOTP RFC 1213 MIB/MIB II RFC 1493 BRIDGE-MIB RFC 1643 Ethernet-like MIB RFC 2131 DHCP Client RFC 2233 IF-MIB RFC 2271 SNMP Framework MIB RFC 2618 RADIUS Authentication Client MIB RFC 3580 IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines RFC 2620 RADIUS Accounting Client MIB RFC 2668 Managed Object Definitions for MAUs RFC 2674 P-BRIDGE-MIB RFC 2674 QBRIDGE-MIB VLAN Bridge MIB RFC 2737 Entity MIB (physical branch only) RFC 2819 RMON-MIB RFC 2863 IF-MIB RFC 2933 IGMP MIB RFC 3289 DiffServ MIB RFC 3413 SNMP v3 Applications MIB RFC 3414 SNMP v3 User-based Security Module (USM) MIB RFC 3415 View-based Access Control Model for SNMP RFC 3584 SNMP Community MIB VLAN Support Generic Attribute Registration Protocol (GARP) Generic VLAN Registration Protocol (GVRP) IEEE 802.1p Traffic classification IEEE 802.1q VLAN Tagging IEEE 802.1v Protocol-based VLANs IEEE 802.3ac VLAN Tagging Extensions Port-based VLAN (private port/private VLAN) Tagged-based VLAN VLAN Marking of Mirror Traffic Management Alias Port Naming Command Line Interface (CLI) Configuration Upload/Download Editable Text-based Configuration File FTP/TFTP Client Multi-configuration File Support NMS Automated Security Manager NMS Console NMS Inventory Manager NMS Policy Manager Node/Alias Table RFC 854 Telnet RFC 1157 SNMP RFC 1901 Community-based SNMPv2 RFC 2271 SNMP Framework MIB RFC 3413 SNMP Applications MIB RFC 3414 SNMP User-based Security Module (USM) MIB Module (USM) MIB RFC 3415 View-based Access Control Model for SNMP RMON (Stats, History, Alarms, Events) Simple Network Time Protocol (SNTP) 82

83 SSH Syslog Telnet Text-based Configuration Upload/Download Web-based Management Webview via SSL Interface Quality of Service 6 User Addressable Priority Queues per Port 802.3x Flow Control IP DSCP Differentiated Services Code Point IP Precedence IP Protocol Queuing Control Strict and Weighted Round Robin Source/Destination IP Address Source/Destination MAC Address Unterstützte Funktionalitäten MAC Address Table Size 8,000 VLANs 4,096 VLAN IDs 1,024 VLAN Entries per Stack Embedded Services Ingress Rate Limiting IP TOS Rewrite Layer 2/3/4 Classification Multi-layer Packet Processing 83

84 Enterasys B5/C5 Enterasys Networks Solution Guide 2013/2014 Enterasys B5 ist ein leistungsstarker Gigabit-Ethernet-Edge-Switch mit einer Kapazität von 188 Gbps. Er arbeitet mit Leitungsgeschwindigkeit und unterstützt MAC- Adressen. Das Gerät eignet sich besonders für bandbreitenintensive und verzögerungssensitive Applikationen. Damit ist der B5 erste Wahl für Umgebungen, in denen es auf komplettes, mehrschichtiges Switching, Support für eine hohe Dichte an 10/100/1000-Ethernet-Ports und schnelles statisches Routing ankommt. Zusätzlich zum mehrschichtigen Switching bietet der B5 auch grundlegende Routing- Eigenschaften, in Form von RIP, statisches IPv4-Routing und IPv6-Management-Support. Das Gerät unterstützt bis zu 48 10/100/1000Mbps-Ethernet-Ports und 4x Gigabit- bzw. Optional 2x 10-Gigabit-Ethernet-Uplink-Ports. Auch im Stack, der bis zu acht B5 (mit je 24 und 48 Ports, auch gemischt) umfassen darf, arbeitet der Switch mit Leitungsgeschwindigkeit. Der Stack ergibt einen virtuellen Switch, der maximal 1,5 Tbps Kapazität und bis zu /100/1000.Mbps-Ethernet- Ports sowie 32 Gigabit-Ethernet- oder Gigabit-Ethernet-Uplink-Ports zur Verfügung stellt. Das leistungsfähige rollenbasierte Managementkonzept ermöglicht Hunderte individueller Policys. Diese gestatten eine sehr detaillierte Definition des Netzwerkzugangs und der Nutzungsrechte für die verschiedenen Nutzer und Applikationen im Netzwerk. Dadurch lässt sich die Nutzung der Netzwerkressourcen genau an Geschäftszielen und Prioritäten ausrichten. Enterasys C5 ist ein leistungsstarker Gigabit-Ethernet-Switch mit gegenüber dem Modell B5 erhöhter Switching-Kapazität von 264 Gbps.. Diese Switching Serie verfügt über alle bereits genannte B5-Features. Zusätzlich bietet der Switch einen erweiterten Funktionsumfang für dynamischen Routing und eine höhere Skalierbarkeit im Bereich der Authentifizierung und Authorisierung. Die maximale Stackgröße (acht Switches) ergibt hier einen virtuellen Switch mit maximal 2,11 Tbps Kapazität. 84

85 Enterasys B5/C5 QoS Robuste QoS (Quality of Service)-Eigenschaften empfehlen die Switchmodelle B5 und C5 für integrierte Multimedia-Netzwerke mit VoIP und Video sowie alle datenintensiven Anwendungen. Das leistungsfähige Policy-Management des B5/C5 ermöglicht die Zusammenarbeit zwischen den an die anspruchsvollen Anwendungen angepassten Paketklassifizierungsmechanismen auf den Schichten 2/3/4 und den acht in Hardware realisierten Prioritätsqueues an jedem Ethernet Port. Dadurch sind differenzierte Services mit maximal acht unterschiedlichen Prioritätsklassen möglich. In Verbindung mit seiner blockierungsfreien Layer-2-Switching- und Layer-3-Routingarchitektur stellt der intelligente Queuing-Mechanismus sicher, dass zeitkritische Anwendungen vorrangig auf die Netzwerkressourcen zugreifen dürfen. Die Authentifizierungs- und Sicherheitsfeatures des C5/B5 schützen das Netzwerk vor Angriffen von innen und außen. Die rollenbasierenden Sicherheitsmechanismen lassen sich pro Port oder pro Anwender definieren. So sollte ein Gast andere Zugriffsmöglichkeiten als ein Angestellter haben. Mit Hilfe des NetSight Policy Manager oder über das Command-Line-Interface können Netzwerkadministratoren für operative Gruppen (Leiter, Angestellter, Gast, Geschäftsführung ) im Unternehmen individuelle Rollen oder Profile definieren. Dabei können mehrere Benutzer oder Geräte gleichzeitig pro Port über IEEE 802.1X, MAC-Adresse oder Web-Authentifizierung Netzzugang erhalten. Ihnen wird dann eine definierte operative Rolle zugewiesen. Netzwerkprozesse lassen sich leicht so zuschneiden, dass sie die Geschäftsanforderungen optimal unterstützen. Jede definierte Rolle erhält individualisierten Zugriff zu den Netzwerk- Services und Anwendungen. Die Geräte der C/B-Serie beiten bei nur einerhöheneinheit (1U) im Rack eine hohe Port- Dichte. Sie entsprechen den gestiegen Anforderungen in Sachen Energieffizienz und Umweltfreundlichkeit. Erhöht sich zum Beispiel die Port-Dichte innerhalb eines gegebenen Rack-Zwischenraums, verringert der C5/B5 die Kühlanforderungen. Das niedertourigeaktive Gebläse verfügt über eine extreme Toleranz gegenüber hohen Umgebungstemperaturen und sorgt somit für einen geringen Stromverbrauch des C5/B5. Ihre hochskalierbare Architektur und die lebenslange Garantie machen die C5/B5-Switches zu einer zukunftsfähigen Investition in eine sichere, funktionsreiche und kosteneffektive Netzwerkinfrastruktur. Enterasys B5/C5 - Zuverlässigkeit und Verfügbarkeit Die C5 und B5 Switche verfügenüber eine integrierte Stromversorgung als primäre Stromquelle. Optional ist eine zweite externe Stromversorgung erhältlich. Zusätzlich zur 85

86 Standard-Version des C5/B5 gibt es auch eine PoE-Version für Netzwerkgeräte mit externer Stromversorgung wie Wireless Access Points, VoIP-Telefone und Netzwerkkameras. Diese ist für Modelle der B-Serie als redundante Stromversorgung ausgelegt. Für die Modelle der C-5 Serie erhöht die redundante Stromversorgung im Normalbetrieb zusätzlich die mögliche Liestungsabgabe für PoE-Ports. Enterasys B5/C5 - Investitionsschutz Der C5/B5 ist ein kosteneffektiver, stapelbarer Switch mit umfassendem, breit gespanntem Featureset. Kunden können ihr Netzwerk vergrößern und weiterentwickeln, wobei ihre Investitionen in die C5/B5-Switches geschützt ist. Denn die vorhandene Infrastruktur lässt sich umstandslos durch zusätzliche C5's/B5 s erweitern. Werden mehrere C5's/B5 s zu Stacks verbunden, nutzt jeder Switch im Stack nur die Eigenschaften, die alle Switches im Stack unterstützen, um Kompatibilität sicherzustellen. Der C5/B5 unterstützt Hunderte individueller Policys, die fein differenzierte Netzwerkzugangsleistungen für jede Rolle ermöglichen. Das passt die Verteilung der Netzwerkressourcen an Geschäftsziele und Prioritäten an. 86

87 Enterasys B5/C5 Features, Standards und Protokolle MAC Address Table Size 32,000 VLANs 4,094 VLAN IDs 1,024 VLAN Entries per Stack Switching Services Protocols IEEE 802.1AB LLDP ANSI/TIA-1057 LLDP-MED IEEE 802.1D MAC Bridges IEEE 802.1s Multiple Spanning Trees IEEE 802.1t 802.1D Maintenance IEEE 802.1w Rapid Spanning Tree Reconvergence IEEE Ethernet IEEE 802.3ab GE over Twisted Pair IEEE 802.3ad Link Aggregation IEEE 802.3ae 10 Gigabit Ethernet (fiber) IEEE 802.3af PoE IEEE 802.3at High Power PoE (up to 30W per port) IEEE 802.3i 10Base-T IEEE 802.3u 100Base-T, 100Base-FX IEEE 802.3z GE over Fiber Full/half duplex auto-sense support on all ports IGMP Snooping v1/v2/v3 Jumbo Frame support (9,216 bytes) Loop Protection One-to-One and Many-to-One Port Mirroring Port Description Protected Ports Host CPU Protection Broadcast/ Multicast/ Unknown Unicast Suppression Spanning Tree Backup Root STP Pass Thru IEEE 802.3ae 10 Gigabit Ethernet (fiber) IEEE 802.3af PoE IEEE 802.3at High Power PoE (up to 30W per port) IEEE 802.3i 10Base-T IEEE 802.3u 100Base-T, 100Base-FX IEEE 802.3z GE over Fiber Full/half duplex auto-sense support on all ports IGMP Snooping v1/v2/v3 Jumbo Frame support (9,216 bytes) Loop Protection One-to-One and Many-to-One Port Mirroring Port Description Protected Ports Selectable LAG Configuration Ready (6 x 8, 12 x 4, 24 x 2) Host CPU Protection Broadcast/ Multicast/ Unknown Unicast Suppression Spanning Tree Backup Root STP Pass Thru Selectable LAG Configuration Ready (6 x 8, 12 x 4, 24 x 2) 87

88 VLAN Support Generic Attribute Registration Protocol (GARP) Generic VLAN Registration Protocol (GVRP) IEEE 802.1p Traffic classification IEEE 802.1Q VLAN Tagging Protocol-based VLANs with Enterasys Policy IEEE 802.3ac VLAN Tagging Extensions Port-based VLAN (private port/private VLAN) Tagged-based VLAN VLAN Marking of Mirror Traffic Security ARP Spoof Protection DHCP Spoof Protection IEEE 802.1X Port Authentication MAC-based Port Authentication RADIUS Accounting for network access RADIUS Client Multi-user Authentication Password Protection (encryption) Secure Networks Policy Secured Shell (SSHv2) Secured Socket Layer (SSL) User and IP Phone Authentication Web-based Port Authentication RFC 3580 IEEE 802.1X RADIUS Usage Guidelines IPv4 Routing Standard Access Control List (ACLs) Extended ACLs VLAN-based ACLs ARP & ARP Redirect DVMRP IP Helper Address RFC 826 Ethernet ARP RFC 1058 RIP v1 RFC 1256 ICMP Router Discovery Messages RFC 1519 Classless Inter-Domain Routing RFC 1724 RIPv2 MIB Extension RFC 2236 IGMPv2 RFC 2328 OSPF version 2 RFC 2338 IP Redundancy VRRP RFC 2362 PIM-SM RFC 2453 RIP v2 RFC 3046 DHCP/BootP Relay RFC 3376 IGMPv3 RFC 3768 VRRP Virtual Router Redundancy Protocol Static Routes 88

89 IPv6 Routing RFC 1981 Path MTU for IPv6 RFC 2373 IPv6 Addressing RFC 2460 IPv6 Protocol Specification RFC 2461 Neighbor Discovery RFC 2462 Stateless Autoconfiguration RFC 2463 ICMPv6 RFC 2464 IPv6 over Ethernet RFC 2473 Generic Packet Tunneling in IPv6 RFC 2271 SNMP Framework MIB RFC 2711 IPv6 Router Alert RFC 2740 OSPFv3 RFC 2893 Transition Mechanisms for IPv6 Hosts + Routers (6 over 4 configured) RFC 3315 DHCPv6 (stateless + relay) RFC 3484 Default Address Selection for IPv6 RFC 3493 Basic Socket Interface for IPv6 RFC 3513 Addressing Architecture for IPv6 RFC 3542 Advanced Sockets API for RFC 3587 IPv6 Global Unicast Address Format RFC 3736 Stateless DHCPv6 Dual IPv4/IPv6 TCP/IP Stack MIB Support Enterasys Entity MIB Enterasys Policy MIB Enterasys VLAN Authorization MIB ANSI/TIA-1057 LLDP-MED MIB IEEE 802.1AB LLDP MIB IEEE 802.1X MIB Port Access IEEE 802.3ad MIB LAG MIB RFC 826 ARP and ARP Redirect RFC 951, RFC 1542 DHCP/ BOOTP Relay RFC 1213 MIB/MIB II RFC 1493 BRIDGE-MIB RFC 1643 Ethernet-like MIB RFC 1724 RIPv2 MIB Extension RFC 1850 OSPF MIB RFC 2096 IP Forwarding Table MIB RFC 2131, RFC 3046 DHCPClient/Relay RFC 2233 IF-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting Client MIB RFC 2668 Managed Object Definitions for MAUs RFC 2674 P-BRIDGE-MIB RFC 2674 QBRIDGE-MIB VLAN Bridge MIB RFC 2737 Entity MIB (physical branch only) RFC 2787 VRRP-MIB RFC 2819 RMON-MIB RFC 2933 IGMP MIB RFC 2934 PIM MIB for IPv4 RFC 3413 SNMP v3 Applications MIB RFC 3414 SNMP v3 User-based Security Module (USM) MIB RFC 3584 SNMP Community MIB RFC 3621 Power over Ethernet MIB 89

90 Quality of Service 8 Priority Queues per Port 802.3x Flow Control Class of Service (CoS) Ingress Rate Limiting IP ToS/DSCP Marking/Remarking IP Precedence IP Precedence IP Protocol Management Alias Port Naming Command Line Interface (CLI) Configuration Upload/Download Dual IPv4/IPv6 Management Support Editable Text-based Configuration File TFTP Client Multi-configuration File Support NMS Automated Security Manager NMS Console NMS Inventory Manager NMS Policy Manager Node/Alias Table RFC 768 UDP RFC 783 TFTP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 Telnet RFC 951 BootP RFC 1157 SNMP Layer 2/3/4 Classification Multi-layer Packet Processing Queuing Control Strict and Weighted Round Robin Source/Destination IP Address Source/Destination MAC Address Dynamic and Static MAC Locking EAP Pass-Thru RFC 2474 Definition of Differentiated Services Field RFC 1321 The MD5 Message-Digest Algorithm RFC 1901 Community-based SNMPv2 RFC 2030 Simple Network Time Protocol (SNTP) RFC 2933 IGMP MIB RFC 3176 sflow RFC 3413 SNMPV3 Applications RFC 3414 User-based Security Module (USM) for SNMPv3 RFC 3415 View-based Access Control Model for SNMP RFC 3826 Advanced Encryption Standard (AES) for SNMP RMON (Stats, History, Alarms, Events, Filters, Packet Capture) Secure Copy (SCP) Secure FTP (SFTP) Simple Network Management Protocol (SNMP) SSHv2 RFC 3164 The BSD Syslog Protocol TACACS+ support Authentication, Authorization and Auditing Web-based Management, Webview via SSL Interface 90

91 Technische Eigenschaften Performance Throughput Capacity wirespeed Mpps (switch / stack) Switching Capacity (switch / stack) B5G B5G124-24P2 B5G B5G124-48P Mpps / Mpps 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) 35.7 Mpps / Mpps 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) 71.4 Mpps / Mpps 96 Gbps (71.4 Mpps)/ 768 Gbps (571.4 Mpps) 71.4 Mpps / Mpps 96 Gbps (71.4 Mpps)/ 768 Gbps (571.4 Mpps) Stacking Capacity (switch / stack) 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) Aggregate Throughput Capacity (switch / stack) 96 Gbps (71.4 Mpps)/ 768 Gbps (571.4 Mpps) 96 Gbps (71.4 Mpps)/ 768 Gbps (571.4 Mpps) 144 Gbps (107.1 Mpps)/ 1,152 Gbps (857.1 Mpps) 144 Gbps (107.1 Mpps)/ 1,152 Gbps (857.1 Mpps) PoE Specifications 802.3af N/A Yes N/A Yes Interoperable 802.3at N/A Yes N/A Yes Interoperable System Power N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection Physical Specifications Dimensions (H x W x D) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) Net Weight 4.92 kg ( kg (13.45 lb) 5.31 kg ( kg (14.30 lb) lb) lb) MTBF 394,679 hours 345,093 hours 308,359 hours 260,806 hours 91

92 Physical Ports (24) 10/100/1000 auto- sensing, auto-negotiating MDI/MDI-X RJ45 ports (4) Combo SFP ports (2) dedicated stacking ports (1) DB9 console port (1) RPS connector (24) 10/100/1000 PoE (.af +.at) autosensing, autonegotiating MDI/MDI-X RJ45 ports (4) Combo SFP ports (2) dedicated stacking ports (1) DB9 console port (1) RPS connector (48) 10/100/1000 auto- sensing, auto-negotiating MDI/MDI-X RJ45 ports (4) Combo SFP ports (2) dedicated stacking ports (1) DB9 console port (1) RPS connector (48) 10/100/1000 PoE (.af +.at) autosensing, autonegotiating MDI/MDI-X RJ45 ports (4) Combo SFP ports (2) dedicated stacking ports (1) DB9 console port (1) RPS connector Power Requirements Normal Input VAC VAC VAC VAC Voltage Input Frequency Hz Hz Hz Hz Input Current 2 A Max 7.5 A Max 2 A Max 7.5 A Max Power Consumption Temperature IEC Standard Operating Temperature IEC Non-Operating Temperature 48 watts 93 watts 76 watts 125 watts 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) Heat Dissipation 164 BTUs/Hr 318 BTUs/Hr 258 BTUs/Hr 427 BTUs/Hr humidity Operating Humidity Vibration Shock drop Altitude 5% - 95% noncondensing IEC , IEC Operating 10,000 ft (3,048 m) Non-operating 15,000 ft (4,572 m) Acoustics 5% - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC IEC IEC IEC IEC IEC IEC IEC IEC ,000 ft (3,048 m) 15,000 ft (4,572 m) 10,000 ft (3,048 m) 15,000 ft (4,572 m) 10,000 ft (3,048 m) 15,000 ft (4,572 m) Front of switch 44.5 db 45 db 45.5 db 44.5 db (normal operation) Agency and Regulatory Standard Specifications 92

93 Safety UL , CSA , EN , and IEC UL , CSA , EN , and IEC UL , CSA , EN , and IEC UL , CSA , EN , and IEC EMC FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN Environmental 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) #39 (China RoHS) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) Performance Throughput Capacity wirespeed Mpps (switch / stack) Switching Capacity (switch / stack) B5K B5K125-24P2 B5K B5K125-48P Mpps / Mpps 88 Gbps (65.5 Mpps)/ 704 Gbps (523.8 Mpps) 65.5 Mpps / Mpps 88 Gbps (65.5 Mpps)/ 704 Gbps (523.8 Mpps) Mpps / Mpps 136 Gbps (101.2 Mpps)/ 1,088 Gbps (809.5 Mpps) Mpps / Mpps 136 Gbps (101.2 Mpps)/ 1,088 Gbps (809.5 Mpps) Stacking Capacity (switch / stack) 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps)/ 384 Gbps (285.7 Mpps) Aggregate Throughput Capacity (switch / stack) 136 Gbps (101.2 Mpps)/ 1,088 Gbps (809.5 Mpps) 136 Gbps (101.2 Mpps)/ 1,088 Gbps (809.5 Mpps) 184 Gbps (136.9 Mpps)/ 1,472 Gbps (1,095.2 Mpps) 184 Gbps (136.9 Mpps)/ 1,472 Gbps (1,095.2 Mpps) PoE Specifications 802.3af Interoperable 802.3at Interoperable N/A Yes N/A Yes N/A Yes N/A Yes 93

94 System Power N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection Physical Specifications Dimensions (H x W x D) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) Net Weight 4.92 kg ( kg (13.45 lb) 5.31 kg ( kg (14.30 lb) lb) lb) MTBF 374,029 hours 328,905 hours 297,808 hours 252,940 hours Physical Ports (24) 10/100/1000 auto- sensing, auto-negotiating MDI/MDI-X RJ45 ports (2) Combo SFP ports (2) 10GE ports (2) dedicated stacking ports (1) DB9 console port (1) RPS connector (24)10/100/1000 PoE (.af +.at) autosensing, autonegotiating MDI/MDI-X RJ45 ports (2) Combo SFP ports (2) 10GE ports (2) dedicated stacking ports (1) DB9 console port (1) RPS connector (48) 10/100/1000 auto- sensing, auto-negotiating MDI/MDI-X RJ45 ports (2) Combo SFP ports (2) 10GE ports (2) dedicated stacking ports (1) DB9 console port (1) RPS connector (48)10/100/1000 PoE (.af +.at) autosensing, autonegotiating MDI/MDI-X RJ45 ports (2) Combo SFP ports (2) 10GE ports (2) dedicated stacking ports (1) DB9 console port (1) RPS connector Power Requirements Normal Input VAC VAC VAC VAC Voltage Input Frequency Hz Hz Hz Hz Input Current 2 A Max 7.5 A Max 2 A Max 7.5 A Max Power Consumption Temperature IEC Standard Operating Temperature IEC Non-Operating Temperature 59 watts 98 watts 94 watts 125 watts 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) Heat Dissipation 200 BTUs/Hr 335 BTUs/Hr 321 BTUs/Hr 427 BTUs/Hr humidity Operating Humidity 5% - 95% noncondensing 5% - 95% noncondensing 5% - 95% noncondensing 5% - 95% noncondensing 94

95 Vibration Shock drop Acoustics Front of switch (normal operation) Altitude IEC , IEC Operating 10,000 ft (3,048 m) Non-operating 15,000 ft (4,572 m) Enterasys Networks Solution Guide 2013/2014 IEC , IEC IEC , IEC IEC , IEC IEC IEC IEC IEC IEC IEC IEC IEC db 45 db 46 db 45.5 db Agency and Regulatory Standard Specifications Safety UL , CSA , EN , and IEC ,000 ft (3,048 m) 15,000 ft (4,572 m) UL , CSA , EN , and IEC ,000 ft (3,048 m) 15,000 ft (4,572 m) UL , CSA , EN , and IEC ,000 ft (3,048 m) 15,000 ft (4,572 m) UL , CSA , EN , and IEC EMC FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN Environmental 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) #39 (China RoHS) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 95

96 Performance Throughput Capacity wirespeed Mpps (switch / stack) Switching Capacity (switch / stack) C5G C5G124-24P2 C5G C5G124-48P Mpps / Mpps 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 35.7 Mpps / Mpps 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 71.4 Mpps / Mpps 96 Gbps (71.4 Mpps) / 768 Gbps (571.4 Mpps) 71.4 Mpps / Mpps 96 Gbps (71.4 Mpps) / 768 Gbps (571.4 Mpps) Stacking Capacity (switch / stack) 128 Gbps (95.2 Mpps) / 1,024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1,024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1,024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1,024 Gbps (761.8 Mpps) Aggregate Throughput Capacity (switch / stack) 176 Gbps (130.9 Mpps) / 1,408 Gbps (1,047.5 Mpps) 176 Gbps (130.9 Mpps) / 1,408 Gbps (1,047.5 Mpps) 224 Gbps (166.6 Mpps) / 1,792 Gbps (1,333.2 Mpps) 224 Gbps (166.6 Mpps) / 1,792 Gbps (1,333.2 Mpps) PoE Specifications 802.3af N/A Yes N/A Yes Interoperable 802.3at N/A Yes N/A Yes Interoperable System Power N/A 850 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A 850 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection Physical Specifications Dimensions (H x W x D) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) Net Weight 5.03 kg (11.10 lb) 6.21 kg (13.70 lb) 5.42 kg (11.95 lb) 6.60 kg (14.55 lb) MTBF 395,557 hours 289,425 hours 311,897 hours 229,532 hours 96

97 Physical Ports (24) 10/100/1000 auto- sensing, auto-negotiating MDI/MDI-X RJ45 ports (4) Combo SFP ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port (24) 10/100/1000 PoE (.af+.at) autosensing, auto-negotiating MDI/MDI-X RJ45 ports (4) Combo SFP ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port (48) 10/100/1000 auto- sensing, auto-negotiating MDI/MDI-X RJ45 ports (4) Combo SFP ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port (48) 10/100/1000 PoE (.af+.at) autosensing, auto-negotiating MDI/MDI-X RJ45 ports (4) Combo SFP ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port Power Requirements Normal Input VAC VAC VAC VAC Voltage Input Frequency Hz Hz Hz Hz Input Current 2 A Max 12 A Max 2 A Max 12 A Max Power Consumption 65 watts 125 watts 101 watts 150 watts Temperature IEC Standard Operating Temperature IEC Non-Operating Temperature 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) Heat Dissipation 222 BTUs/Hr 428 BTUs/Hr 345 BTUs/Hr 513 BTUs/Hr humidity Operating Humidity Vibration Shock drop Acoustics Front of switch (normal operation) Altitude 5% - 95% noncondensing IEC , IEC Operating 10,000 ft (3,048 m) Non-operating 15,000 ft (4,572 m) 5% - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC IEC IEC IEC IEC IEC IEC IEC IEC db 45.5 db 46 db 45.5 db Agency and Regulatory Standard Specifications 10,000 ft (3,048 m) 15,000 ft (4,572 m) 10,000 ft (3,048 m) 15,000 ft (4,572 m) 10,000 ft (3,048 m) 15,000 ft (4,572 m) 97

98 Safety UL , CSA , EN , and IEC UL , CSA , EN , and IEC UL , CSA , EN , and IEC UL , CSA , EN , and IEC EMC FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN Environmental 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) #39 (China RoHS) #39 (China RoHS) #39 (China RoHS) Performance Throughput Capacity wire-speed Mpps (switch / stack) Switching Capacity (switch / stack) Stacking Capacity (switch / stack) Aggregate Throughput Capacity (switch / stack) PoE Specifications 802.3af Interoperable 802.3at Interoperable C5K125-24P2 C5K C5K125-48P2 C5K Mpps / Mpps 88 Gbps (65.5 Mpps) / 704 Gbps (523.8 Mpps) 128 Gbps (95.2 Mpps) / 1,024 Gbps (761.8 Mpps) 216 Gbps (160.7 Mpps) / 1,728 Gbps (1,285.6 Mpps) Mpps / Mpps 136 Gbps (101.2 Mpps) / 1,088 Gbps (809.5 Mpps) 128 Gbps (95.2 Mpps) / 1,024 Gbps (761.8 Mpps) 264 Gbps (196.4 Mpps) / 2,112 Gbps (1,571.3 Mpps) Mpps / Mpps 136 Gbps (101.2 Mpps) / 1,088 Gbps (809.5 Mpps) 128 Gbps (95.2 Mpps) / 1,024 Gbps (761.8 Mpps) 264 Gbps (196.4 Mpps) / 2,112 Gbps (1,571.3 Mpps) Yes N/A Yes N/A Yes N/A Yes N/A 65.5 Mpps / Mpps 88 Gbps (65.5 Mpps) / 704 Gbps (523.8 Mpps) 128 Gbps (95.2 Mpps) / 1,024 Gbps (761.8 Mpps) 216 Gbps (160.7 Mpps) / 1,728 Gbps (1,285.6 Mpps) 98

99 System Power 850 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A 850 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A Physical Specifications Dimensions H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) H: 4.4 cm (1.73 ) (H x W x D) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) W: 44.1 cm (17.36 ) D: cm (14.51 ) Net Weight 6.10 kg (13.45 lb) 5.31 kg (11.70 lb) 6.49 kg (14.30 lb) 4.97 kg (10.95 lb) MTBF 273,083 hours 284,345 hours 213,965 hours 395,839 hours Physical Ports (24) 10/100/1000 PoE (.af +.at) auto-sensing, auto- negotiating MDI/ MDI-X RJ45 ports (2) Combo SFP ports (2) SFP+ ports (2) dedicated stacking ports DB9 console port (1) RPS port (48) 10/100/1000 auto-sensing, auto- negotiating MDI/ MDI-X RJ45 ports (2) Combo SFP ports (2) SFP+ ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port (48) 10/100/1000 PoE (.af +.at) auto-sensing, auto- negotiating MDI/ MDI-X RJ45 ports (2) Combo SFP ports (2) SFP+ ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port (24) SFP (2) SFP+ ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port Power Requirements Normal Input VAC VAC VAC VAC Voltage Input Frequency Hz Hz Hz Hz Input Current 12 A Max 2 A Max 12 A Max 2 A Max Power Consumption 130 watts 120 watts 165 watts 69 watts Temperature IEC Standard Operating Temperature IEC Non-Operating Temperature 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) 0 to 50 C (32 to 122 F) -40 to 70 C (-40 to 158 F) Heat Dissipation 445 BTUs/Hr 408 BTUs/Hr 565 BTUs/Hr 234 BTUs/Hr humidity Operating Humidity Vibration 5% - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC % - 95% noncondensing IEC , IEC

100 Shock drop Acoustics Front of switch (normal operation) Altitude Operating 10,000 ft (3,048 m) Non-operating 15,000 ft (4,572 m) Enterasys Networks Solution Guide 2013/2014 IEC IEC IEC IEC IEC IEC IEC IEC db 47 db 46 db 46 db Agency and Regulatory Standard Specifications Safety UL , CSA , EN , and IEC ,000 ft (3,048 m) 15,000 ft (4,572 m) UL , CSA , EN , and IEC ,000 ft (3,048 m) 15,000 ft (4,572 m) UL , CSA , EN , and IEC ,000 ft (3,048 m) 15,000 ft (4,572 m) UL , CSA , EN , and IEC EMC FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN Environmental 2002/95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/ NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/ NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) FCC Part 15 (Class A), ICES- 003 (Class A), BSMI, VCCI V-3, AS/ NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , and EN /95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 100

101 Redundante Power Supply Equipment Spezifikationen STK-RPS-1005CH3 Power Shelf Power Supply Slots: 3 Dimensions (H x W x D)*: 5.5 cm (2.2 ) x 44.0 cm (17.3 ) x 35.1 cm (13.8 ) Weight: 0.95 kg (2.09 lbs) STK-RPS-150CH2 Power Shelf Power Supply Slots: 2 Dimensions (H x W x D)*: 5.5 cm (2.2 ) x 44.0 cm (17.3 ) x 18.0 cm (7.0 ) Weight: 5.27 kg (11.6 lbs) STK-RPS-150CH8 Power Shelf Power Supply Slots: 8 Dimensions (H x W x D)*: cm (8.77 ) x 44.0 cm (17.3 ) x 26.4 cm (10.4 ) Weight: 5.27 kg (11.6 lbs) STK-RPS-150PS Power Supply Dimensions (H x W x D): 19.6 cm (7.7 ) x 5.2 cm (2.04 ) x 25.7 cm (10.1 ) Net Weight (Unit Only): 1.75 kg (3.85 lbs) Gross Weight (Packaged Unit): 3.20 kg (7.04 lbs) MTBF: 300,000 hours Operating Temperature: 0 C to 50 C (32 F to 122 F) Storage Temperature: -30 C to 73 C (-22 F to 164 F) Operating Relative Humidity: 5% to 95% AC Input Frequency Range: Hz AC Input Voltage Range: VAC Maximum Output Power: 156 W continuous STK-RPS-1005PS Power Supply Dimensions (H x W x D)*: 4.3 cm (1.7 ) x 15.4 cm (6.06 ) x 34.0 cm (13.39 ) Net Weight (Unit Only): 2.1 kg (4.63 lb) Gross Weight (Packaged Unit): 3.53 kg (7.77 lb) MTBF: 800,000 hours Operating Temperature: 0 C to 50 C (32 F to 122 F) Storage Temperature: -40 C to 70 C (-40 F to 158 F) Operating Relative Humidity: 5% to 95% AC Input Frequency Range: Hz AC Input Voltage Range: VAC Maximum Output Power: 1005 W continuous STK-RPS-150CH2 Power Shelf Power Supply Slots: 2 Dimensions (H x W x D)*: 5.5 cm (2.2 ) x 44.0 cm (17.3 ) x 18.0 cm (7.0 ) Weight: 0.95 kg (2.09 lbs) STK-RPS-150CH8 Power Shelf Power Supply Slots: 8 Dimensions (H x W x D)*: cm (8.77 ) x 44.0 cm (17.3 ) x26.4 cm (10.4 ) Weight: 5.27 kg (11.6 lbs) STK-RPS-150PS Power Supply Dimensions (H x W x D): 19.6 cm (7.7 ) x 5.2 cm (2.04 ) x 25.7 cm (10.1 ) Net Weight (Unit Only): 1.75 kg (3.85 lbs) Gross Weight (Packaged Unit): 3.20 kg (7.04 lbs) MTBF: 300,000 hours Operating Temperature: 0 C to 50 C (32 F to 122 F) Storage Temperature: -30 C to 73 C (-22 F to 101

102 164 F) Operating Relative Humidity: 5% to 95% AC Input Frequency Range: Hz AC Input Voltage Range: VAC Maximum Output Power: 156 W continuous STK-RPS-500PS Power Supply Dimensions (H x W x D)*: 4.45 cm (1.75 ) x 44.5 cm (17.5 ) x 16.5 cm (6.5 ) Net Weight (Unit Only): 3.47 kg (7.63 lbs) Gross Weight (Packaged Unit): 4.95 kg (10.89 lbs) MTBF: 589,644 hours at 25 C (77 F) Operating Temperature: 0 C to 50 C (32 F to 122 F) Storage Temperature: -30 C to 73 C (-22 F to 164 F) Operating Relative Humidity: 5% to 95% AC Input Frequency Range: Hz AC Input Voltage Range: VAC Maximum Output Power: 500 W continuous *Note: dimensions include integrated rack mount ears Bestellinformationen Part Number B5 Switches B5G B5G124-24P2 B5G B5G124-48P2 B5K B5K125-24P2 B5K B5K125-48P2 Cables STK-CAB-SHORT STK-CAB-LONG STK-CAB-2M STK-CAB-5M SSCON-CAB description (24) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports (24) 10/100/1000 PoE (.at +.af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports (48) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports (48) 10/100/1000 PoE (.at +.af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports (24) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 10GE ports (24) 10/100/1000 PoE (.at +.af) RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 10GE ports (48) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 10GE ports (48) 10/100/1000 PoE (.at +.af) RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 10GE ports Stacking cable for connecting adjacent B5/C5 switches (30cm) Stacking cable for connecting top switch to bottom switch in a B5 or C5 stack (1m) Stacking cable for B5/C5 models (2m) Stacking cable for B5/C5 models (5m) Spare DB9 Console Cable 102

103 Redundant Power Supplies STK-RPS-150CH2 STK-RPS-150CH8 STK-RPS-150PS STK-RPS-500PS 2-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) 8-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) 150W Non-PoE redundant power supply 500W 802.3at PoE redundant power supply Part Number C5 Switches C5G C5G124-24P2 C5G C5G124-48P2 C5K description (24) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports (24) 10/100/1000 PoE (.at +.af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports (48) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports (48) 10/100/1000 PoE (.at +.af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed dedicated stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports (24) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated highspeed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 1GE or 10GE SFP+ ports C5K125-24P2 (24) 10/100/1000 PoE (.at +.af) RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 1GE or 10GE SFP+ ports C5K (48) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated highspeed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 1GE or 10GE SFP+ ports C5K125-48P2 (48) 10/100/1000 PoE (.at +.af) RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 1GE or 10GE SFP+ ports C5K Optional Software Licenses C5L3-LIC Cables STK-CAB-SHORT STK-CAB-LONG STK-CAB-2M STK-CAB-5M SSCON-CAB Redundant Power Supplies STK-RPS-1005CH3 STK-RPS-1005PS STK-RPS-150CH2 STK-RPS-150CH8 STK-RPS-150PS (24) SFP, (2) SFP+ ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) SFP, (2) 1GE or 10GE SFP+ ports C5 advanced IPv4 (OSPF, PIM-SM, DVMRP and VRRP) and IPv6 routing licensing (OSPF) (per switch) Stacking cable for connecting adjacent B5/C5 switches (30cm) Stacking cable for connecting top switch to bottom switch in a B5 or C5 stack (1m) Stacking cable for B5/C5 models (2m) Stacking cable for B5/C5 models (5m) Spare DB9 Console Cable 3-slot modular power supply chassis (power supply STK-RPS-1005PS sold separately) 1005W 802.3at PoE redundant power supply with load-balancing support 2-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) 8-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) 150W non-poe redundant power supply 103

104 Enterasys D-Serie Die D-Serie ist eine miniaturisierte Variante der B-Serie für Konferenz- oder Verteilerräume ohne Klimatisierung. Die Geräte lassen sich bei Temperaturen bis zu 40 Celsius lüfterlos betreiben, mit Lüfter bis 60 Celsius. Sie unterstützen aller Secure Networks -Features. Das Modell D2 hat 12 Kupfer-Gigabit-Ethernet-Ports und zwei Gigabit-SFP (Small Form Factor Pluggable)-Ports. 12 Gigabit-Ports dürfen gleichzeitig aktiv sein. Eine Variante unterstützt PoE. Optional sorgt eine zweite Stromversorgung für Redundanz. Primäre und optionale Zweit-Stromversorgung sind bei beiden Varianten (mit und ohne PoE) extern. Die Stromversorgungen lassen sich über zwei redundante Anschlüsse bei laufendem Betrieb auswechseln. Die Switche der Serie sind vielfältig montierbar. Es gibt Montagekits für die Wandbefestigung, die Anbringung unter einem Schreibtisch, für Schulungsräume sind auch abschließbare Metallcontainer lieferbar. Für den Einsatz im Rack bietet Enterasys ein Kit zur Installation zweier D2s nebeneinander an. Die D-Serie unterstützt analog zur B-Serie mit einer optionalen Policy-Lizenz alle SecureNetworks Features. D2G D2G124-12P 12 X 10/100/1000 FIXED CONFIG L2 SWITCH & POWER BRICK 12 X 10/100/1000 FIXED POE L2 SWITCH & POWER BRICK Optionen D2-PWR D2-PWR-POE D2-RMT D2-TBL-MNT D2-WALL-MNT SECURESWITCH D2 EXTERNAL POWER BRICK EXTERNAL POE POWER BRICK FOR D2 SWITCHES SECURESWITCH D2 RACK MOUNT KIT SECURESWITCH D2 UNDER TABLE MOUNT KIT WALL MOUNT FOR SECURESWITCH D2 104

105 Policy Erweiterung D2POL-LIC D2POL-LIC25 D2POL-LIC50 POLICY LICENSE FOR D2 SWITCHES 25 PACK OF D2POL-LIC POLICY LICENSES 50 PACK OF D2POL-LIC POLICY LICENSES Unterstützte Funktionalitäten Layer 2 Unterstützung IEEE 802.1d Spanning Tree IEEE 802.1t 802.1d Maintenance IEEE 802.1p Traffic Management/Mapping to 6 of 8 hardware queues IEEE 802.1q Virtual LANs w/ Port based VLANs IEEE 802.1s Multiple Spanning Tree IEEE 802.1v Protocol-based VLANs IEEE 802.1w Rapid Spanning Tree Reconvergence IEEE 802.1x Port-based Authentication IEEE Base-T IEEE 802.3ab 1000 Base-T IEEE 802.3ac VLAN Tagging IEEE 802.3ad Link Aggregation IEEE 802.3u 100 Base-T IEEE 802.3x Flow Control Private Port (Private VLAN) Many-to-One Port Mirroring, One-to-One Port Mirroring Port Description Per-Port Broadcast Suppression Spanning Tree Backup Route STP Pass Thru RFC 1213 MIB II RFC 1493 Bridge MIB RFC 1643 Ethernet-like MIB RFC 2233 Interfaces Group MIB using SMI v2 RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting MIB RFC 2674 VLAN MIB RFC 2737 Entity MIB version 2 RFC 2819 RMON Groups 1, 2, 3 & 9 IEEE 802.1x MIB (IEEE pae-MIB) IEEE 802.3ad MIB (IEEE ad-MIB) Authentisierung MAC Authentication Web Authentication (PWA) 802.1x Authentication RFC 3580 Dynamic VLAN Assignment RADIUS Client RADIUS Accounting for MAC Authentication EAP Pass Through Dynamic and Static Mac Locking QoS Strict or weighted Round Robin 8 Hardware Queues/Port 802.3x Flow Control 64 kbps increment granularity 105

106 Management NMS Console NMS Policy Manager NMS Inventory Manager NMS Automated Security Manager WebView, SSL Interface to WebView Telnet with SSH RADIUS Control to Management Interface RMON (4 Groups: History, Statistics, Alarms and Events) Text-based Configuration Upload/Download Kapazitäten Address Table Size 8k MAC Addresses 1024 VLANs supported 8 Hardware Queues/Port VLAN Spanning Tree (802.1S) 4 Instances Supported 802.3ad Link Aggregation: 8 ports per trunk group, 6 groups supported Simple Network Time Protocol (SNTP) Alias Port Naming Node/Alias Table RFC 854 Telnet RFC 1157 SNMP RFC 1901 Community-based SNMP v2 RFC 2271 SNMP Framework MIB RFC 3413 SNMP v3 Applications RFC 3414 User-based Security Model for SNMP v3 RFC 3415 View-based Access Control Model for SNMP Main memory: 256 MB Flash memory: 32 MB PoE (D2G124-12P): bei unter 40 C können insgesamt 100W PoE Leistung beliebig auf die Ports verteilt werden. Für jedes C über 40 C sinkt die PoE-Leistung um 2,16W Spezifikationen Maße H/B/T: 4,6 cm (1.6") x 20,95 cm (8.25") x 21,59 cm (8,5") Gewicht: D2G124-12: 1,66kg (3.65lb) D2G124-12P: 1,82kg (4,02lb) Betriebstemp.: D2G124-12: 0 C bis 60 C (32 F bis 140 F) D2G124-12P: 0 C bis 50 C (32 F bis 122 F) Temperaturgrenzwerte: -40 C bis 70 C (-40 F bis 158 F) Zulässige Feuchtigkeit: 5 bis 95% non-condensing Stromaufnahme: D2G124-12: V AC, 50-60Hz, 2,0A, 30W D2G124-12P: V AC, 50-60Hz, 3,2A, 130W Wärmeabgabe: D2G124-12: 102,39 (BTU/H) D2G124-12P: 443,69 (BTU/H) Unterstützte Standards Standard Safety: UL/CB/LVD Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI Stoßfestigkeit: ISTA 2A, ASTM D

107 Enterasys G-Serie Enterasys Networks Solution Guide 2013/2014 Die G-Serie verbindet die kompakte Größe und das Preis/Leistungsverhältnis eines stapelbaren Switch mit der Modularität eines chassisbasierten Systems. Die Geräte unterstützen QoS-Priorisierung und alle Sicherheitsanforderungen konvergenter Voice-, Video- und Datennetze. DieseSwitchlinie unterstützt die Multiuser-Authentifizierung für bis zu acht Benutzer pro Port. Hinsichtlich des Policy-Management sind die Switches doppelt so leistungsfähig wie das Modell C5. Ein großer Mehrwert aus Kundensicht ist die bemerkenswerte Flexibilität des Geräts. Der G3 bietet bis zu 96 kupferbasierende Gigabit-Ethernet-Ports mit PoE oder als SFP. Bis zu Gigabit-Ethernet Ports können über XFP bereitgestellt werden. Ein weiteres Alleinstellungsmerkmal ist, dass sich PoE auf den 24x10/100/1000baseT-Modulen nachrüsten lässt. Die Module sind bereits im Auslieferzustand PoE-enabled. Die Funktion wird realisiert, indem man eine optionale, kostengünstige PoE-Card auf das Modul steckt. So bietet der G3 den Kunden maximalen Investitionsschutz: Werden später VoIP- Endgeräte oder WLAN-APs mit PoE-Stromversorgung ins Netz integriert, braucht man keine neuen Switches. Die PoE-Leistungsabgabe, richtet sich nach der Leistungsfähigkeit der installierten, modularen Stromversorgungen (400 oder 1200 Watt). Chassis Das modulare Chassis wird in drei Basisvarianten ausgeliefert. Alle haben drei freie Erweiterungsslots für die unten genannten Module. Das C3G Chassis und die G3G-24TX-Module sind mit der G3G-POE-Option auf PoE aufrüstbar. Das Chassis wird ohne Stromversorgung ausgeliefert. Sie muss zusätzlich geordert werden. G3G G3G124-24P G3G TX SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY 24TX POE SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY 24 SFP SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY 107

108 G3-PWR G3-PWR-POE G3 POWER SUPPLY - NON-POE G3 POWER SUPPLY - POE Module Für 24 Ports 10/100/1000 Mbps mit PoE-Unterstützung kombiniert man das Modul G3G-24TX und die Erweiterung G3G-POE. G3G-24SFP G3G-24TX G3K-2XFP G3K-4XFP G3 I/O CARD - 24 SFP PORTS G3 I/O CARD - 24 TX & 2 SFP COMBO PORTS G3 I/O CARD - DUAL 10GB XFP PORTS G3 I/O CARD - QUAD 10GB XFP PORTS Optionen G3G-POE G3 POE OPTION CARD FOR 24 PORTS Softwareoptionen G3L3-LIC G3IPV6-LIC G3 ADV. ROUTING LICENSE PIM, OSPF, VRRP G3 IPV6 ROUTING LICENSE Unterstützte Funktionalitäten G3G TX SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY G3G124-24P 24TX POE SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY G3G SFP SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY G3-PWR G3 POWER SUPPLY - NON-POE G3-PWR-POE G3 POWER SUPPLY - POE G3G-24SFP G3 I/O CARD - 24 SFP PORTS G3G-24TX G3 I/O CARD - 24 TX & 2 SFP COMBO PORTS G3K-2XFP G3 I/O CARD - DUAL 10GB XFP PORTS G3K-4XFP G3 I/O CARD - QUAD 10GB XFP PORTS G3G-POE G3 POE OPTION CARD FOR 24 PORTS G3L3-LIC G3 ADV. ROUTING LICENSE PIM, OSPF, VRRP G3IPV6-LIC G3 IPV6 ROUTING LICENSE 108

109 Layer 2 Unterstützung IEEE 802.1d Spanning Tree IEEE 802.1t 802.1d Maintenance IEEE 802.1p Traffic Management/Mapping to 6 of 8 hardware queues IEEE 802.1q Virtual LANs w/ Port based VLANs IEEE 802.1s Multiple Spanning Tree IEEE 802.1v Protocol-based VLANs IEEE 802.3x Flow Control Private Port (Private VLAN) Many-to-One Port Mirroring, One-to-One Port Mirroring Port Description Per-Port Broadcast Suppression Spanning Tree Backup Route STP Pass Thru RFC 1213 MIB II RFC 1493 Bridge MIB IEEE 802.1w Rapid Spanning Tree Reconvergence IEEE 802.1x Port-based Authentication IEEE Base-T IEEE 802.3ab 1000 Base-T IEEE 802.3ac VLAN Tagging IEEE 802.3ad Link Aggregation IEEE 802.3u 100 Base-T RFC 1643 Ethernet-like MIB RFC 2233 Interfaces Group MIB using SMI v2 RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting MIB RFC 2674 VLAN MIB RFC 2737 Entity MIB version 2 RFC 2819 RMON Groups 1, 2, 3 & 9 IEEE 802.1x MIB (IEEE pae-MIB) IEEE 802.3ad MIB (IEEE802.3-ad-MIB) Authentisierung MAC Authentication Web Authentication (PWA) 802.1x Authentication RFC 3580 Dynamic VLAN Assignment RADIUS Client, Radius Accounting for MAC Authentication EAP Pass Through Dynamic and Static Mac Locking Multiuserauthentication mit bis zu 8 Usern QoS Strict or weighted Round Robin 8 Hardware Queues/Port 802.3x Flow Control 64 kbps increment granularity 109

110 Management NMS Console NMS Policy Manager NMS Inventory Manager NMS Automated Security Manager WebView, SSL Interface to WebView Telnet with SSH RADIUS Control to Management Interface RMON (4 Groups: History, Statistics, Alarms and Events) Text-based Configuration Upload/Download Simple Network Time Protocol (SNTP) Alias Port Naming Node/Alias Table RFC 854 Telnet RFC 1157 SNMP RFC 1901 Community-based SNMP v2 RFC 2271 SNMP Framework MIB RFC 3413 SNMP v3 Applications RFC 3414 User-based Security Model for SNMP v3 RFC 3415 View-based Access Control Model for SNMP Kapazitäten Address Table Size 32k MAC Addresses 1024 VLANs supported 8 Hardware Queues/Port VLAN Spanning Tree (802.1s) 4 Instances Supported 802.3ad Link Aggregation: 8 ports per trunk group, 6 groups supported Main memory: 256 MB Flash memory: 32 MB Spezifikationen Maße H/B/T: 8,8 cm x 44,1 cm x 48,1 cm Gewicht: G3G124-24: 9,598kg G3G124-24P: 9,662kg G3G170-24: 9,866kg Betriebstemp.: 0 C bis 50 C Temperaturgrenzwerte: -40 C bis 70 C (-40 F bis 158 F) Zulässige Feuchtigkeit: 5 bis 95% non-condensing Stromaufnahme: V AC, 50-60Hz, A, W Wärmeabgabe: G3G124-24: 429,66 BTU/H G3G124-24P: 443,3 BTU/H G3G170-24: 214,3 BTU/H Unterstützte Standards Standard Safety: UL/CB/LVD Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI Stoßfestigkeit: ISTA 2A, ASTM D

111 Enterasys K-Serie Die K-Serie ist eine neue, sehr kosteneffiziente, flowbasierte, modulare Switching- Lösung. Sie automatisiert Netzwerke weitgehend und senkt daher die Betriebskosten. Die K-Serie macht das Nutzer-, Service- und Applikationsverhalten im Detail durchschaubar und ermöglicht so genaue Kontrolle und Steuerung. Dadurch lassen sich Schlüsseltechnologien wie Unified Communications und kritische Betriebsapplikationen wie CRM und SAP optimieren. Ihre funktionsvielfalt empfiehlt die Systeme Enterasys K6 und K10 als extrem kosteneffiziente, hochdichte Netzwerk-Edge-Access-Switches. Enterasys K-Serie Switche sind in den folgenden Ausführungen verfügbar: 6-Slot-Chassis mit maximal 144 Triple-Speed Edge-Ports und vier 10Gb-Uplinks 10-Slot-Chassis mit maximal 216 Triple Speed Edge Ports und acht 10Gb-Uplinks Die K-Serie unterstützt bis zu 12 10Gb-Uplinks, davon vier auf den Fabric Cards und zwei 10Gb I/O-Module. Die Switches entscheiden, wohin Daten weitergeleitet werden. Sicherheitspolicies und - rollen setzen sie mit Leitungsgeschwindigkeit durch. Datenverkehr wird klassifiziert und priorisiert. Alle Ein-/Ausgabemodule bieten höchste Servicequalität für kritische Applikationen wie Sprache und HD-Video, sogar in Zeiten hoher Netzwerk- Verkehrbelastung. Gleichzeitig verhindern sie DoS (Denial-of-Service)-Attacken und Malware-Übertragungen. Die K-Serie implementiert eine hochleistungsfähige flowbasierte Switching-Architektur, mit der sich individuelle Nutzer und Applikationskonversationen intelligent managen lassen. Die Geräte können weit mehr als reines Switching, das hauptsächlich VLANs, ACLs und Ports zur Implementierung rollenbasierter Zugangskontrolle umfasst. NutzerIdentiFikation und Rollenkonzepte gewährleisten, dass jeder einzelne Anwender auf seine betriebskritischen Applikationen zugreifen kann, egal von wo aus er sich mit dem Netzwerk verbindet. Die K-Serie inspiziert Pakete im Detail und ermöglicht die Definition umfangreicher Regelwerke. Dadurch lassen sich Sicherheitsbedrohungen intelligent aufspüren. Das System reagiert dann automatisch auf entsprechende Bedrohungen. Die Zuverlässigkeit und die Qualität der Nutzererfahrung steigen. Ein wichtiges Merkmal der K-Serie ist ihre Fähigkeit, NetFlow-Daten mit Leitungsgeschwindigkeit zu sammeln. Das bedeutet absolute Transparenz hinsichtlich der Nutzung der Netzwerkressourcen durch Anwender und Applikationen. Die Enterprise- Switche der Enterasys K- und S-Serie sind die einzigen, die Multi-User, Multi-Method- 111

112 Authentisierung auf jedem Port unterstützen. Das ist absolut essenziell, wenn Geräte wie IP Telefone, Computer, Drucker, Kopierer, Sicherheitskameras, Barcodeleser und virtuelle Maschinen an das Netzwerk angeschlossen werden. K-Serie K6 K-Serie K10 Hardwarebasierte, hochverfügbare Funktionen Die K-Serie enthält viele Standard-Hochverfügbarkeits-Funktionen, die in Hardware implementiert sind. Daher eignet sie sich für betriebskritische Umgebungen, die ununterbrochen (24/7) verfügbar sein müssen. Im Einzelnen sichern folgende Funktionen und Eigenschaften der K-Serie die Hochverfügbarkeit: passive Chassis-Backplane, bewegliche Lüfterschächte mit mehreren Kühlungslüftern, bewegliche Stromversorgungen mit Lastverteilung, mehrere Wechselstromzuführungen für Stromredundanz. Verteilte, flowbasierte Architektur Für feinkörnige Transparenz und Verkehrsmanagement ohne Leistungseinbußen verwendet die Enterasys K-Serie eine verteilte, flowbasierte Architektur. Sie garantiert, dass die ersten Pakete eines Datenstroms zwischen zwei Endpunkten durch die Multilayer-Klassifizierungsmaschine in den I/O- und den I/O-Fabric-Modulen des Switches verarbeitet werden. Sie IdentiFizieren die Rolle des Absenders, bestimmen die anzuwendenden Regelsätze, prüfen die Pakete und definieren die Maßnahme zur Weiterleitung Nachdem ein Datenstrom indentifiziert wurde, handhaben die Enterasys- ASICs die nachfolgenden Pakete dieses Flows automatisch und ohne weitere Verarbeitung. Die Enterasys K-Serie kann damit jeden Datenstrom sehr detailliert auf der gesamten Transportstrecke steuern und überwachen. 112

113 Multi-User / Method Authentifizierung und Policy Mit Authentifizierung verwalten Unternehmen den Netzwerkzugang und machen Nutzer und Geräte mobil. Authentifizierung schafft Überblick darüber, wer oder was mit dem Netzwerk verbunden ist und vermittelt jederzeit Wissen darüber, wo sich diese Verbindung befindet. Die Module der Enterasys K-Serie unterstützen nebeneinander vielfältige Authentifizierungsmethoden. Dazu gehören: 802.1x-Authentifizierung, MAC-Authentifizierung, für die IdentiFizierung der Geräte am Netz über die MAC- Adresse, webbasierte Authentifizierung, (PWA, Port Web Authentifizierung). Dabei stellt der Browser Nutzername und Password bereit. CEP (Convergence End Point): Mehrere VoIP-Telefone unterschiedlicher Lieferanten werden IdentiFiziert und authentifiziert. Das erhöht die Flexibilität von Unternehmen, die Zugangskontroll-mechanismen in ihrer Infrastruktur implementieren möchten. Weiterhin unterstützt die K-Serie Multiuser Authentifizierung. Damit lassen sich mehrere Nutzer und Geräte an denselben physikalischen Port anbinden, trotzdem kann man jeden Anwender und jedes Gerät individuell mit einer Multi-Method Option (802.1x, MAC, PWA oder CEP) authentifizieren. Der Hauptvorteil des Verfahrens liegt in der Autorisierung mehrerer Nutzer, entweder durch dynamische Policies oder VLAN- Zuweisung an jeden authentifizierten Nutzer. Derartige dynamische Policies bezeichnet man als Multiuser Policy. Multiuser-Portfähigkeiten lassen sich bei der K-Serie pro Port, pro I/O Modul und pro Multi-Slot System festlegen. Multiuser Authentifizierung und Policy können Sicherheitsdienste auf Nutzer anwenden, die über ungemanagte Geräte, Switche/Router anderer Hersteller, VPN-Konzentratoren oder WLAN-Access-Points am Edge mit dem Netzwerk verbunden sind. Authentifizierung bietet Sicherheit, Priorität und Bandbreitenkontrolle bei gleichzeitigem Schutz bestehender Netzwerkinvestitionen. Die K-Serie unterstützt bis zu acht Nutzer pro Port. Dynamische, flowbasierte Paketklassifizierung Ein weiteres, im Konkurrenzumfeld einzigartiges Feature der K-Serie ist die nutzerbasierte Multilayer Paketklassifizierung/Servicequalität. Da in den heutigen Infrastrukturen viele Netzwerkanwendungen eingesetzt werden, reicht eine traditionelle Multilayer-Paketklassifizierung nicht mehr, um den zeitgemäßen Transport betriebskritischer Applikationen zu garantieren. Bei der K-Serie ordnet die nutzerbasierte Multilayer-Paketklassifizierung Datenströme nach Pakettyp, Nutzerrolle im Netzwerk und 113

114 nutzerspezifischer Policy. So lassen sich Pakete basierend auf eindeutigen Zuordnungen, wie All User, User Groups und Individual User, klassifizieren. Netzwerkvertraulichkeit, Integrität und Verfügbarkeit kann man so besser sicherstellen und managen. Netzwerktransparenz durch sehr genaue NetFlow Daten NetFlow stellt auf den Switchports der K-Serie Netzwerk-Performance-Management und Sicherheitsfunktionen bereit, ohne die Switching- und Routing-Performance zu verringern, und das ohne den Zukauf teurer Tochterkarten für jedes Modul. Enterasys NetFlow überwacht, anders als typische statistische Stichprobentechniken oder restriktive applikationsbasierte Implementierungen, jedes Paket in jedem Datenstrom. Durch dieses nicht gesamplete Echtzeit-NetFlow-Monitoring ist stets genau bekannt, welcher Verkehr genau durchs Netz fließt. Taucht etwas Ungewöhnliches auf, erfasst NetFlow es und man kann sofort einschreiten. Zusätzlich kann man NetFlow für Kapazitätsplanungen nutzten. Netzwerkmanager überwachen und verstehen damit Verkehrsflüsse und volumen im Netzwerk und sehen, wo das Netzwerk rekonfiguriert oder erweitert werden muss. Dass die Administratoren Upgrades genau planen können, spart Zeit und Geld. Feature-Zusammenfassung Multilayer Paketklassifizierung: Kenntnis der Datenströme und ihre genaue Steuerung für zielgenaue Bereitstellung kritischer Applikationen an spezifische Nutzer o Nutzer-, Port- und Geräteebene (Paketklassifizierung auf Layer 2 bis 4) o QoS-Mapping für priorisierte Warteschlangen (Queues) (802.1p & IP ToS (Type of Service)/DSCP (Differentiated Services Code Point) für bis zu acht Queues pro Port o Mechanismen für den Aufbau mehrerer gleichzeitiger Queues (SPQ (Strict priority Queing), WFQ (Weighted Fair Queuing), WRR (Weighted Round Robin Queuing) und Hybrid) o Granulares QoS/Rate Limiting o VLAN für Policy Mapping Switching/VLAN Services bietet hohe Performance Konnektivität, Aggregation und schnelle Recovery-Services o Umfangreiche Industriestandard-Compliance (IEEE und IETF) o Inbound- und Outbound-Bandbreitenkontrolle per Flow o VLAN-Serviceunterstützung 114

115 o Link Aggregation (IEEE 802.3ad) o Multiple Spanning Trees (IEEE 802.1s) o Schnelle Rekonfiguration von Spanning Trees (IEEE 802.1w) o Provider Bridges (IEEE 802.1ad), Q-in-Q Ready o Flow Setup Throttling Verteiltes IP Routing bietet dynamische Verkehrsoptimierung, Broadcast Eindämmung und effizientere Netzwerkausfallsicherheit o Zu den Standard-Routing-Features gehören statische Routen, RIPv1/ RIPv2, Ipv4 und Multicast Routing Unterstützung (DVMRP, IGMP v1/v2/v3), Policybasiertes Routing und Route Maps, VRRP o Zu den lizenzierten Routing-Features gehören OSFP v1/v2, PIM-SM und Ipv6 o Erweiterte ACLs Sicherheit (Nutzer, Netzwerk und Management) o Nutzersicherheit Authentifizierung (802.1x, MAC, PWA+ und CEP), MAC (statisch und dynamisch) Port Locking Multiuser Authentifizierung / Policies o Netzwerksicherheit ACLs einfache und erweiterte Policy-basierte Sicherheitsservices (Beispiel: Spoofing, nicht unterstützter Protokollzugang, Intrusion Prevention, DoS-Attacken- Limitierung) Management-Sicherheit o Sicherer Zugang zur K-Serie via SSH, SSL, SNMP v3 Management, Kontrolle und Analyse bietet modernisierte Werkzeuge, um Netzwerkverfügbarkeit und -zustand zu bewahren o Konfiguration Industriestandard CLI und Web-Management Unterstützung Multiple Firmware-Images mit editierbaren Konfigurationsdateien o Netzwerkanalyse SNMP v1/v2/v3, RMON (9 Gruppen) und SMON (RFC 2613) VLAN und Stats Port/VLAN Spiegelung (1-to-1, 1-to-many, many-to-many) Nicht gesampleter NetFlow auf jedem Port ohne Einfluss auf System Switching- und Routing-Performance 115

116 o Automatisiertes Set-Up und Rekonfiguration Ersatz-I/O Module übernehmen automatisch die Konfiguration von ausfallenden Modulen Viele zusätzliche Funktionen und Eigenschaften der K-Serie einige Beispiele NetFlow für Echtzeit-Transparenz, Applikationsprofiling und Kapazitätsplanungen LLDP-MED (Link Layer Discovery Protocol für Medien-Endpunkt- Geräte) - verbessert VoIP-Umgebungen Flow Setup Throttling (FST) effektive Vorbelegung und Schutz vor DoS Attacken Web Cache Redirect erhöht WAN- und Internet-Bandbreiteneffizienz Node & Alias Location verfolgt Nutzer- und Gerätelokation automatisch und verbessert die Produktivität des Netzwerkmanagement und die Fehlerisolation Port Protection Suite bewahrt Netzwerkverfügbarkeit durch Sicherung eines guten Verhaltens von Protokollen und Endgeräten Flex-Edge-Technologie erweitertes Bandbreitenmanagement und -zuweisung für anfragende Access / Edge Geräte Jedes Gerät der K-Serie bietet hohe Netzwerkperformance, Management- und Sicherheitsfeatures via NetFlow, ohne die Switching- oder Routingleistung zu beeinflussen. Auch teure Tochterkarten für jedes Blade sind unnötig. Die K-Serie verfolgt jedes Paket in jedem Datenstrom im Gegensatz zu den statistischen Stichprobentechniken des Mitbewerbs. Das liegt an den maßgeschneiderten Enterasys- ASICs, die NetFlow-Statistiken für jedes Paket in jedem Flow sammeln, ohne dass die Leistung sinkt. Flow Setup Throttling (FST) ist eine Funktion für vorbeugende Aktionen gegen Zero-Dayund Denial of Service (DoS)-Attacken, bevor sie das Netzwerk beeinträchtigen können. FST bekämpft die Auswirkungen solcher Angriffe, indem die Funktion direkt die Zahl neuer oder existierender Datenströme an jedem individuellen Switchport begrenzt. Sie kontrolliert, wie viele Flows eintreffen und misst, wann die maximal erwünschte Flow- Zahl erreicht ist. Im Netzwerkbetrieb kostet es viel Zeit, ein Gerät zu lokalisieren oder herauszufinden, wo genau ein Nutzer angebunden ist. Dies ist besonders wichtig, wenn man auf Sicherheitsverletzungen reagiert. Die Module der Enterasys K-Serie lesen den Netzverkehr komplett mit, sobald Pakete den Switch passieren und verfolgen dabei automatisch auch die Standortinformationen von Nutzern und Geräten. Mit diesen Informationen, etwa der MAC-Adresse einer Station oder dem Layer-3-Alias (IP Adresse, 116

117 IPX Adresse, etc.) wird dann die Node/Alias-Tabelle bestückt. Die Managementtools der Enterasys NMS Suite nutzen dann diese Informationen, um schnell die Switch- und Port- Nummer jeder IP Adresse zu ermitteln und bei einer Sicherheitslücke Maßnahmen gegen dieses Gerät zu ergreifen. Diese Node- und Alias-Funktionalität bietet derzeit nur Enterasys und hilft, Probleme statt in Stunden innerhalb von Minuten genau zu orten. Für Organisationen, die UC (Unified Communications) einsetzen wollen, bietet die K- Serie Policy-basierte Automation. Die Systeme unterstützen mehrere standardbasierte Erkennungsmethoden, inklusive LLDP-MED, SIP (Session initiation Protocol) und H.323, um UC-Dienste für IP Telefone aller großen Hersteller automatisch zu erkennen und bereitzustellen. IP-Clients werden durch die Switche der K-Serie ohne Administrationsaufwand mobil. Zieht ein IP Telefon um oder wählt sich andernorts ins Unternehmensnetzwerk ein, wandern alle VoIP-, Sicherheits- und Prioritätseinstellungen automatisch mit. Dasselbe gilt für Ergänzungen und Änderungen des Netzes. Ports lassen sich mit den Geräten der K-Serie vielfältig und umfassend schützen. Zu den Portschutzfunktionen gehören zum Beispiel SPANguard und MACLock. SPANguard erkennt unautorisierte Bridges im Netz, MACLock weist einer MAC Adresse einen spezifischen Port zu, auf andere Ports hat sie keinen Zugriff. Weitere Möglichkeiten sind Link Flap, Broadcast-Unterdrückung und Spanning-Tree-Loop-Schutz, alles Funktionen zur Verhinderung von Fehlkonfigurationen und Protokollfehlern. Die Flex-Edge-Technologie der Enterasys K-Serie klassifiziert Datenströme mit Leitungsgeschwindigkeit für alle Zugangsports. Dabei erhalten Steuer- und Überwachungsdaten sowie hochpriorisierter Verkehr garantiert Vorrang vor anderen Datenströmen. Die diesbezüglichen Regeln werden in einer übergreifenden Policy (Enterasys Policy Overlay) festgelegt. Außerdem kann auch jedem authentifizierten Nutzer an jedem Port, den der Adminsitrator dafür bestimmt, priorisierte Bandbreite zugewiesen werden. Flex-Edge Technologie ist ideal für den Einsatz in Schaltschränken und Verteilerpunkten, die oft veraltet sind. Das kann zu Netzwerkengpässen führen, die wiederum in Topologieänderungen und zufälligen Paketausschüssen resultieren können. Flex Edge verhindert solche Störungen. 117

118 Standards und Protokolle Enterasys Networks Solution Guide 2013/2014 Switching/VLAN Services Generic VLAN Registration Protocol (GVRP) 802.3u Fast Ethernet 802.3ab Gigabit Ethernet (copper) 802.3z Gigabit Ethernet (fiber) 802.3ae 10 Gigabit Ethernet (fiber) 802.1Q VLANs 802.1D MAC Bridges Provider Bridges (IEEE 802.1ad) Ready 802.1w Rapid re-convergence of Spanning Tree 802.1s Multiple Spanning Tree 802.3ad Link Aggregation 802.3ae Gigabit Ethernet 802.3x Flow Control IP Multicast (IGMP support v1, v2, v3, per-vlan querier offload) Jumbo Packet with MTU Discovery Support for Gigabit Link Flap Detection Dynamic Egress (Automated VLAN Port Configuration) 802.S1ab LLDP-MED Standard IP Routing Features RFC 1812 General Routing RFC 792 ICMP RFC 826 ARP RFC 1027 Proxy ARP Static Routes RFC 1723 RIPv2 with Equal Cost Multipath Load Balancing RFC 1812 RIP Requirements RFC 1519 CIDR RFC 2338 Virtual Router Redundancy Protocol (VRRP) Standard ACLs DHCP Server RFC 1541/ Relay RFC 2131 RFC 1583/RFC 2328 OSPFv2 RFC 1587 OSPFv2 NSSA RFC 1745 OSPF Interactions RFC 1746 OSPF Interactions RFC 1765 OSPF Database Overflow RFC 2154 OSPF with Digital Signatures (Password & MD5) OSPF with Multipath Support OSPF Passive Interfaces IPv6 Routing Protocol Ready Extended ACLs Policy-based Routing RFC 1112 IGMP RFC 2236 IGMPv2 RFC 3376 IGMPv3 DVMRP v3-10 RFC 2361 Protocol Independent Multicast - Sparse Mode RFC 4601 PIM SM 118

119 Network Security and Policy Management 802.1X Port-based Authentication Web-based Authentication MAC-based Authentication Convergence Endpoint Discovery with Dynamic Policy Mapping (Siemens HFA, Cisco VoIP, H.323, and SIP) Multiple Authentication Types per Port Simultaneously Multiple Authenticated users per Port with unique policies per user/end System (VLAN association independent) RFC 3580 IEEE RADIUS Usage Guidelines, with VLAN to Policy Mapping Worm Prevention (Flow Set-Up Throttling) Broadcast Suppression ARP Storm Prevention MAC-to-Port Locking Span Guard (Spanning Tree Protection) Behavioral Anomaly Detection/Flow Collector (nonsampled Netflow) Static Multicast Group Provisioning Multicast Group, Sender and Receiver Policy Control IETF and IEEE MIB Support RFC 1156/1213 & RFC 2011 IP-MIB RFC 1493 Bridge MIB RFC 1659 RS-232 MIB RFC 1724 RIPv2 MIB RFC 1850 OSPF MIB RFC 2578 SNMPv2 SMI RFC 2579 SNMPv2-TC RFC 3417 SNMPv2-TM RFC 3418 SNMPv2 MIB RFC 2012 TCP MIB RFC 2013 UDP MIB RFC 2096 IP Forwarding Table MIB RFC 3411 SNMP Framework MIB RFC 3412 SNMP-MPD MIB RFC 3413 SNMPv3 Applications RFC 3414 SNMP User-Based SM MIB U Bridge MIB Draft-ietf-idmr-dvmrp-v3-10 MIB Draft-ietf-pim-sm-v2-new-09 MIB RFC 2276 SNMP-Community MIB RFC 2613 SMON MIB RFC p/Q MIB RFC 2737 Entity MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB (Groups 1-9) RFC 3273 HC RMON MIB RFC 2863 IF MIB RFC 2864 IF Inverted Stack MIB RFC 2922 Physical Topology MIB RFC 3291 INET Address MIB RFC 3621 Power Ethernet MIB RFC 3415 SNMP View Based ACM MIB RFC 3635 EtherLike MIB RFC 3636 MAU MIB IEEE 8023 LAG MIB RSTP MIB USM Target Tag MIB SNMP-REARCH MIB IANA-address-family-numbers MIB IEEE 802.1PAE MIB 119

120 Management, Control and Analysis SNMP v1/v2c/v3 Web-based Management Interface Industry Common Command Line Interface Multiple Software Image Support with Revision Roll Back Multi-configuration File Support Editable Text-based Configuration File COM Port Boot Prom and Image Download via ZMODEM Telnet Server and Client Secure Shell (SSHv2) Server and Client Cabletron Discovery Protocol Cisco Discovery Protocol v1/v2 Syslog FTP Client Simple Network Time Protocol (SNTP) Netflow version 5 and version 9 RFC 2865 RADIUS RFC 2866 RADIUS Accounting TACACS+ for Management Access Control Management VLAN 4 Many to-one-port, One-to-Many Ports, VLAN Mirror Sessions Private MIBs Ct-broadcast MIB Ctron-CDP MIB Ctron-Chassis MIB Ctron-igmp MIB Ctron-q-bridge-mib-ext MIB Ctron-rate-policying MIB Ctron-tx-queue-arbitration MIB Ctron-alias MIB Cisco-TC MIB Cisco-CDP MIB Cisco-netflow MIB Enterasys-configuration-management MIB Enterasys-MAC-locking MIB Enterasys-convergence-endpoint MIB Enterasys-notification-authorization MIB Enterasys-netfow MIB Enterasys-license-key MIB Enterasys-aaa-policy MIB Enterasys-class-of-service MIB Enterasys-multi-auth MIB Enterasys-mac-authentication MIB Enterasys-pwa MIB Enterasys-upn-tc MIB Enterasys-policy-profile MIB Class of Service 8 Transmit Queues per Port Packet Count or Bandwidth based Rate Limiters (Bandwidth Thresholds between 64 Kbps and 4 Gbps) Strict Priority Queuing IP ToS/DSCP Marking/Remarking 802.1D Priority-to-Transmit Queue Mapping Weighted Fair Queuing with Shaping Enterasys Network Management Suite (NMS) NMS Console NMS Policy Manager NMS Inventory Manager NMS Automated Security Manager NMS NAC Manager 120

121 Spezifikationen Performance/Capacity K6 Switching Fabric Bandwidth 280 Gbps 440 Gbps Switching Throughput 190 Mpps (Measured in 64-byte packets) 299 Mpps (Measured in 64-byte packets) Routing Throughput 190 Mpps (Measured in 64-byte packets) 299 Mpps (Measured in 64-byte packets) Address Table Size 32,000 MAC Addresses 32,000 MAC Addresses VLANs Supported 4,096 4,096 Transmit Queues Classification Rules 8,196/chassis 8,196/chassis Packet Buffering 3.0GB 4.5GB Physical Specifications Chassis Dimensions (H x W x D) H: cm (8.719 ) H: cm cm ( ) Host Memory and Flash Environmental Specifications K10 W: cm (17.60 ) W: cm (17.60 ) D: cm (14 ) D: cm (14 ) 5U 1Gb DRAM 32 MB flash memory 7U 1Gb DRAM 32 MB flash memory Operating Temperature +5 C to +40 C (41 F to 104 F) +5 C to +40 C (41 F to 104 F) Storage Temperature -30 C to +73 C (-22 F to 164 F) -30 C to +73 C (-22 F to 164 F) Operating Humidity 5% to 90% relative humidity, noncondensing 5% to 90% relative humidity, noncondensing Power Requirements 100 to 125 VAC, 12 A or 200 to 250 VAC, 7.6 A; 50 to 60 Hz (Max per power supply) 100 to 125 VAC, 12 A or 200 to 250 VAC, 7.6 A; 50 to 60 Hz (Max per power supply) Power over Ethernet Specifications System Power Standards Compliance Agency and Standard Specifications Automated or manual PoE power distribution Per-port enable/disable, power level, priority safety, overload, and short-circuit protection System power monitor PoE Power: 400W per power supply (100 to 125 VAC) 2400W Max. 800W per power supply at (200 to 250 VAC) 4800W Max. IEEE 802.3af IEEE 802.3at Safety UL , FDA 21 CFR and , CAN/CSA C22.2 No , EN , EN , EN , IEC , 2006/95/EC (Low Voltage Directive) Electromagnetic Compatibility FCC 47 CFR Part 15 (Class A), ICES- 003 (Class A), EN (Class A), EN 55024, EN , EN , AS/NZ CISPR-22 (Class Automated or manual PoE power distribution Per-port enable/disable, power level, priority safety, overload, and short-circuit protection System power monitor PoE Power: 400W per power supply (100 to 125 VAC) 2400W Max. 800W per power supply at (200 to 250 VAC) 4800W Max IEEE 802.3af IEEE 802.3at UL , FDA 21 CFR and , CAN/CSA C22.2 No , EN , EN , EN , IEC , 2006/95/EC (Low Voltage Directive) FCC 47 CFR Part 15 (Class A), ICES- 003 (Class A), EN (Class A), EN 55024, EN , EN , AS/NZ CISPR-22 (Class 121

122 Environmental A). VCCI V-3. CNS (BSMI), 2004/108/EC (EMC Directive) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) A). VCCI V-3. CNS (BSMI), 2004/108/EC (EMC Directive) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) Bestellinformationen Part Number description K6 Chassis K6-Chassis K-Series 6 Slot Chassis and Fan Tray K6-FAN K6 Fan Tray - Spare K6-MID-KIT K6 Mid-Mount Kit K10 Chassis K10-Chassis K-Series 10 Slot Chassis and Fan Tray K10-FAN K10 Fan Tray - Spare K10-MID-KIT K10 Mid-Mount Kit Part Number description Power Supplies and Accessories K-AC-PS K-Series Power Supply, 15A, VAC input, (600W system, 400/800W POE) K-POE-4BAY K-Series External 4 Bay Power Shelf K-POE-4BAY-RAIL Mounting Kit for K-POE-4BAY K-POE-CBL-2M K-Series PoE Power to K Chassis Cable - 2M I/O Fabric Modules KK F2 K10 Management/Fabric Module (4) 10GB via SFP+ KK F2G K10 Management/Fabric Module (4) 10GB via SFP+(TAA Compliant) KK F1 K6 Management/Fabric Module (4) 10GB via SFP+ KK F1G K6 Management/Fabric Module (4) 10GB via SFP+(TAA Compliant) I/O Modules KT K-Series (24) Port 10/100/ at RJ45 PoE IOM KT G K-Series (24) Port 10/100/ at RJ45 PoE IOM (TAA Compliant) KT K-Series (24) Port 10/100/ at Mini-RJ21 PoE IOM KT G K-Series (24) Port 10/100/ at Mini-RJ21 PoE IOM (TAA Compliant) KG K-Series (24) Port 1Gb SFP IOM KG G K-Series (24) Port 1Gb SFP IOM (TAA Compliant) KK K-Series (4) Port 10Gb SFP+ IOM Licenses K-EOS-L3 Advanced Routing License (OSPF, VRF, PIM-SM) K-EOS-PPC K-Series Per Port User Capacity License Upgrade 122

123 Enterprise Mobility Enterasys Networks Solution Guide 2013/2014 Wireless LAN ermöglicht Unternehmen erhohte Flexibilitat (zum Beispiel mobile Büros, schnelle Anbindung neuer Bereiche), aber auch Kostensenkung durch Prozessintegration (zum Beispiel Scanner im Logistikbereich), direkte Dokumentation auf digitaler Ebene, mobile Visite im Bereich Gesundheitswesen, Lokation-Tracking zum Auffinden von mobilen Gutern und Personen). Oft wird auch die Bereitstellung von Gastzugangen über Wireless LAN realisiert. Insbesondere die Trends in Unternehmen, zum Einen bestehende DECT Systeme durch VoIP over Wireless LAN (WLAN) zu ersetzen als auch zum anderen die Anforderung neuer Multifunktionssysteme (insbesondere SmartPhones, PDAs) mit GSM/GPRS, UMTS, Bluetooth und WLAN Schnittstellen gerecht zu werden und ein kostenoptimiertes Roaming anzubieten (ein Mitarbeiter, der heute mit dem GSM Handy im eigenen Unternehmen telefoniert, wird in Zukunft direkt ins WLAN seines Unternehmens eingebucht und telefoniert dann über VoIP - kostenlos ) sind hier die wesentlichen Faktoren. Viele der oben genannten Technologien und Mehrwerte wurden erst durch die WLAN Switching Architektur vollwertig und praktikabel umsetzbar. Hierbei wird die bei der Thick-AP -Architektur vorhandene verteilte Intelligenz je Access Point in eine zusätzliche Komponente, dem so genannten WLAN Controller zentralisiert. Die Access Points selbst werden in so genannte Thin-APs umgewandelt und fungieren nur noch als intelligente Antennen. Dadurch wird eine skalierbare, flexible und zukunftssichere WLAN Umgebung geschaffen, die Hunderte von WLAN Switchen und Tausende von APs umfassen kann. Als oberste Hierarchieebene wird meist auch noch ein WLAN Management System eingesetzt, das zentral über WLAN Grenzen hinweg Planungs-, Konfigurations-, Monitoring- und Alarmierungsdienste zur Verfügung stellt. Typische Funktionen einer WLAN Switching Lösung sind z.b.: Automatische Kanalwahl Automatische Regelung der Sendeleistung Loadbalancing zwischen den APs Verarbeiten von Gebäude/ Geländeplanen, um die Funkausbreitung/ Clients/ RFID-Tags/ Fremd-APs visuell darzustellen Verkürztes, subnetübergreifendes Roaming Automatisiertes Erkennen, Lokalisieren und Bekampfen von Fremd-APs und Clients Zentralisierte Planung, Deployment, Reporting & Alarmierung 123

124 Durch die IdentiFi Adapt Architektur bleibt ein grosser Anteil der Intelligenz in den APs erhalten. Dies ermöglicht dezentrales Traffic-Forwarding direkt am AP mit allen nötigen Paramentern wie z.b QoS, Ratelimit, ACLs us.w. und eliminiert dadurch den Flaschenhals am Controller. Weiterhin kann der AP auch ohne Controller weiter den Service in der Luft bereitstellen. WLAN High Density & Performance Best Practise Um den gestiegenen Anforderungen hinsichtlich Client-Dichte und Leistung in heutigen modernen WLAN-Netzen Rechnung zu tragen, beinhaltet unsere Lösung eine Vielzahl von Funktionen, um diese Herausforderungen effizient und einfach zu lösen: Load Balancing & Bandsteering Load Balancing verteilt Clients über eine definierte Anzahl von Radios um sicherzustellen, dass ein einziger Radio-oder Kanal nicht überlastet wird, während andere ungenutzt bleiben. Vorraussetzung ist, dass sich die APs gegenseitig in der Luft sehen. Typischerweise wird dieses Feature in grossen Besprechungsräumen, Bibliotheken oder Hörsälen eingesetzt. Band-Steering erkennt, ob ein Client das 5 Ghz-Band unterstützt und steuert diesen dann gezielt auf dieses Radio. Vorraussetzung hierfür ist, dass die WLAN Ausleuchtung auch für das 5 Ghz-Band sichergestellt ist, da es sonst für diese Clients zu Verbindungsabbrüchen kommen kann. Beide Funktionen kombiniert maximieren die Effizienz und den Durchsatz des Gesamtsystems. 124

125 Single SSID Design Enterasys Networks Solution Guide 2013/2014 Die Vielzahl an Applikationen und Endsystemen in heutigen WLAN-Netzen kann nicht mehr durch zusätzliche SSIDs Domänen umgesetzt werden. Durch die Möglichkeit userbezogene Policies mit allen, per User nötigen Parametern (VLAN, ACL, Topoligie, Ratelimit,QoS) zu vergeben, wird dies beim Single SSID Design innerhalb der SSID gelöst. Dadurch ergeben sich folgende Vorteile: Per User Topologie,QoS, Ratelimit und ACL o weniger SSIDs nötig einfachere Konfiguration der Clients o einfacheres Durchsetzen von Security-Policies, da weniger SSIDs zu schützen sind o Bessere Performance in der Luft da weniger Beacons Besonders durch das minimieren der Becaons steigt die Performance in der Luft erheblich: Prinzipschaubild: Airtime Fairness Obwohl die Anzahl der installierten 11n-APs stetig steigt, findet man auf der Client-Seite fast ausschließlich Umgebungen in denen 11n- und 11a/b/g-Clients auf die gleiche Infrastruktur zugreifen. Durch den bestehenden Zugangsmechnanismus wird jeden Client, unabhänig von der Geschwindigkeit mit der er verbunden ist, erlaubt, die gleiche Anzahl an Paketen zu versenden. Bei gemischten Clientzugangstechnologien (11n vs.11a/b/g) führt dies dazu, dass z.b. ein 11b Client den Kanal erheblich länger belegt als 125

126 ein 11n Client. In der Summe wird dadurch der Gesamtdurchsatz der Funkzelle erheblich vermindert. Dieses Verhalten wird als Packet Fairness bezeichnet. Durch Ändern dieses Verhaltens von Packet Fairness auf Airtime Fairness, bei dem jedem Client die gleiche Sendezeit eingeräumt wird, wird der Gesamtdurchsatz der Funkzelle gesteigert. Ratelimit & QoS Client Mix Da sich die in einer Funkzelle eingeloggten Clients die Bandbreite & Sendezeit dieser Zelle teilen, ist es höchst effizient mit Ratelimits & QoS den Zugriff auf die Zelle je nach Nutzer (z.b Gäste vs. internen Clients) zu steuern. Dadurch ist es möglich, die limitierte Kapazität nutzer- & applikationsbezogen effizient zu verteilen. Erhöhen der Minimum-Basic-Rate: Management- sowie Multicast-Frames werden mit der geringst möglichen Geschwindigkeit übertragen, damit sichergestellt wird, dass der Traffic auch von allen Clients erreicht wird. Bei entsprechender Ausleuchtung kann diese erhöht werden und so die Gesamtleistung des Systems verbessert werden Performance-Tuning für Multicast-Verkehr: Effective Bandwith (Mbps) Packet Airtime Fairness Fairness 6 Mbps Mbps n 104 Mbps n 240 Mbps Total Throughput Die gestiegene Nutzung von Video-over-WLAN & Zero-Config-Protokollen wie Bonjour, UpnP und LLMNR führt zu einen erheblich größeren Anteil an Multicast-Traffic innerhalb eines WLANs. Da Multicast-Traffic immer mit der Minimum-Basic-Rate versendet wird, kann dies zu erheblichen Performance-Engpässen führen. Daher wird folgender Umgang mit Multicast-Traffic empfohlen: AP Verbieten von Multicast-Verkehr via ACL, wenn dieser nicht benötigt wird Multicast zu Unicast Umwandlung Dieses Feature wandelt Multicasttraffic in Unicasts um. Diese werden dann mit der vollen Performance der Clientverbindung versendet. 126

127 Proxy AP Der AP beantwortet ARP-Anfragen direkt und leitet diese nicht an die Funkschnittstelle weiter Anpassbare Multicast Senderate Der AP erkennt, welcher Client innerhalb seiner Funkzelle mit der geringsten Geschwindigkeit verbunden ist und sendet den Multicast mit dieser Verbindungsgeschwindigkeit, auch wenn die Minimum-Basic-Rate niedriger liegt. Best Practise AP36XX/AP37XX Radio Konfiguration: Um die optimale Performance unserer 11n-APs zu gewährleisten empfehlen wir folgende Konfiguration: Radio 1 Radio Mode: a/n Channel Width: 40MHz Guard Interval: Short ATPC: Enabled Max Power: 20 dbm Min Power: 0dBm Protection Mode: Disabled 40MHz Protection Mode: None Aggregate MSDUs: Disabled Aggregate MPDUs: Enabled (Disabled for Voice) ADDBA Support: Enabled (Disabled for Voice) 127

128 Zusätzlich bei AP37xx: Enable LDPC Enable STBC Enable TXBF Radio 2 Radio Mode: b/g/n (b ausschalten, wenn keine 11b Devices mehr vorhanden) Channel Width: 20MHz ATPC: Enabled Max Tx Power: 20 dbm Min Tx Power: 0 dbm Protection Mode: Disabled 40MHz Protection Mode: None Aggregate MSDUs: Disabled Aggregate MPDUs: Enabled (Disabled for Voice) ADDBA Support: Enabled (Disabled for Voice) Zusätzlich wenn Abdeckung gegeben: Erhöhen der min. Basic-Rate(1Mbps, 2Mbps, wenn möglich auch 5,5 Mbps) Ausschalten b Ausschalten von niedrigen g min. Basic-Rates (6Mbps) Zusätzlich bei AP37xx: Enable LDPC Enable STBC Enable TXBF VNS Configuration Global Settings->Wireless QoS->Flexible Client Access Fairness Policy: 100% Airtime WLAN Services->Privacy None, WPA v.2 oder WPA-PSK v.2 WLAN Services->QoS WMM: Enabled Flexible Client Access: Enabled 128

129 Sicherung von WLAN Netzen Zur Sicherung der Luftschnittstelle wurde ursprünglich der Sicherheitsstandard Wired Equivalent Privacy (WEP) eingeführt. Dieser erwies sich jedoch schon nach kurzer Zeit als lückenhaft, denn durch das Aufzeichnen und Analysieren der Kommunikation ist es möglich, den Netzwerkschlüssel zu ermitteln und somit die Privacy zu kompromittieren. Der eigentliche Standard (IEEE i) zur Sicherung von WLANs war zu diesem Zeitpunkt noch in Arbeit, daher etablierte sich WPA als Zwischenlösung. Hier wurden durch diverse Hilfsmittel wie dynamische Schlüssel, bessere Authentifizierung - insbesondere durch Berücksichtigung von RADIUS Authentifizierung - eine höhere Sicherheit gewährleistet, welche noch nicht kompromittiert wurde. Das Thema Sicherheit im Wireless LAN ist nach langer Diskussion nun final gelöst: Der Standard i (auch WPA2 genannt) ist verabschiedet und bietet für alle existierenden Sicherheitslücken innerhalb der Familie eine adäquate Lösung. Die Authentifizierung via 802.1x (Port Based Authentication) und dessen gängige Methoden EAP-TLS, PEAP und EAPTTLS (zertifikats- und passwortbasiert) stellen neben der eigentlichen Authentifizierung die Basis fur das Key Management dar. Die Verschlüsselung ist 128-Bit AES (Advanced Encryption Standard) -basiert. Die Integrität von Daten und Header wird durch CCM (CCM = Counter Mode Encryption mit CBC-MAC) gewährleistet. Replay Attacks werden durch ein IV (Initialization Vector) Sequencing mit 48 Bit IV verhindert. Ein weiterer Punkt zur Sicherung von WLAN Netzen ist der Umgang mit Fremd-APs/Clients sowie fremden Störungen, wie z.b defekten Mikrowellen oder DECT-Stationen, die das gesamte RF-Spektrum stören können. Hierzu scannen die APs automatisch nach anderen Geräten, die im selben RF-Band arbeiten. Dadurch werden fremde Sender sowie natürlich die APs, die zum eigenen System gehören, erkannt. Alle fremden Sender stellen potentielle Rogues dar. Hierbei ist eine automatische Unterscheidung zwischen Interfering AP, Rogues und Ad-hoc Clients wichtig. Ein interfering AP wird auf der RF-Schnittstelle von den APs gesehen. Dieser hat jedoch keine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt daher nur eine Störung auf der Funkseite dar. Meist sind dies Netze in benachbarten Gebäuden oder interne, unabhängige WLANs. Ein Rogue hingegen hat auch eine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt damit ein erhöhtes Sicherheitsrisiko dar, da sich über diesen AP auch fremde Clients in das interne Netz einloggen können. Ad-hoc Clients kommunizieren direkt miteinander ohne Verbindung zum eigentlichen Netzwerk. Dies stellt ähnlich wie die interfering APs kein direktes Sicherheitsrisiko dar, allerdings werden sie als Störung auf der Funkseite erkannt. 129

130 Diese Unterscheidung wird automatisch vom den Systemen vorgenommen und kategorisiert. Weiterhin stellen die Systeme Möglichkeiten zur Verfügung, um Gegenmaßnahmen zu ergreifen, die verhindern, dass sich WLAN Clients mit einem Rogue AP verbinden. Hierbei gibt sich das WLAN Switching System als Rogue AP aus und sendet sogenannte disassociation frames zu den am eigentlichen Rogue AP eingeloggten Clients. Diese verlieren dadurch die Verbindung und es kann keine saubere Kommunikation mehr aufgebaut werden. Zusätzlich können alle Arten von Fremd- APs/Clients mit Hilfe von Gebäudeplanen lokalisiert werden. Voice over WLAN QoS & Security Die Zugriffsmethode für WLANs basiert derzeit meist noch auf CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Damit können keine QoS Merkmale geliefert werden. Der IEEE e Standard beschreibt einige Erweiterungen, um diese Merkmale in einer WLAN Umgebung zu ermöglichen. Einige Unterfunktionen dieses Wireless Standards werden als WiFi Multimedia (WMM) vermarktet. WMM eignet sich vor allem für Video- und Sprachübertragungen. Für den Kanalzugriff (Medium Access Control - MAC) sind in IEEE zwei Verfahren spezifiziert worden: Die Distributed Coordination Function (DCF) ist ein verteilter, zufallsgesteuerter Zugriffsmechanismus (Carrier Sense Multiple Access with Collision Avoidance, kurz: CSMA/CA), der einen Best-Effort-Dienst liefert. Die Point Coordination Function (PCF) ist ein zentral gesteuerter Mechanismus, bei dem die beteiligten Stationen in regelmäßigen Abständen durch einen Master (typischerweise ein Access Point) per Polling ein Senderecht erhalten. Auf diese Weise kann für die beteiligten Stationen eine gewisse Bandbreite zugesichert werden. Die Implementierung der DCF ist in IEEE zwingend vorgeschrieben, die Realisierung der PCF ist jedoch nur als optional klassifiziert. Daher wundert es nicht, dass in allen bekannten Implementierungen lediglich die DCF umgesetzt wurde. Da DCF zufallsgesteuert in einem Shared Medium, wie Wireless LAN, arbeitet, ist bei dieser Technik jedoch keine Bandbreitengarantie möglich die Latenzzeit kann stark schwanken (Jitter), was für VoIP sehr negative Auswirkungen auf die Sprachqualität hat. 130

131 Komponenten einer VoWLAN-Lösung Aus den oben genannten Gründen verwenden die meisten VoWLAN-Phone Hersteller eine Kombination aus standardbasierten und propritären Mechanismen, um ein schnelles Hand-Over von AP zu AP zu ermöglichen. Das Ziel dieses Roamingvorganges ist es ein für den Enduser nicht merkbares Wechseln der Funkzelle zu ermöglichen. Bei den heute am meisten verwendeten Codecs G.711 und G.729 beträgt die maximal zu akzeptierende Roamingzeit ca. 50ms. Class Applications Traffic Latency Delay Packet Loss Sensitivity Background FTP Bidirectional/Asymetric Unbounded Low Variable Pkts <5-10s Interactive Web Bidirectional/Asymetric Tolerable Low Telnet Variable Pkts <1s Fast Interactive Video Gaming Bidirectional/Asymetric Variable Pkts Tolerable <100ms High Non-RT Streaming VOD Unidirectional Bounded Low Cable TV Large Pkts / Multicast <5s RT Streaming IP TV Unidirectional Large Pkts / Multicast Bounded <1s High 131

132 Conversational VoIP Birdirectional Strict & Low High Video Phone Small Pkts <50ms (VoIP, Gaming) Internet Game Large Pkts (Video Phone) Als Roaming-Vorbereitung eines VoWLAN-Clients ist es nötig, dass dieser die APs in seinem Sendebereich kennt. Um dies umzusetzen, senden die Clients Probe-Requests. Manche VoWLAN-Clients können so konfiguriert werden, dass nur bestimmte Kanäle (1,6,11) gescannt werden oder es werden spezielle Elemente in den AP Becons verwendet, um die Scangeschwindigkeit zu verbessern. Ebenso können manche Endgeräte so eingestellt werden, dass sie das Scannen erst bei Erreichen eines bestimmten Schwellenwerts beginnen. Dieser liegt meist bei -65 bis -70dBm. Diese Funktionen verbessern die Akkulaufzeiten und sorgen für ein schnelleres Roaming. Eine der größten Hürden in Bezug auf schnelles Roaming beim Ausrollen von VoWLAN- Lösungen sind die Verschlüsselungstechniken. Das beste Roamingverhalten wird bei unverschlüsseltem Verkehr oder mit WEP mit unter 8ms erreicht. Dieser Wert umfasst die Zeitspanne vom letzten erfolgreich gesendeten Paket auf dem alten AP bis zu dem ersten erfolgreich gesendeten Paket auf dem neuen AP. Durch die Einführung von i wurde die Sicherheit in WLAN-Netzen drastisch erhöht, speziell auf 802.1x-basierende Implementierungen, aber allerdings auf Kosten eines schnellen Roamingvorgangs. Durch die Einbeziehung eines RADIUS Servers bei diesem Standard innerhalb jedes Authentifizierungsvorgangs werden die Roamingzeiten auf ms erhöht. Selbst unter besten Voraussetzungen mit einem lokalen, nicht unter Last stehenden RADIUS Server, werden sehr schnell die gewünschten 50ms überschritten. Dies wird durch den Einsatz von WPA-PSK umgangen. Beide dazugehörigen Standards, WPA-PSK und WPA2-PSK, erreichen fast ein ähnliches Sicherheitsniveau wie die 802.1x- Implementierung, jedoch ohne Einbeziehung einer RADIUS Abfrage. Zusätzlich zu den einfachen Verfahren ohne Verschlüsselung oder WEP wird jedoch bei jedem Roamingvorgang die Erzeugung von Keys vorgenommen. Dieser Vorgang führt zu einer Verzögerung von weniger als 7ms bei WPA-PAS und 5ms bei WPA2-PSK. Dies führt in der Summe zu Gesamtroamingzeiten von 13-15ms. Das ist eine erhebliche Verbesserung gegenüber Verfahren die einen RADIUS Server ansprechen. Allerdings ergeben sich durch den Einsatz von WPA-PSK auch einige Nachteile. So ist 132

133 diese Technologie, wie alle Preshared-Key-Technologien, anfällig gegenüber Wörterbuchattacken sobald ein einfacher Verschlüsselungskey gewählt wurde. Weiterhin ist das Ändern des Keys auf den Endgeräten meist mit einem Konfigurationsaufwand auf jedem Endgerät verbunden. Diese Punkte treffen für eine auf RADIUS Abfrage basierende Technologie nicht zu. Um die zusätzlich benötigten schnellen Roamingvorgänge umsetzen zu können, die bei VoWLAN benötigt werden, wurden zwei neue Technologien entwickelt: OKC und Pre-Authentication. Opportunistic Key Caching (OKC) verteilt den Key, den ein WLAN-Phone bei der ersten RADIUS Abfrage (für gewöhnlich beim Einschalten) erhält, auf alle APs, die den Service beinhalten. Bei einem Roamingvorgang ist es nun nicht mehr nötig den RADIUS Server abzufragen, da sich der passende PMK bereits auf den APs befindet. Dadurch ergeben sich Roamingzeiten wie bei der PSK-Variante mit den Security-Vorteilen einer RADIUS Infrastruktur. Allerdings wird das Sicherheitsniveau einer vollen i Implementierung nicht erreicht, da der gleiche PMK auf alle APs verteilt und für die Authentifizierung und Verschlüsselung benutzt wird i fordert jeweils einen neuen PMK per Session pro AP. Zur Zeit gibt es noch wenige Endgeräte die OKC unterstützen. Pre-Authentication ist eine Lösung, die eine volle RADIUS Abfrage an jedem AP benutzt. Dieser Vorgang, der mithilfe des Roamings stattfindet, ist erheblich zeitsparender. Mit Pre-Authentication führt das Endgerät eine vollwertige RADIUS basierende Authentifizierung beim erstmaligen Verbinden mit einem AP durch. Danach scannt das Endgerät nach jedem AP in der Umgebung mit der selben ESSID (aber anderen BSSID) und nutzt seine existierende Verbindung zur Infrastruktur, um eine vollwertige RADIUS Authentifizierung an den umgebenden APs durchzuführen, bevor der Roamingvorgang stattfindet. Der PMK wird sowohl von dem AP als auch Endgerät für eine spätere Benutzung vorgehalten. Bei einem Roamingvorgang wird über diesen Key ein Sessionkey je AP generiert. Der Zeitaufwand hierfür ist vergleichbar mit dem bei WPA-PAK. Pre- Authentication ist anfällig gegenüber Infrastrukturen mit hoher AP-Dichte und sehr mobilen Endgeräten. Dies kann zu Situationen führen, bei denen ein Roamingvorgang stattfindet bevor die Pre-Authentication durchgeführt wurde. Die Technologie gilt als sicherer als OKC, ist aber erst auf wenigen Endgeräten verfügbar. Beim Siemens WL2 Handset werden beispielsweise beide Funktionen unterstützt. Load Balancing in VoWLAN-Umgebungen wird durch eine von mehreren Call Admission Control (CAC) Funktionen erreicht. Enterasys WLAN benutzt hierzu TSPEC, wobei ein Endgerät eine Traffic-SPECification (TSPEC) erstellt und diese an den AP sendet. Dieser reserviert die angekündigte Menge an Up- und Down-Stream Bandbreite. Die Implementierung erlaubt es Limits für neue und bestehende Roaming-Verbindungen zu 133

134 setzen. Weiterhin können Bandbreitenreservierungen in unabhängigen Klassen gemacht werden, in denen z.b. Voice eine höhere Priorität bekommt als Video. Die Implementierung beim Enterasys WLAN geht sogar soweit, dass spezielle Aktionen definiert werden können sobald die angekündigte Up- und Down-Stream Bandbreite überschritten wird, dies geschieht auf einer per SSID-Basis. Lokation-Tracking in WLAN Netzen Eine weitere Technologie, die erst durch WLAN Switching ermöglicht wurde, sind Location Based Services. Mit Hilfe dieser Technologie können Geräte geortet werden, die eine WLAN Karte besitzen (Notebooks, VoIP WLAN Phones) sowie dedizierte Location Tags, in denen z.b. Panic-Buttons und Bewegungssensoren integriert sind. Diese können an wichtigen Gütern, z.b. mobilen Infusionspumpen im Krankenhausbereich oder an Staplern in der Logistik, befestigt werden. Durch die lokationsbezogenen Daten kann sehr einfach eine Prozessoptimierung durchgeführt werden wie z.b standortabhänige Disponierung von Staplern im Logistikbereich. Für die Ortung selbst werden verschiedene Technologien eingesetzt: Anwesenheit Ein Tag sendet z.b alle 2 Minuten oder sobald er bewegt wird ein Signal. So wird sichergestellt, dass immer die aktuelle Lokation angezeigt wird. Echtzeit Ein Client/Tag wird gezielt vom User/System abgefragt und die aktuelle Lokation zurückgemeldet. Lokationsbezogen Ein Tag wird bei Passieren einer bestimmten Lokation über einen so genannten Exiter gezwungen, seine Lokation an das System zu melden. Weiterhin gibt es verschiedene Ortungsmethoden: AP Connection und RSSI-Wert Die bekannte AP Lokation sowie der RSSI-Wert des Client ergibt eine Abstandsabschätzung Der Client befindet sich auf der RSSI-Kontour RF-Hindernisse haben Einfluss auf die RSSI-Kontour Zur Lokationsbestimmung wird die Client Sendestärke verwendet Trilateration 134

135 o Bekannte AP Lokationen und Client RSSI-Werte ermöglichen Distanzangaben o Ab einer Anzahl von 3 Distanzwerten (APs) kann die Lokation sauber bestimmt werden o RF-Hindernisse können die Qualität der Werte beeinflussen o Folgende Faktoren können die Werte verbessern Anzahl der Aps, die den Client sehen Geometrie der Aps Qualität des RF-Models des Gebäudeplans Serverbasierendes Pattern Matching Der von mehreren APs gesehene RSSI-Pattern eines Clients kreiert einen eindeutigen Fingerabdruck Hat ein weiterer Client den selben RSSI-Pattern, ist er an der gleichen Lokation Client Sendestärke ist nicht relevant kein RF-Model des Gebäudes notwendig n & ac - Next Generation WLAN Standard Mit der Einführung des 11n-Standards, der 2008 verabschiedet wurde, haben einige signifikante Änderungen und Verbesserungen in der WLAN Technologie Einzug gehalten. Aus technischer Sicht sind dies 3 Hauptkomponenten: Multiple Input Multiple Output (MIMO) Technologie Bei 11a/b/g wurde bisher die gesamte Datenmenge über eine Antenne gesendet und empfangen. Mit der MIMO Technologie wird der Datenstrom über einen Splitter auf mehrere Sende-/Empfangsantennen (2 oder mehr Stück je nach Produkt) aufgeteilt. Die Anordnung der Antennen auf den WLAN Karten ist so gestaltet, dass die Ausbreitung des Funksignals räumlich versetzt erfolgt und es so zu keinen gegenseitigen Störungen bei der Übertragung kommt. Während die bisherigen Technologien teilweise Probleme mit Reflexionen hatten, nutzt MIMO diese bewusst und erreicht dadurch einen erhöhten Durchsatz sowie auch eine robustere Kommunikation. Kanalbündelung Der einfachste Weg, um den Durchsatz in einem WLAN Netz zu erhöhen, ist die Verdopplung des genutzten Frequenzbandes. 11n nutzt dies um 2 benachbarte 20 Mhz- Kanäle zusammen zu fassen. Diese Technologie ist am effektivsten im 5 Ghz Bandbereich in dem 19, überlappungsfrei 20 Mhz-Kanäle zu Verfügung stehen. Im 2,4 Ghz-Bereich ist diese Technik weniger effektiv, da bereits mit der alten Technologie nur 3 überlappungsfreie Kanäle verfügbar sind. Durch Kanalbündelung wird dies auf einen 135

136 Kanal vermindert, was einen praktikablen Einsatz ausschließt. Packet Aggregierung Bei konventionellen WLAN Techniken ist der Overhead, um ein Datenpaket zu übermitteln fix, egal wie groß das Paket selbst ist. Bei 11n werden mehrere Nutzdatenpakete zu einem einzigen Sende-Frame zusammengefügt. Dadurch können mehrere Pakete mit den Overhead-Kosten eines Einzigen gesendet werden. Die Effektivität dieser Technologie ist je nach Anwendung verschieden. Besonders groß ist der Vorteil z.b bei großen Filetransfers, wobei aber z.b. Echtzeitanwendungen wie Voice oder Video davon nicht profitieren. Vorteile durch n Erhöhte Kapazität Bei 11n wird die Kapazität einer WLAN Zelle von Mbps bei 11a/g auf Mbps erhöht. Verteilt auf mehrere User pro Zelle sind damit Geschwindigkeiten von bis zu 100 Mbps pro User möglich, was sich in der Praxis in einer größeren Bandbreite für mehr User zeigen wird. Erhöhte Reichweite Durch die MIMO Technologie und das bewusste Arbeiten mit Reflexionen durch die räumlich versetzte Funkausbreitung der Funkwellen wird die Reichweite je AP erhöht. Dies wird auch dazu führen, dass die Datenrate mit steigendem Abstand vom AP zum Client langsamer fällt als bei den bisherigen Technologien und somit eine größere Abdeckung mit weniger APs erreicht wird. Höhere Verfügbarkeit / Robustheit Bei den bisherigen Technologien kann die Performance eines WLAN Clients schon bei kleinsten Bewegungen oder Änderungen an der Umgebung (Schließen einer Tür, geänderter Einrichtung) stark beeinträchtigt werden. Dieses Problem wird durch Einsatz von unterschiedlichen Antennen entschärft. Fast jedes WLAN Gerät hat 2 Antennen, wobei immer nur die aktiv ist, die das beste Signal bekommt. Durch die MIMO Technologie sind bei 11n immer 2-3 Antennen gleichzeitig aktiv, die dadurch die Robustheit und Verfügbarkeit erhöhen. Design Durch die Abwärtskompatibilität von n mit a/b/g wird auch die Performance in einer 11n-Funkzelle auf die Geschwindigkeit der bisherigen Technologien verringert. Der größte Teil der bisherigen WLAN Clients arbeitet im 2,4 Ghz-Bereich. Durch die 136

137 Einschränkung bei der Kanalbündelung in diesem Frequenzband und einer oft geforderten Unterstützung der bisherigen WLAN Clients, wird im 2,4 Ghz-Bereich zukünftig 11n sehr oft in einem Kompatibilitätsmodus betrieben werden. Im 5 Ghz- Bereich hingegen wird der Vorteil durch Kanalbündlung voll ausgespielt und die neue Technik in einem 11n-only Modus gesetzt werden, wodurch die oben genannten Vorzüge voll zum Zuge kommen. Abwandlungen dieses Designs können je nach Anforderungen und Randbedingungen auftreten, so z.b. wenn man komplett neue WLAN Netze (Access Points & Clients unterstützen 11n) aufgebaut (Greenfield) oder wenn ein komplett unabhängiges 11n-Netz zu einem bestehenden a/b/g Netz aufgebaut wird (Overlay) ac - Einführung Mit ac ist das nächste Enterprise WLAN Protokoll bereits kurz vor der Verabschiedung. Dies wird final für Ende 2013 erwartet. Mit ac halten neue Technologien Einzug, die bei 11n noch nicht berücksichtigt wurden: Höhere Datenraten: Potential für Gigabit-und Multi-Gigabit-Geschwindigkeiten - im Vergleich zu maximal 450Mbps mit 11n (per Funk) Breitere Kanäle: bis 80MHz und 160MHz - im Vergleich zu 20MHz und 40MHz bei 11n. Dies führt dazu das 11ac effektiv nur im 5Ghz Band beutzt werden kann da im 2,4 Ghz Bereich nicht genügend überlappungsfreie Kanäle zur Verfügung stehen. Zusätzliche Spatial Streams: Bis zu 8 insgesamt (theoretisch) - bei 11n bis 4 insgesamt (kein Anbieter hat mehr als 3 Spatial Streams in Produkten umgesetzt) Multi-User MIMO: Fähigkeit, mehrere Stationen tx / rx auf dem gleichen Kanal zur gleichen Zeit zu bedienen - im Vergleich zu max. einer Station unterstützt bei 11n. Dies ist eine der vielversprechensten Technologieneuerungen innerhalb von 11ac, bringt allerdings auch eine erhebliche Komplexität in der technischen Umsetzung mit sich, so dass die erste Generation von 11ac Produkten diese Funktion noch 137

138 nicht unterstützen wird. Enterasys Networks Solution Guide 2013/2014 Höhere Modulationsverfahren: 256-QAM im Vergleich max 64-QAM mit 11n Ein weitere Hauptvorteil wird durch den bis zu 40% gesunkenen Energieverbrauch erwartet. Dies ermöglicht längere Batterielaufzeiten, für allem im Smartphone Bereich, mit gleichzeitig steigender Geschwindigkeit. Ausblick & Empfehlung: Erste WLAN Client-Karten mit 11ac werden Anfang 2013 erwartet. Enterasys wird bis Ende 2013 erste ac Access Points vorstellen. Die heute lieferbaren WLAN- Controller sind bereits durch die Möglichkeit des flexiblen Handlings des Client-Traffics auf 11ac vorbereitet. Bei heutigen Planungen empfehlen wird das 5 Ghz Band mit zu berücksichtigen um zukünftig einfach, ohne weitere Planungsschritte, auf 11ac migrieren zu können. Die neuen 11ac WLAN-Clients werden abwärtskompatibel zu 11n sein, so dass ein sanfter Übergang sichergestellt ist. In Summe werden die First Generation 11ac-Produkte die o.g. Neuerungen gegenüber 11n nur teilweise bereits umgesetzt haben. So werden Features wie Multi User MIMO oder die 256QAM Codierung noch nicht zu finden sein. Weiterhin werden maximal 3 Spatial-Streams unterstützt, so dass der Vorteil zu 11n zunächst noch überschaubar bleibt. 138

139 Enterasys IdentiFi WLAN Enterasys Networks Solution Guide 2013/2014 Enterasys IdentiFi WLAN ist eine zentrale Infrastruktur, um mobile Anwendungen einfach, sicher und mit hoher Verfügbarkeit kosteneffizient betreiben zu können. Neue Anwendungen lassen sich damit ohne zusätzliche Investitionen in die Infrastruktur integrieren. Wegen der hohen Intelligenz des Systems kann man viele unterschiedliche Anwendungen auf der WLAN-Infrastruktur betreiben. Dabei steht jeder Anwendung die nötige Bandbreite und Dienstgüte zur Verfügung. Es folgen die Hauptkomponenten der Lösung, die dann ausführlich beschrieben werden: 139

140 Individuelle WLAN-Topologien, Designs und Parameter für die sehr unterschiedlichen komplexen Anforderungen der einzelnen Kunden an Verfügbarkeit, Sicherheit, Verkehrsoptimierung und Dienstgüte heutiger Netze sind mit Enterasys IdentiFi WLAN möglich. Dieses wird durch die VNS (Virtual Network Service)-Architektur erreicht, die von allen IdentiFi WLAN-APs (Access Points) unterstützt wird. Die Lösung ist vollständig in das bestehende Enterasys-Portfolio integriert, so dass man die Enterasys- Komponenten einheitlich verwalten kann. Die IdentiFi-WLAN-Komponenten lassen sich direkt oder via OneFabric Control Center administrieren. Auch eine Anwendung für den Gastzugang inklusive Captive Portal und Accountverwaltung läuft auf den Controllern. Eine einheitliche Gästelösung für LAN und WLAN kann man gleichwertig über NAC (Network Access Control) realisieren. Reporting- und Dashboard-Funktionen übernimmt OneView innerhalb der OneFabric Control Centers. Enterasys IdentiFi WLAN Access Points Durch die IdentiFi Adapt Architektur sind die APs trotz vorhandener Controller relativ intelligent. Deshalb können sie Datenverkehr dezentral direkt am AP mit allen nötigen Parametern wie QoS, Ratelimit oder ACLs per User weiterleiten. Das eliminiert ein Nadelöhr am Controller. Die semiautonomen APs können auch ohne Controller arbeiten. Das AP-Portfolio teilt sich in drei Haupgruppen: 140

141 IdentiFi 3705 Indoor Access Points AP3705i ist ein funktionsreicher abgn Access Point. Er nutzt die neueste Advanced-11n-Funktechnologie. Speziell entwickelt, um sich harmonisch in Büroräume, Klassenzimmer, oder Hotel-Umgebungen einzufügen, eignet sich AP3705i besonders gut, um sichere 11abgn-Konnektivität in hochdichten Umgebungen bereitzustellen. Das Modell 3705i wird mit den fortschrittlichsten, derzeit erhältlichen, 11n- Eigenschaften geliefert. Dazu gehören dynamisches Funk-Management, Beamforming, Spektrumanalyse mit Störungserkennung und Klassifizierung, selbsttätige Reparatur und AP-Vermaschung sowie rollenbasierte Authentifizierung und Autorisierung. Unter Volllast verbraucht das Gerät maximal 9 Watt. Enterasys liefert den AP mit lebenslanger Garantie (Enterasys Lifetime Warrenty). Da die internen Antennen alle möglichen Ausbreitungsrichtungen der Funkwellen abdecken, kann das Gerät auch an Wänden oder Decken ohne zusätzliche Montageeinrichtungen auch an abgehängten Decken angebracht werden. AP 3705 Für massive Decken oder Wände gibt es das WS-MB Montagekit. Es ist kompatibel zu den alten Halterungen der Enterasys AP2610/20 und 3610/20 Serien, so dass man keine neuen Bohrungen braucht: 141

142 Spezifikationen Product Features General High performance enterprise class AP Enterasys Networks Solution Guide 2013/2014 Number of radios 2 MIMO implementation for high performance 11n throughputs Number of spatial streams 2 Maximum throughput per radio / total Wired performance in packets per second (pps) 3705i Yes 2x2 300Mbps / 600Mbps 40,000 pps Number of SSIDs per radio / total 8 / 16 Simultaneous users per radio / total 127 / 254 Mode of operation Plug and play operation/zero touch deployment AP and the controller run the same firmware versions Security and Standards Multiple operating modes Clients serving access points Intelligent thin AP Bridging data traffic at AP and/or at controller simultaneously Simultaneous RF monitoring and client services Semi-Autonomous Yes Yes WPA, WPA2 (AES), i, 802.1x, IPSec, IKEv2, PKCS #10, X509 DER / PKCS #12 Yes Encryption, Security, QoS and RF management done on AP Yes Integrated in-channel WIDS V8.21 Integrated in-channel WIPS V8.21 Integrated remote access point Integrated RF spectrum analysis and fingerprinting V8.21 Integrated self-forming and self-healing meshing Hybrid operation Perform security scanning and serve clients on same radio Perform security scanning and spectrum analysis on same radio V8.21 Perform spectrum analysis and serve clients on same radio V8.21 Radio characteristics Max transmit power (dbm) Radio 1 (5GHz) Radio 2 (2.4GHz) Receive sensitivity (dbm) Max Antenna gain (dbi) Radio 1 (5GHz) Radio 2 (2.4GHz) Adaptive Radio Management Dynamic Channel Control Efficient use of the spectrum with a multi-channel architecture Automatic transmit power and channel control Self-healing with coverage gap detection Band Steering with multiple steering modes Yes Yes Yes Yes 23 dbm 23 dbm See table below 3 dbi 3 dbi h: DFS & TPC support (ETSI) Yes Yes Yes Yes 142

143 Spectrum load balancing of clients Airtime fairness Performance protection in congested RF environments Enterasys Networks Solution Guide 2013/2014 Mitigates co-channel interference with coordinated access Mitigate adjacent channel interference with optimized receive sensitivity Efficient reuse of channels at shorter intervals Mitigates non inference without dedicated radios V8.21 QoS for Applications Quality of Service (WMM, e) Call Admission Control (TSPEC) Power Save (U-APSD) Fast secure roaming and handover between APs Pre-Authentication (Pre-Auth) Opportunistic Key Caching (OKC) Multicast Rate Control Support voice, video and data using the same SSID Prioritize voice over data for both tagged and untagged traffic Rate limiting (rule and user-based) Rule and Role based QoS processing Wireless Services Media Access Protocol Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes CSMA/CA with ACK Data Rates a: 6, 9, 12, 18, 24, 36, 48, 54 Mbps b: 1, 2, 5.5, 11 Mbps g: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, 54 Mbps n: See n Performance table below Frequency Bands a/n: 5.15 to 5.25 GHz (FCC / IC / ETSI) 5.25 to 5.35 GHz (FCC / IC / ETSI) 5.47 to GHz (FCC / IC / ETSI) to GHz (FCC / IC) b/g/n: to GHz (FCC / IC / ETSI) Wireless Modulation a: OFDM b: DSSS g: DSSS and OFDM n: BPSK, QPSK, 16QAM, 64QAM with OFDM n High-throughput (HT) support: HT 20/ n Packet aggregation: A-MPDU, A- MSDU n Advanced Features: LDCP, STBC and TxBF Interfaces # 10/100/1000 Base-T Ethernet autosensing link 1 Console port for the ease of installation and management Yes 143

144 Mounting Tool-less drop ceiling rail (9/16, 15/16, 1.5") installation Integrated/built-in drop ceiling rail clips Environmental Compliance Mechanical Enterasys Networks Solution Guide 2013/2014 Yes Yes Plenum rated Operating: Temperature 0º C to +50º C (+32º F to +122º F) Humidity 0%-95%, (noncondensing) Storage: Temperature -5º C to +50º C (+23º F to +122º F) Transportation: Temperature -40º C to +70º C (-40º F to +158º F) FCC CFR 47 Part 15, Class B ICES-003 Class B FCC Subpart C FCC Subpart E RSS-210 EN EN EN & 17 EN / UL EN EN (CISPR 11) Class B Group 1 ISM EN (CISPR 22) AS/NZS3548 (CISPR22) International (including China) IEC IEC Europe EN EN USA / Canada / Mexico (NAFTA) UL CSA 22.2 No UL 2043 (Plenum rating) Australia AS/NZS Dimension (Outer Diameter x Height) OD, 1.75 Height ( mm OD, 44.45mm Height) Weight oz (700 g) Maximum Power Consumption Warranty 9W Lifetime 144

145 Bestellinformationen Part Number Access Point WS-AP3705i Accessories (Optional) WS-MB WS-MB Mid-Span PoE Devices (Optional) PD-3501G-ENT Enterasys Networks Solution Guide 2013/2014 Description Dual Radio a/b/g/n, 2x2:2, indoor access point with four internal antenna array (integrated clips for flushed rail drop ceiling mounting) Secure wall mounting bracket for AP3705 Protruded drop ceiling mounting bracket for AP3705 Single port, 1 Gigabit 802.3af PoE Midspan IdentiFi 3710 & 3715 Indoor APs Der AP371X ist ein Hochleistungs abgn-AP für den Innenraum. Er eignet sich speziell für sehr dichte Installationen, in denen auch breitbandige Video- und verzögerungssensitive Sprachanwendungen übertragen werden. Das Modell AP371Xi lässt sich durch sein integriertes Antennenfeldes von sechs Antennen einfach installieren. Der AP371Xe verfügt über sechs RP-SMA Antennenanschlüsse fürs 2.4GHzund 5GHz-Band. Die Access Points können nach 802.3af über Ethernet mit Strom versorgt werden. Die AP371X-Serie unterstützt alle neuen Advanced-11n Wi-Fi- Technologien: dynamisches Funkmanagement, Spektrumanalyse mit Störungsklassifizierung und -vermeidung, Selbstheilung und Vermaschung sowie Rollenbasierte Authentifizierung und Autorisierung. Die 3x3:3 AP- Platform verfügt über eine max. Performance von 900Mbps über die WLAN- und bis zu Pakete pro Sekunde über die LAN-Schnitstelle. Umfassende Antennenoptionen sorgen für flexible Einsatzmöglichkeiten des AP371Xe. Der AP3715 ist baugleich mit dem AP3710 und hat die gleichen Eigenschaften. Zusätzlich hat er aber eine zweite Ethernet-Schnittstelle für eine redundante Anbindung an den Access-Switch-Bereich. Die AP371X-Serie besitzt die gleichen Wandhalterungen wie die AP2610/20- und AP3610/20-Serie, so dass der Monatgeaufwand bei Migrationen auf die neue Technologie minimiert wird. AP 3710i / 3710e /

146 Spezifikationen Enterasys Networks Solution Guide 2013/2014 Product features General High performance enterprise class AP AP3710i/e Number of radios 2 MIMO implementation for high performance 11n 3x3 throughputs Number of spatial streams 3 Maximum Throughput Per Radio / Total Wired performance in packets per second (pps) Yes 450Mbps / 900Mbps 75,000 pps Number of SSIDs supported per radio / total 8 / 16 Simultaneous users per radio / total 127 / 254 Mode of operation Plug and play operation/zero touch deployment Security and Standards Multiple operating modes Clients serving access points Intelligent thin AP Bridging data traffic at AP and/or at controller simultaneously Simultaneous RF monitoring and client services In-channel WIDS In-channel WIPS Remote access point RF spectrum analysis and fingerprinting Self-forming and self-healing meshing Hybrid operation Security scanning and serve clients on same radio Security scanning and spectrum analysis on same radio Spectrum analysis and serve clients on same radio Radio characteristics Max transmit power Radio 1 (5GHz) Radio 2 (2.4GHz) Max antenna gain (integrated antenna) Radio 1 (5GHz) Radio 2 (2.4GHz) Adaptive Radio Management Dynamic Channel Control Efficient use of the spectrum with a multi-channel architecture Automatic transmit power and channel control Self-healing with coverage gap detection Band steering with multiple steering modes Semi-autonomous Yes WPA, WPA2 (AES), i, 802.1x, IPSec, IKEv2, PKCS #10, X509 DER / PKCS #12 Yes Encryption, Security, QoS and RF management done on AP Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes 23 dbm 23 dbm 3 dbi (AP3710i) 3 dbi (AP3710i) h: DFS & TPC support (ETSI) Yes Yes Yes Yes 146

147 Spectrum load balancing of clients Airtime fairness Performance protection in congested RF environments Mitigates co-channel interference with coordinated access Mitigates adjacent channel interference with optimized receive sensitivity Efficient reuse of channels at shorter intervals Mitigates non inference without dedicated radios QoS for Applications Quality of Service (WMM, e) Call Admission Control (TSPEC) Power Save (U-APSD) Fast secure roaming and handover between APs Pre-Authentication (Pre-Auth) Opportunistic Key Caching (OKC) Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Support voice, video and data using the same SSID Prioritize voice over data for both tagged and untagged traffic Rate limiting (rule and user-based) Rule and role based QoS processing Multicast Rate Control Multicast to Unicast Conversion Adaptable rate multicast Power save mode optimization for multicast Wireless Services Media Access Protocol Data Rates CSMA/CA with ACK Yes Yes Yes Yes Yes Yes Yes a: 6, 9, 12, 18, 24, 36, 48, 54 Mbps b: 1, 2, 5.5, 11 Mbps g: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, 54 Mbps n: See n Performance table below Frequency Bands Wireless Modulation a/n: 5.15 to 5.25 GHz (FCC / IC / ETSI) 5.25 to 5.35 GHz (FCC / IC / ETSI) 5.47 to GHz (FCC / IC / ETSI) to GHz (FCC / IC) b/g/n: to GHz (FCC / IC / ETSI) a: OFDM b: DSSS g: DSSS and OFDM n: BPSK, QPSK, 16QAM, 64QAM with OFDM n High-throughput (HT) support: HT 20/ n Packet aggregation: A-MPDU, A-MSDU n Advanced Features: LDCP, STBC and TxBF Interfaces # 10/100/1000 Base T Ethernet autosensing link 1 147

148 Console port for the ease of installation and management Mounting Wall mounting bracket Drop-ceiling mounting bracket Yes Yes Optional Environmental Plenum rated (EN/UL 2043) Operating: Temperature 0º C to +50º C (+32º F to +122º F) Humidity 0%-95% (noncondensing) Storage: Temperature 5º C to +50º C (+23º F to +122º F) Transportation: Temperature 40º C to +70º C (40º F to +158º F) Compliance FCC CFR 47 Part 15, Class B ICES-003 Class B FCC Subpart C FCC Subpart E RSS-210 EN EN EN & 17 EN EN (CISPR 11) Class B Group 1 ISM EN (CISPR 22) AS/NZS3548 (CISPR22) International (including China) IEC IEC Mechanical Dimensions (W x H x L) Weight Europe EN EN USA / Canada / Mexico (NAFTA) UL CSA 22.2 No Australia AS/NZS (7.39 x 1.50 x 7.89 ) AP3710i (9.44 x 1.50 x 7.89 ) AP3710e 810g AP3710i 910g AP3710e Max power consumption 12.8W Warranty Lifetime 148

149 General Product features High performance enterprise class AP Enterasys Networks Solution Guide 2013/2014 AP3715i/e Number of radios 2 MIMO implementation for high performance 11n 3x3 throughputs Number of spatial streams 3 Maximum Throughput Per Radio / Total Wired performance in packets per second (pps) 450Mbps / 900Mbps Yes 60,000 pps Number of SSIDs supported per radio / total 8 / 16 Simultaneous users per radio / total 127 / 254 Simultaneous Voice calls (802.11b, G711, R>80) Mode of operation Plug and play operation/zero touch deployment Security and Standards Multiple operating modes Clients serving access points Intelligent thin AP Distributed and centralized data paths within same SSID Application based distributed and centralized data paths within same session Simultaneous RF monitoring and client services In-channel WIDS In-channel WIPS Dedicated multi-channel WIDS (Guardian mode) Dedicated multi-channel WIPS (Guardian mode) Dedicated multi-channel RF spectrum analysis and fingerprinting Locates devices and threats via RF triangulation Self-forming and self-healing meshing Remote access point Hardware-based, end-to-end data and control plane encryption Private and public cloud deployments Hybrid operation Security scanning and serve clients on same radio Security scanning and spectrum analysis on same radio Spectrum analysis and serve clients on same radio Multi-channel dedicated security scanning and spectrum analysis Radio characteristics Max transmit power Radio 1 (5GHz) Radio 2 (2.4GHz) Max antenna gain (integrated antenna) Radio 1 (5GHz) Radio 2 (2.4GHz) 12 or greater Semi-autonomous Yes WPA, WPA2 (AES), i, 802.1x, IPSec, IKEv2, PKCS #10, X509 DER / PKCS #12 Yes Encryption, Security, QoS and RF management done on AP Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes 23 dbm 23 dbm 5 dbi 5 dbi 149

150 Adaptive Radio Management Dynamic Channel Control Efficient use of the spectrum with a multi-channel architecture Automatic transmit power and channel control Self-healing with coverage gap detection Band steering with multiple steering modes Spectrum load balancing of clients Airtime fairness Performance protection in congested RF environments Mitigates co-channel interference with coordinated access Mitigates adjacent channel interference with optimized receive sensitivity Efficient reuse of channels at shorter intervals Mitigates non interference without dedicated radios QoS for Applications Quality of Service (WMM, e) Call Admission Control (TSPEC) Power Save (U-APSD) Fast secure roaming and handover between APs Pre-Authentication (Pre-Auth) Opportunistic Key Caching (OKC) Bonjour/LLMNR/UPnP identification, containment and control Supports voice, video and data using the same SSID Prioritizes voice over data for both tagged and untagged traffic Rate limiting (rule and user-based) Rule and role based QoS processing Multicast Rate Control Multicast to unicast Conversion Adaptable rate multicast Power save mode optimization for multicast Wireless Services Media Access Protocol Data Rates Frequency Bands h: DFS & TPC support (ETSI) CSMA/CA with ACK Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes a: 6, 9, 12, 18, 24, 36, 48, 54 Mbps b: 1, 2, 5.5, 11 Mbps g: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, 54 Mbps n: See n Performance table below a/n: 5.15 to 5.25 GHz (FCC / IC / ETSI) 5.25 to 5.35 GHz (FCC / IC / ETSI) 5.47 to GHz (FCC / IC / ETSI) to GHz (FCC / IC) b/g/n: to GHz (FCC / IC / ETSI) 150

151 Wireless Modulation a: OFDM b: DSSS g: DSSS and OFDM n: BPSK, QPSK, 16QAM, 64QAM with OFDM n High-throughput (HT) support: HT 20/ n Packet aggregation: A-MPDU, A-MSDU n Advanced Features: LDCP, STBC and TxBF Interfaces # 10/100/1000 Base T Ethernet autosensing link 2 Console port for the ease of installation and management Mounting Wall mounting bracket Drop-ceiling mounting bracket Environmental Plenum rated (EN/UL 2043) Operating: Temperature 0º C to +50º C (+32º F to +122º F) Humidity 0% - 95% (noncondensing) Storage: Temperature 5º C to +50º C (+23º F to +122º F) Transportation: Temperature 40º C to +70º C (40º F to +158º F) Yes Yes Yes Compliance FCC CFR 47 Part 15, Class B ICES-003 Class B FCC Subpart C FCC Subpart E RSS-210 EN EN EN & 17 EN EN (CISPR 11) Class B Group 1 ISM EN (CISPR 22) EN AS/NZS3548 (CISPR22) International (including China) IEC IEC Europe EN EN USA / Canada / Mexico (NAFTA) UL CSA 22.2 No Australia AS/NZS Mechanical Dimensions (W x H x L) 6.56 x 1.34 x 6.56 (3715i) 7.12 x 1.34 x 6.56 (3715e) Weight 567g Max power consumption 12.8W Warranty Lifetime 151

152 Bestellinformationen Part Number Access Points WS-AP3710i WS-AP3710e Antennas (Required for AP3710e) WS-AI-DT04360 WS-AI-DT05120 WS-AI-DX02360 Accessories (Optional) WS-MB Mid-Span PoE Devices (Optional) PD-3501G-ENT Enterasys Networks Solution Guide 2013/2014 Description Dual Radio a/b/g/n, 3x3:3, indoor access point with six internal antenna array Dual Radio a/b/g/n, 3x3:3, indoor access point with six reverse polarity SMA connectors for external antennas (antennas must be ordered separately) Indoor, 2.4GHz / 5GHz, Triple-feed, 3/4 dbi, Omni, Ceiling Indoor, 2.4GHz / 5GHz, Triple-feed, 5 dbi, 120 deg, Sector Indoor, 2.4GHz / 5GHz, Six-feed, 2 dbi, 360, Omni, Ceiling Drop ceiling mounting bracket for 3700 Series (not compatible with AP3705i) Single port, 1 Gigabit 802.3af PoE Midspan Part Number Access Points WS-AP3715i WS-AP3715e Antennas (Required for AP3715e) WS-ANT-2DIP-3 WS-ANT-5DIP-3 WS-AI-DT04360 WS-AI-DT05120 WS-AI-DX02360 WS-AI-DX10055 WS-AI-DX07025 Accessories (Optional) WS-PS3X12-AU WS-PS3X12-BR WS-PS3X12-CN WS-PS3X12-EU WS-PS3X12-NAM WS-PS3X12-UK Mid-Span PoE Devices (Optional) PD-3501G-ENT Description Dual Radio a/b/g/n, 3x3:3, indoor access point with six internal antenna array and redundant E/N data ports Dual Radio a/b/g/n, 3x3:3, indoor access point with six reverse polarity SMA connectors for external antennas and redundant E/N data ports (antennas must be ordered separately) 2.4GHz Indoor Dipole Antenna for 3715e only (3 pack) 5GHz Indoor Dipole Antenna for 3715e only (3 pack) Indoor, 2.4GHz / 5GHz, Triple-feed, 3/4 dbi, Omni, Ceiling Indoor, 2.4GHz / 5GHz, Triple-feed, 5 dbi, 120 deg, Sector Indoor, 2.4GHz / 5GHz, Six-feed, 2 dbi, Omni, Ceiling Indoor, 2.4GHz / 5GHz, Six-feed, 10 dbi, 55 deg, Sector Indoor, 2.4GHz / 5GHz, Six-feed, 7 dbi, 25 deg, Sector 12V External Power Supply for 3715 Indoor Access Points - Australia 12V External Power Supply for 3715 Indoor Access Points - Brasil 12V External Power Supply for 3715 Indoor Access Points - China 12V External Power Supply for 3715 Indoor Access Points - EU (not for UK) 12V External Power Supply for 3715 Indoor Access Points - Americas (not for Brazil) 12V External Power Supply for 3715 Indoor Access Points - United Kingdom Single port, 1 Gigabit 802.3af PoE Midspan 152

153 IdentiFi 3765 & 3767 Industry / Outdoor APs Zur AP376X-Serie gehören industrietaugliche Hochleistungs abgn Outdoor APs. Sie stellen die drahtlose Mobilität in Außenbereichen und Umgebungen mit Witterungseinflüssen wie Lagerhallen, Minen, Fabriken und Stadien bereit. Der AP3765i wird standardmäßig mit einem integrierten Antennenfeld mit sechs Antennen geliefert. Die AP3765e und AP3767e sind mit Anschlüssen für externe Antennen ausgestattet. Sie verfügen über sechs RP (Reverse Polarity)-SMA-Anschlüsse, getrennt für 2.4GHz- und 5GHz. Die APs werden via 802.3at PoE (Power over Ethernet) oder ein optionales externes industrietaugliches Netzteil mit Strom versorgt. Auch die AP376X-Serie unterstützt alle neuen Advanced-11n Wi-Fi-Technologien: dynamisches Funkmanagement, Spektrumanalyse mit Störungsklassifizierung und - vermeidung, Selbstreparatur und Vermaschung sowie rollenbasierte Authentifizierung und Autorisierung. Die 3x3:3 AP-Plattform verfügt über eine maximale Performance von bis zu 900 Mbps über die WLAN- und bis zu Pakete pro Sekunde über die LAN- Schnittstelle. Umfassende Antennenoptionen sorgen für flexible Einsatzmöglichkeiten der AP3765e und AP3767e. Der AP3767e integriert zudem einen Zwei-Port-SFP (Small Form Factor pluggable)-switch und kann direkt mit Glasfaser angefahren werden. Mehrere APs lassen sich in Reihe schalten. AP

154 Spezifikationen Enterasys Networks Solution Guide 2013/2014 Product Features AP3765i/e AP3767e General High performance enterprise class AP Yes Yes Number of radios 2 2 MIMO implementation for high performance 11n 3x3 3x3 throughputs Number of spatial streams 3 3 Maximum Throughput Per Radio / Total 450Mbps / 900Mbps 450Mbps / 900Mbps Wired performance in packets per second (pps) 60,000 pps 60,000 pps Number of SSIDs supported per radio / total 8 / 16 8 / 16 Simultaneous users per radio / total 127 / / 254 Mode of operation Semi-autonomous Semi-autonomous Simultaneous Voice calls (802.11b, G711, R>80) 12 or greater 12 or greater Plug and play operation/zero touch deployment Yes Yes Security and Standards Multiple operating modes WPA, WPA2 (AES), i, 802.1x, IPSec, IKEv2, PKCS #10, X509 DER / PKCS #12 WPA, WPA2 (AES), i, 802.1x, IPSec, IKEv2, PKCS #10, X509 DER / PKCS #12 Clients serving access points Yes Yes Intelligent thin AP Encryption, Security, QoS and RF management done on AP Yes Encryption, Security, QoS and RF management done on AP Yes Bridging data traffic at AP and/or at controller simultaneously Simultaneous RF monitoring and client services Yes Yes In-channel WIDS Yes Yes In-channel WIPS Yes Yes Remote access point Yes Yes RF spectrum analysis and fingerprinting Yes Yes Ready for locating devices and threats via RF triangulation Yes Yes Self-forming and self-healing meshing Yes Yes Hybrid operation Security scanning and serve clients on same radio Yes Yes Security scanning and spectrum analysis on same radio Yes Yes Spectrum analysis and serve clients on same radio Yes Yes Radio characteristics Max transmit power Radio 1 (5GHz) 23 dbm (AP3765e) 23 dbm Radio 2 (2.4GHz) 23 dbm (AP3765e) 23 dbm Max antenna gain (integrated antenna) Radio 1 (5GHz) 3 dbi (AP3765i) NA Radio 2 (2.4GHz) 3 dbi (AP3765i) NA Adaptive Radio Management 154

155 Dynamic Channel Control h: DFS & TPC support (ETSI) h: DFS & TPC support (ETSI) Efficient use of the spectrum with a multi-channel Yes Yes architecture Automatic transmit power and channel control Yes Yes Self-healing with coverage gap detection Yes Yes Band steering with multiple steering modes Yes Yes Spectrum load balancing of clients Yes Yes Airtime fairness Yes Yes Performance protection in congested RF environments Yes Yes Mitigates co-channel interference with coordinated access Yes Yes Mitigates adjacent channel interference with optimized Yes Yes receive sensitivity Efficient reuse of channels at shorter intervals Yes Yes Mitigates non inference without dedicated radios Yes Yes QoS for Applications Quality of Service (WMM, e) Yes Yes Call Admission Control (TSPEC) Yes Yes Power Save (U-APSD) Yes Yes Fast secure roaming and handover between APs Yes Yes Pre-Authentication (Pre-Auth) Yes Yes Opportunistic Key Caching (OKC) Yes Yes Support voice, video and data using the same SSID Yes Yes Prioritize voice over data for both tagged and untagged Yes Yes traffic Rate limiting (rule and user-based) Yes Yes Rule and role based QoS processing Yes Yes Multicast Rate Control Multicast to Unicast Conversion Yes Yes Adaptable rate multicast Yes Yes Power save mode optimization for multicast Wireless Services Media Access Protocol CSMA/CA with ACK CSMA/CA with ACK Data Rates a: 6, 9, 12, 18, 24, 36, 48, 54 Mbps Frequency Bands Yes Yes a: 6, 9, 12, 18, 24, 36, 48, 54 Mbps b: 1, 2, 5.5, b: 1, 2, 5.5, Mbps 11 Mbps g: 1, 2, 5.5, 6, g: 1, 2, 5.5, 9, 11, 12, 18, 24, 6, 9, 11, 12, 18, 24, 36, 48, 54 Mbps 36, 48, 54 Mbps n: See n Performance table below a/n: 5.15 to 5.25 GHz (FCC / IC / ETSI) 5.25 to 5.35 GHz (FCC / IC / ETSI) 5.47 to GHz n: See n Performance table below a/n: 5.15 to 5.25 GHz (FCC / IC / ETSI) 5.25 to 5.35 GHz (FCC / IC / ETSI) 5.47 to GHz 155

156 Wireless Modulation Interfaces Enterasys Networks Solution Guide 2013/2014 (FCC / IC / ETSI) to GHz (FCC / IC) b/g/n: to GHz (FCC / IC / ETSI) a: OFDM b: DSSS g: DSSS and OFDM n: BPSK, QPSK, 16QAM, 64QAM with OFDM n Highthroughput (HT) support: HT 20/ n Packet aggregation: A-MPDU, A-MSDU n Advanced features: LDPC and STBC (FCC / IC / ETSI) to GHz (FCC / IC) b/g/n: to GHz (FCC / IC / ETSI) a: OFDM b: DSSS g: DSSS and OFDM n: BPSK, QPSK, 16QAM, 64QAM with OFDM n Highthroughput (HT) support: HT 20/ n Packet aggregation: A- MPDU, A-MSDU n Advanced features: LDPC and STBC Wired Interfaces 1 x 10/100/1000 E/N 2 x SFP GE Console port for the ease of installation and management Yes Yes Mounting Direct wall mount Yes Yes Removable wall mounting bracket Optional Optional Pole mounting bracket Optional Optional Compliance FCC CFR 47 Part 15, Class B ICES-003 Class B FCC Subpart C FCC Subpart E RSS-210 EN EN EN & 17 EN EN (CISPR 11) Class B Group 1 ISM EN (CISPR 22) AS/NZS3548 (CISPR22) International (including China) IEC IEC Europe EN EN USA / Canada / Mexico (NAFTA) UL CSA 22.2 No Australia AS/NZS FCC CFR 47 Part 15, Class B ICES-003 Class B FCC Subpart C FCC Subpart E RSS-210 EN EN EN & 17 EN EN (CISPR 11) Class B Group 1 ISM EN (CISPR 22) AS/NZS3548 (CISPR22) International (including China) IEC IEC Europe EN EN USA / Canada / Mexico (NAFTA) UL CSA

157 Mechanical Dimension Weight Enterasys Networks Solution Guide 2013/2014 (W x H x D) 9.9 x 9.9 x 2.8 (251 mm x 251 mm x 72 mm) Without optional PS adapter: 79.1 oz (2241 g) (2241 g) No Australia AS/NZS (W x H x D) 9.9 x 9.9 x 2.8 (251 mm x 251 mm x 72 mm) Without optional PS adapter: 79.1 oz With optional AC PS With optional AC PS adapter: 85.8 oz adapter: 85.8 oz (2433 g) (2433 g) Power consumption 15.6W Max / 15W 15.6W Max / 15W Typical with 2 radios Typical with 2 radios Warranty 1 Year 1 Year Bestellinformationen: Part Number Access Points WS-AP3765i WS-AP3765e WS-AP3767e Accessories (Optional) WS-MB376X-01 WS-PS376X-MR MGBICs (for AP3767e only) Description Dual Radio a/b/g/n, 3x3:3, industrial outdoor access point with six internal antenna array Dual Radio a/b/g/n, 3x3:3, industrial outdoor access point with six reverse polarity SMA connectors for external antennas (requires antennas to be ordered separately) Dual Radio a/b/g/n, 3x3:3 with redundant SFP E/N ports, industrial outdoor access point with six reverse polarity SMA connectors for external antennas (requires antennas and external power adapter to be ordered separately) Wall and pole mounting kit for AP376X Outdoor power supply for AP376X I-MGBIC-GLX Industrial grade, -40 C to +60 C, 1 Gb, 1000Base-LX, MM M, SM - 10 KM, 1310 nm Long Wave Length, LC SFP I-MGBIC-LC03 Industrial grade, -40 C to +60 C, 1 Gb, 1000Base-LX, MM, 1310 nm Long Wave Length, 2Km w/62.5 MMF, 1 Km w/50 MMF, LC SFP I-MGBIC-GSX Industrial grade, -40 C to +60 C, 1 Gb, 1000BASE-SX, IEEE MM, 850 nm Short Wave Length, 220/550 m, LC SFP Antennas WS-AO-DT WS-AIO-2S18018 WS-AO-2S10360 WS-AO-5S10360 WS-AO-DS05360 WS-AO-5D16060 WS-AO-5D23009 Outdoor, / GHz, Triple-feed, 5 dbi, 120 deg, sector with reverse polarity type-n plug connector Indoor/Outdoor, GHz, 18 dbi, 18 deg, panel antenna with reverse polarity type- N jack connector Outdoor, 2.4 GHz, 10dBi, Omni baton with reverse polarity type-n jack connector - FCC Domain Only Outdoor, GHz, 10dBi, Omni baton with reverse polarity type-n jack connector - FCC Domain Only Outdoor, / GHz, 5 dbi, Omni baton antenna with reverse polarity type-n jack connector Outdoor, GHz, Dual-polarization 16 dbi, 60 deg, sector antenna with reverse polarity type-n jack connector FCC Domain Outdoor, GHz, Dual-polarization, 23 dbi, 9 deg, panel antenna with reverse polarity type-n jack connector 157

158 WS-AO-DX13025 Cables WS-CAB-PT20P WS-CAB-PT20J WS-CAB-LPM WS-CAB-L200C20 WS-CAB-L400C06 WS-CAB-L400C50 WS-CAB-L400C75 WS-CAB-L600C25 WS-CAB-L600C50 Outdoor, / GHz, Six-feed, 12/11 dbi, 27/30 deg, panel with reverse polarity type-n plug connector 20 inch pigtail with reverse polarity type-n plug used to connect AP to lightning protector or directly to an antenna 20 inch pigtail with reverse polarity type-n jack used to connect AP to the LMR cables Dual-band lightning protector with reverse polarity type-n jack on both ends 20 foot LMR200 cable with reverse polarity type-n plugs on both ends 6 foot LMR400 cable with reverse polarity type-n plugs on both ends 50 foot LMR400 cable with reverse polarity type-n plugs on both ends 75 foot LMR400 cable with reverse polarity type-n plugs on both ends 25 foot LMR600 cable with reverse polarity type-n plugs on both ends 50 foot LMR600 cable with reverse polarity type-n plugs on both ends 158

159 Enterasys IdentiFi WLAN Controller Zur Zeit umfasst das Portfolio drei Modelle mit gleicher Funktionalität. Sie unterscheiden sich lediglich in der Hardware und in der Anzahl der unterstützen APs. Eine Besonderheit der Controller ist der Hochverfügbarkeitsmodus. Damit können angeschlossene APs ohne Reboot von einem Primär- zu einem Backup-Controller wechseln. So lässt sich beispielsweise eine hochverfügbare VoWLAN-Umgebung aufbauen, in der es selbst dann zu keiner Gesprächsunterbrechung kommt, wenn ein Controller ausfallen sollte. Zusätzlichen Lizenzen für den Backup-Controller sind dafür unnötig. Durch das Fit- Design der APs können sie mit dem richtigen WLAN-Design auch bei vollständigem Ausfall der Controller weiterhin einen WLAN-Service anbieten, der selbst beim Reboot des AP zusätzlich zu einem Ausfall der Controller funktioniert. Mitgeliefert wird der Enterasys-Assistent für die Konfiguration der WLAN-Infrastruktur Zusätzlich zu den Controllern und Lizenzen für die gewünschte Menge an APs braucht man für jeden Controller einen Regulatory Domain Key, um die gesetzlichen Bestimmungen hinsichtlich Leistung und Kanalwahl einzuhalten. In Europa ist dies WS- CTLREG8P-ROW, beim virtuellen Controller WS-V ROW. Enterasys IdentiFi Radar Mit der neuen AP37XX-Serie sind auch erweiterte Spektrumanalyse, Funkmanagement und Funktionen für Eindringschutz und vorbeugung (IDS & IPS) verfügbar. So kann die Lösung proaktiv auf Änderungen im Funkspektrum und Angriffe reagieren. Das steigert Verfügbarkeit und Security der Gesamtlösung. 159

160 Zu IdentiFi Radar gehören folgende Komponenten: IdentiFi Radar RF Security: Alle IdentiFi 3700-APs unterstützen WIPS/WIDS (Wireless IDS/IPS). Die 3705 und 3710 Access Points bieten kanalintegrierte IDS&IPS auf allen Kanälen, die der AP gerade für den WLAN-Service nutzt, ohne die Versorgung der Clients dadurch zu stören oder zu unterbrechen. Der 3710/15 Access Point kann darüber hinaus mit Hilfe der Guardian Funktion in einen Sensor umgewandelt werden. Dieser sichert dann gleichzeitig alle Kanäle und Bänder. IdentiFi Radar RF Fingerprinting: Alle IdentiFi 3700-APs unterstützen hardwarebasiertes Spektrum Fingerprinting. Das bedeutet, dass Funkrauschen oder Störungen von anderen Funksystemen, wie etwa Mikrowellen, Bluetoothoder Video-Brücken erkannt und IdentiFiziert wird. Sobald die APs eine Interferenz detektieren, verschiebt das Controller-System den AP manuell oder automatisiert auf einen störungsfreien Kanal. Das sichert den Clients permanent hohe Empfangsqualität. IdentiFi Funk-Management: Dynamisches Radio Management (DRM) arbeitet unabhängig auf jedem Funkmodul. Es passt Kanal- und Sendeleistungsparameter automatisch und dynamisch der Funkumgebung an, um den Empfang zu optimieren. DRM ist unabhängig von der Radar-Lizensierung auf allen APs verfügbar. IdentiFi Radar Reporting: Radar Reporting wird auf den Controllern konfiguriert. Überwachung und Berichte (Reporting & Monitoring) sind via Controller oder OneView möglich. Bestellinformationen IdentiFi Radar: Enterasys IdentiFi Wireless Management (WM) siehe OneFabric Controlcenter (Netsight) 160

161 Enterasys IdentiFi Wireless Antennen Antennenmodelle: 161

162 Bei den Antennen ist zu beachten, ob sie für die Zuständigkeitsbereiche der FCC (Federal Communications Commission) (USA) und ETSI (European Telecommunications Standards Institute ) (Europa) zertifiziert sind. Diese Information findet sich in den AP- Datenblättern. 162

163 Montage des Antennensystems Enterasys Networks Solution Guide 2013/2014 AP3620/ AP3640/ AP3710e Installationsübersicht: Beim AP3710e sind im Gegensatz zu der unten gezeigten Darstellung die beiden Funkmodule auf jeweils einem getrennten Antennen-Drilling geführt. Dies ist beider Antennenauswahl zu berücksichtigen. Ansonsten gibt es die gleichen Montage- / Anschluss-Optionen wie unten gezeigt. 163

164 AP3620/ AP3640/ AP3710e Installationskomponenten: 1. Antennenanschluss (Reverse Polarity Type-N Jack) 2. Antennenkabel von Antenne zu Blitzschutz (Reverse Polarity Type- N plugs on both ends) Je nach Kabellänge und Qualität eignen sich folgende Kabel: WS-CAB-L200C20 WS-CAB-L400C06 WS-CAB-L400C50 WS-CAB-L400C75 WS-CAB-L600C25 WS-CAB-L600C50 LXXX gibt die Qualität an. CXX gibt die Länge in Fuß an. 3. Blitzschutz (Reverse Polarity Type-N jacks on both ends) - WS-CAB-LPM 4. Erdung Blitzschutz 5. Antennenkabel von Blitzschutz zu AP-Pigtail (Reverse Polarity Type- N plugs on both ends). Je nach Kabellänge und Qualität eignen sich folgende Kabel: WS-CAB-L200C20 WS-CAB-L400C06 WS-CAB-L400C50 WS-CAB-L400C75 WS-CAB-L600C25 WS-CAB-L600C50 LXXX gibt die Qualität an. CXX gibt die Länge in Fuß an. 6a. AP Pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N jack) WS-CAB-PT20J 6b. AP Pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N plug) WS-CAB-PT20P 7. AP Pigtail wird an den externen Antennenanschluss des APs angeschlossen 8. Access Point AP3620/3710e/15e 9. Widerstand für nicht benutzte Antennenanschlüsse WS-CAB-RPSMATERM 10. Anschluss zum Switch 164

165 Kapitel 3 - OneFabric Data Center Die Infrastruktur für das Rechenzentrum der Zukunft Applikationsverfügbarkeit als Technologietreiber Mit der Rezentralisierung der Anwendungen im Rechenzentrum und der gleichzeitigen Mobilisierung der Mitarbeiter haben sich die Anforderungen an Rechenzentren geändert. Unternehmen konzentrieren sich heute auf die Erhöhung der Geschäftsmobilität. Dafür ist das Data Center ein Schlüsselfaktor, dem man viel Aufmerksamkeit widmen muss. Heute bestimmen die Anforderungen an die Applikationsverfügbarkeit, wie Anwendungen in Rechenzentren gehostet werden. Bis dahin war es ein langer Weg, in dessen Verlauf sich die meisten Komponenten des Rechenzentrums geändert haben: Server, Storage und Netzwerk Infrastruktur. Der übergreifende Trend heißt dabei Virtualisierung. Der erste und sehr wichtige Schritt hin zu einer Evolution des Rechenzentrums war die Servervirtualisierung. Sie versprach Kostensenkungen bei Infrastruktur und Betriebsmitteln, Skalierbarkeit, Flexibilität, mehr Redundanz und schnelleres Recovery nach Störungen,. Um die möglichen Vorteile der Virtualisierung voll auszuschöpfen, müssen nicht nur Server, sondern auch die übrigen RZ-Komponenten, beispielsweise die Netzwerkinfrastruktur, weiter entwickelt werden. Tatsächlich haben sich die Vernetzungstechniken im Rechenzentrum deshalb ebenfalls verändert. Sie wurden zunächst redundant ausgestaltet. Inzwischen kann man eine skalierbare Fabric in und zwischen Rechenzentren aufbauen. Drei Trends werden die nächste Generation der Data-Center-Netzwerke prägen: Virtualisierungsinitiativen werden auf allen RZ-Ebenen selbstverständlich. Die Zahl der Netzwerkebenen sinkt, die Leistung steigt. Daten- und Storage-Netze werden vereinigt. Zukunftsfähige Netzwerkkomponenten müssen alle drei Trends möglichst optimal unterstützen. Virtualisierung hat die Anforderungen ans RZ-Netz dramatisch geändert. Von Rechenzentrums-Anbietern, die moderne, hoch virtualisierte und dynamische IT- Infrastrukturen betreiben, wird heute ein Maximum an Skalierbarkeit und Perfomance bei kosteneffizientem und belastbarem Infrastrukturbetrieb verlangt. Denn die überkommenen, hoch segmentierten Data-Center-Netzwerke unterstützten die 165

166 Schlüsselvorteile der Virtualisierungstechnologie, zum Beispiel Dynamic Virtual Machine Provisioning (vmotion/xenmotion), nicht. Der heute übliche Wegfall von Netzwerkebenen löst das ursprüngliche Flexibilitätsproblem, bedeutet aber neue Herausforderungen beim Design. Ob den Unternehmen die durch Virtualisierung mögliche Verringerung von Emissions- und Betriebskostensowie Ausfallzeiten in vollem Umfang zugutekommen wird, hängt sehr von der Architektur der nächsten Rechenzentrumsgeneration ab: Nur bei weniger Schichten im Rechenzentrum werden auch die Kapitalinvestitionen und Betriebskosten sinken. Denn dann braucht man weniger Equipment, was CAPEX (Kapitalausgaben) und OPEX (Betriebsausgaben) verringert. Gleichzeitig steigern kürzere Latenzzeiten auch die Leistung der Anwendungen. Einerseits steigt also die Bandbreite, andererseits verringern weniger Geräte die Topologiekomplexität. Die kommende SAN-Konvergenz stellt Netzwerke im Datenzentrum vor völlig neue Aufgaben und Gesichtspunkte. Das Thema wird heiß debattiert. Neue Standards wurden je nach SAN-Technologie gerade verabschiedet oder befinden sich in der Ratifizierung. Das wichtigste Argument für Konvergenzkonzepte ist im Allgemeinen die Konsolidierung der Infrastruktur: Datenverkehr und Speicher teilen sich dieselbe Infrastruktur und nutzen eine gemeinsame Schnittstelle auf dem Server, was den Ressourcenaufwand verringert. Die erste konvergente SAN-Technologie war iscsi, derzeit steht Fibre Channel over Ethernet (FCoE) im Mittelpunkt des Interesses. Dieses Kapitel beschreibt mit der Enterasys OneFabric Data Center Architektur ein Konzept für RZ-Netze der Zukunft, bei dem alle drei aufgeführten Trends berücksichtigt werden. Die Komponenten von Enterasys OneFabric Data Center Mit der Architektur von Enterasys One Fabric Data Center können Kunden heutige Datenzentrums-Netzwerke problemlos in ein einheitliche Fabric migrieren, die alle drei oben genannten Schlüsselanforderungen an die Rechenzentrumsnetze der Zukunft erfüllt. 166

167 OneFabric Data Center im Zeitablauf Die Architektur setzt sich aus folgenden Hauptkomponenten und merkmalen zusammen: Virtualisierung/Managementautomatisierung: Wenn virtuelle Server (neu) aufgesetzt werden, garantiert OneFabric Data Center Transparenz und höchstmögliche Automatisierung aller Managementaufgaben Data Center Bridging Die Architektur unterstützt effizient I/O und SAN Konvergenz in der Data Center Fabric. Virtual Switching - VSB (Virtual Switch Bonding): VSB erhöht die verfügbare Bandbreite und ermöglicht eine redundante ausfallsichere Anbindung von Servern und Blade-Center-Switches Fabric Core Meshing Shortest Path Bridging, Fabric Routing Fabric Core Meshing aggregiert die gesamte Kapazität im Kern der Data Center Fabric und leitet Daten immer über den kürzesten Pfad an ihr Ziel, so dass es dort nur sehr geringe Verzögerungen gibt. Data Center Interconnect Erweiterung der Fabric auf mehrere Data Center aktive Data Center, Disaster Recovery, Cloud Bursting Applikationsawareness Die Architektur bietet Applikationstransparenz und kontrolle in der Data Center Fabric. 167

168 Virtualisierung Virtualisierung ist der größte Entwicklungsschritt den Rechenzentrumstechnologien in den vergangenen zehn Jahren vollzogen haben. Durch Server- und Storage- Virtualisierung lassen sich Services heute schnell ändern. Diese Dynamik führt zu neuen Anforderungen an das Netzwerk im Rechenzentrum. Wenn sich Anwender, Endgeräte und Applikationen bewegen oder verändern, ändern sich entsprechend schnell auch Netzwerkkonfigurationen, da Server/VMs zu den physikalischen Maschinen hinzugefügt oder zwischen ihnen bewegt werden. Um Netzwerkdienste in Echtzeit innerhalb einer virtualisierten Umgebung bereitzustellen und die Kluft zwischen virtueller Maschine und Netzwerk zu überbrücken, hat Enterasys DCM (Data Center Manager) im OneFabric Control Center integriert. DCM ist eine leistungsstarke SDN-Lösung. Sie macht das laufende Geschehen in der gesamten Data Center Fabric einschließlich Netzwerkinfrastruktur, Server, Speicher und Anwendungen im physischen und virtuellen Umfeld durchschaubar und ermöglicht es, diese Elemente zu steuern und zu überwachen. Ihr Management wird weitgehend automatisiert. Um Enterasys DCM zu nutzen, braucht man keine spezielle Software oder Applikation auf dem Hypervisor oder den virtuellen Maschinen. Die Lösung verbindet sich direkt mit dem nativen Hypervisor und dem Hypervisor Management System. Die Steuerung und Überwachung physischer und virtueller Server beeinflusst die Server oder das Betriebssystem nicht. Unternehmen können individuell den Server- oder Hypervisor- Hersteller frei wählen und müssen sich nicht an einen Hersteller binden. DCM unterstützt alle wichtigen Virtualisierungsplattformen, darunter Citrix XENServer und XENDesktop, Microsoft Hyper-V und VMware vsphere, ESX, vcenter und VMware View. Enterasys DCM integriert sich in existierende Workflow- und Lifecycle-Tools. So überblickt der Administrator jederzeit virtuelle und physikalische Anlagen und kann physikalische und virtuelle Netzwerke für virtuelle Maschinen automatisch konfigurieren. Die APIs der jeweiligen Hersteller ersetzen arbeitsaufwändige Installationen auf dem Hypervisor. Außerdem veröffentlicht Enterasys APIs für die automatisierte Inventarerkennung und Kontrolle der Hypervisor-Switch-Konfiguration sowie das Management der physikalischen Netzwerkkonfiguration. 168

169 Schon heute lässt sich mit DCM und Fabric Routing dieselbe Funktionalität realisieren. Letzeres erlaubt sogar den Einsatz von PVLAN (Private Virtual LAN)-Konfigurationen auf VMware vsphere Distributed Virtual Switches, um den Datenverkehr zwischen einzelnen virtuellen Maschinen umzuleiten. Dabei routet der physikalische Switch außerhalb der ESX Servers gleichzeitig als normaler End-of-Row/Top-of-Rack Switch und zwischen den PVLANs. Dadurch kann man den Datenstrom zwischen zwei VMs analysieren, regulieren und (z.b. via NetFlow) exportieren. Mit Enterasys Data Center Manager lassen sich diese Systeme zentral und transparent konfigurieren. Alle Daten im Netz werden so einfach sicht- und damit kontrollier- und steuerbar. Data Center Bridging Langfristig sollen durch Ethernet als Transportschicht einer konvergierten Data- und Storage-Lösung die Gesamtkosten (TCO, Total Cost of Ownership) sinken. Storage- Vernetzung wird in der Zukunft auf einer einheitlichen konvergierten Netzwerk Infrastruktur basieren mit neuen Protokollen und neuer Hardware. Mit dem Ansatz vonenterasys kann man schon heute einfach und sehr effizient iscsi-san- oder NFS- NAS (Network Attached Storage)-Umgebungen aufbauen, optimieren und sichern. Damit Storage-Daten entsprechend schnell angesprochen und geliefert werden, erkennt, klassifiziert und priorisiert Enterasys hierbei automatisch den IP-SAN-Traffic. Die IEEE Data Center Bridging (DCB) Task Force, eine Arbeitsgruppe des IEEE Standardisierungsgremiums, arbeitet an einer Standardsuite, die Ethernet zur universellen Transportschicht für Server- und Speicherdatenverkehr im Rechenzentrum 169

170 macht. Besonders wichtig wird dabei Fiber Channel over Ethernet (FCoE) sein. Mit DCB lässt sich ein verlässlicheres, auf Ethernet-Technologie basiertes Netzwerk aufbauen. Es liefert Daten nicht mehr best effort, sondern arbeitet verlustfrei (lossless). Engpässe auf Netzwerkschicht 2 handhabt ein solches Netz effizienter als ein traditionelles TCPbasiertes Netz. Dazu kommen Mechanismen zur Kontrolle der einzelnen Datenströme (Flows). Auch wenn traditionelle Storage-Protokolle wie iscsi und NFS vom DCB profitieren werden, sind sie nicht darauf angewiesen. FCoE dagegen verlangt verlustfreien Betrieb, der sich in einer Multi-Hop Switch-Umgebung nur mit DCB realisieren lässt. DCB baut hauptsächlich auf drei IEEE Spezifikationen auf: IEEE 802.1Qaz ETS &DCBX Bandbreitenzuweisung an Hauptverkehrsklassen (Priority Groups) plus DCB Management Protokoll IEEE 802.1Qbb Priority PAUSE Wahlweiser Verkehr auf dem Link durch Priority Group PAUSIEREN (dabei werden Pause-Frames an einen Sender geschickt, der so lange keine Daten mehr verschickt und damit die Verbindung entlastet) IEEE 802.1Qau Dynamische Engpassbenachrichtigung DCB und verschiedene Storage Technologien Enterasys plant, diesen Standard in zwei Phasen auf den wichtigsten Data-Center- Plattformen über Software und Hardware-Upgrades zu implementieren. Eine vollständige FCoE-SAN-Konvergenz auf Netzwerken mit DCB wird wohl erst in einigen Jahren umgesetzt werden. IP-SAN-Konvergenz ist allerdings schon heute verfügbar. Zunächst (Phase 1) werden die Ein-/Ausgabeaktivitäten des Servers mit der Ethernet Data Fabric konsolidiert. In der zweiten Phase fließt das SAN komplett oder 170

171 selektiv in die vorhandene Fabric ein. Enterasys Networks Solution Guide 2013/2014 Die erste Phase reduziert hauptsächlich die Serverkosten, da keine dedizierten HBAs (Host Bus Adapter) mehr nötig sind. Dies spart Server-Energiekosten und verringert den Platzbedarf. Außerdem erleichtert es den Betrieb und spart weitere Kosten, da man weniger Kabelverbindungen zum Server braucht. Auch Switch-Ports werden weniger benötigt. In der zweiten Phase braucht man in der kompletten Fabric weniger Netzwerkgeräte, dafür aber ausgereifte Standards. Deshalb wird es wohl mehrere Jahre beanspruchen, bis dieses Design der Mainstream in Rechenzentren ist. Virtual Switch Bonding Virtual Switch Bonding stattet Data-Center-Architekten beim Data Center Switching mit neuen Werkzeugen aus. Sie erhöhen die Applikationsverfügbarkeit, senken die Antwortzeiten verbessern und vereinfachen die Edge-Netzwerktopologie. Virtuelles Switching gewinnt in Rechenzentren Akzeptanz. Denn damit sind elastische Serververbindungen möglich, die früher eine manuelle Konfiguration der Server voraussetzten. Heute sehen Server beim virtuellen Switching in ToR (Top of-rack)- Designs zwei physikalische Switche als ein einziges System. Das ermöglicht: Automatische Link-Aggregation physikalischer Switche und Server Vermaschung von L2-Netzwerk-Uplinks zur Data-Center-Aggregationsebene und den Core-Switches Non-Stop-Weiterleitung von Applikationsverkehr, falls eines der Geräte ausfällt. Flexible Server Verbindung 171

172 Enterasys VSB (Virtual Switch Bonding) löst alle drei Aufgaben. VSB führt physikalische Switche zu einem einzigen, logischen Switch zusammen, um die verfügbare Bandbreite zu erhöhen, und vermascht aktiv Server und Switches im Rechenzentrum. Das Chassis- System der Enterasys S-Serie implementiert dabei ein virtuelles Chassis. Erstmals wurde dieses Konzept wurde in der Enterasys-N-Serie umgesetzt. So lassen sich Anwendungen und Dienste in Echtzeit bereitstellen. Die Netzwerkinfrastruktur ist einfacher zu administrieren. VSB wird in verschiedenen Chassis der wichtigsten Data-Center-Plattformen, etwa der S- Serie, als Software-Option verfügbar sein, damit man das Chassis über traditionelle 10Gund zukünftig 40G/100G-Ethernet-Links ans Datenzentrums-Netz anschließen kann. Enterasys VSB bietet außerdem: automatisierte, Host-spezifische Netzwerk-/Sicherheitsprofile per Virtual Host und Port maximale Verfügbarkeit und Ausfalltoleranz eine etablierte Technologie mit mehr als drei Millionen Switch- und Routerports im Einsatz die langfristig verfügbare, bewährte Code Basis des Enterasys perating System Fabric Core Mesh Layer 2 Die Anforderungen geschäftskritischer Applikationen verlangen Flexibilität und Performance im gesamten Netzwerk, nicht nur auf einer bestimmten Schicht. Für neue Data-Center-Technologien wie Server-Virtualisierung und FCoE sind mehr als bisher flache Layer-2-Netztopologien gefragt. Denn es soll in dem oft hochskalierbaren Dreischichtsystem aus Darstellungsebene, Applikation und Datenbankservern heute jeder immer mit jedem kommunizieren können. Das erfordert eine blockierungsfreie, hochleistungsfähige Netzwerkinfrastruktur mit geringer Latenz. In den vergangenen Jahren entstanden Netzwerke mit aktiven und passiven Links. Zwar sicherte das ausreichende Redundanz, allerdings kam es bei Änderungen der Netztopologie häufig zu Dienstausfällen, bis im gesamten Netz die neue logische Konfiguration wieder stimmte. Heute werden viele logische Netztopologien mit Hilfe von Standards wie IEEE 802.1Q-2005 MSTP (Multiple Spanning Tree Protocol) konfiguriert, die mehrere Topologien ermöglichen, so dass alle vorhandenen Links bestmöglich genutzt werden. Das entspricht der Best-Practice-Empfehlung für heutige Netzwerkinfrastrukturen in Rechenzentren. Mehr diesbezügliche Informationen und Best Practices finden Sie hier: 172

173 Während MSTP erlaubt alle Links überhaupt zu nutzen, werden nicht alle Links gleich stark ausgelastet. Das liegt daran, dass die Segmentierung immer noch aktive/redundante Links innerhalb jeder VLAN-Gruppe erlaubt. Netzwerke der nächsten Generation müssen Aktiv/Aktiv-Konfigurationen mit folgenden Eigenschaften unterstützen: Sie muss Ausfälle so behandeln, dass nur direkt betroffener Verkehr bei der Wiederherstellung beeinflusst wird Alle verfügbaren physikalischen Verbindungen solen ohne Bandbreitenverlust ausgenutzt werden Verbindungen werden nach Ausfall schnell wieder hergestellt Broadcast- und Multicast-Verbindungen müssen besonders schnell wieder herstellbar sein Zwei konkurrierende Standards für mehr Flexibilität in zukünftigen Data-Center-LANs stehen Planern zur Auswahl: Shortest Path Bridging (SPB) IEEE 802.1aq work group Transparent Interconnect of Lots of Links (TRILL) IETF TRILL work group Beide vereinfachen die Netzwerktopologie im Rechenzentrum und vermaschen aktiv Edge und Core in Rechenzentrumsnetzen. Enterasys besitzt viele Patente im Bereich Netzwerk-Fabrics stellte Enterasys das erste auf Layer 2 vermaschte Ethernet-Netzwerk der Industrie vor, eine aktive Vermaschung auf Basis eines intelligenten Router-Protokolls unter der Bezeichnung SecureFast. Als VLSP (VLAN Link State Protocol) diente dabei OSPF (Open Shortest Path First), um die Erreichbarkeit von MAC-Adressen zwischen Netzelementen auszutauschen IETF TRILL und IEEE SPB nutzen IS-IS (Intermediate System to Intermediate System Protocol) als Routing-Protokoll, um ähnliche Ziele zu erreichen. Das IEEE hat sich offiziell dazu bekannt, alle existierenden und neuen IEEE Standards (besonders die IEEE Data Center Bridging Protokolle, aber auch die bestehenden Managementprotokolle, Ethernet IEEE 802.1ag (OAM), etc.) via IEEE SPB zu unterstützen. IEEE SPB nutzt MAC in-mac- Encapsulation (IEEE 802.1ah). Dabei wird ein MAC-Header in einen weiteren MAC- Header verpackt. Dieser Header gehört zum Provider Backbone Bridging Standard. Insgesamt bezeichnet man dieses Vorgehen als SPB-M-Implementierung. TRILL erlaubt verschiedene Pfade (Equal Cost Multipathing) und nutzt selbst ebenfalls verschiedene Pfade für Unicast und Broad-/Multicast. Das verläuft nicht immer reibungslos, da es bei manchen IEEE-Protokollen, die auf 173

174 dieselben Pfade zugreifen, zu Problemen mit TRILL kommt. Und natürlich können verschiedene Pfade mit unterschiedlichen Latenzen auch unvollständige Paketlieferungen verursachen, zum Beispiel, wenn Unknown Unicast Flooding in Unicast umkonfiguriert wird. Mit SPB wird der Rahmen eines Datenpakets nicht mehr durch die MAC-in-MAC-Encapsulation verändert und für jeglichen Verkehr zwischen einer bestimmten Quelle und einem Ziel wird nur ein Pfad genutzt. Enterasys OneFabric Data Center wird anfangs IEEE SPB anwendenspb wird per Software-Upgrade auf den wichtigsten Data-Center-Plattformen verfügbar sein und damit CoreFlow2-Technologie realisieren. SPB baut auf bestehende Layer-2-LANs im Rechenzentrum, die MSTP nutzen, auf und ist deswegen voll dialogfähig, was die Netzwerkflexibilität erhöht. Existierende Infrastrukturen lassen sich mit wenig oder keinen Unterbrechungen auf den IEEE- Standard migrieren. SPB bringt folgende Vorteile: Plug and Play: Beim aktiven Vermaschen muss man kaum oder gar nicht konfigurieren. Weniger Sprünge (Hops): Sind alle Links in der Fabric aktiv, nimmt der Verkehr immer den kürzesten Weg. Die Latenz zwischen Applikationen sinkt Höher aggregierte Kapazität: Werden alle Links genutzt und keine blockiert, steigt die Kapazität der Fabric. Skalierbarkeit: Tausende Switche sind innerhalb einer einzigen Domain möglich. Flexibilität Verbindungen, auch für Broad- und Multicasts, lassen sich nach Ausfällen schnell wieder herstellen. Ein Ausfall beeinträchtigt nur den direkt betroffenen Verkehr, nicht direkt betroffener Verkehr läuft einfach weiter. Shortest Path Bridging Domain 174

175 Besonders für größere Data Center Fabrics mit komplexen, ortsübergreifenden Topologien wird SPB zukünftig ein Schlüsselelement, um die Vorteile von Virtualisierung und Konvergenz voll zu nutzen. Kleinere Netzwerke brauchen diese Funktion möglicherweise nicht. Da Server und Switches mehr leisten, sinkt die Zahl der der Knoten im Datenzentrum dramatisch. Mittelgroße und kleine Infrastrukturen können dann auf komplexe Topologien verzichten. Fabric Core Mesh Layer 3 Fabric Routing In der konvergierten Data Center Fabric ist traditionelles Layer-3-Routing häufig problematisch. Denn Servervirtualisierung und FCoE brauchen große und flache Layer- 2-Netzwerke, um zu funktionieren und ihr volles Potential zu realisieren. Aber wenn Server auf Subnetze (Server Subnets) verteilt sind, erfolgt die Kommunikation zwischen ihnen mittels Routing. Das führt in Netzen, in denen nur SPB oder RSTP (Rapid Spanning Tree Protocol)/MSTP implementiert sind, zu Engpässen an den Routerschnittstellen, die sich in herkömmlichen Designs am Edge der Data Center Fabric befinden. Auch traditionelles VRRP (Virtual Router Redundancy Protocol) erlaubt nur ein einziges aktives Default-Gateway auf Layer 3 und schafft damit einen Engpass. Für die Lastverteilung sind solche Konzepte ineffizient und erhöhen die Latenz im Netzwerk. Fabric Routing realisiert verteiltes Routing in Switchen und Routern, die SPB und RSTP/MSTP integrieren. Insgesamt lassen sich so maximaler Durchsatz, niedrigste Latenz und optimierte Datenströme, wie es heute verlangt wird, in der Data Center Fabric realisieren. Zum Verständnis: Im Netzwerk unterscheidet man die Verkehrsrichtungen Nord-Süd und Ost-West. Unter Nord-Süd-Verkehr versteht man die Kommunikation zwischen Clients in der Peripherie, etwa in einer Filiale, und dem Rechenzentrum, wo die verwendeten Applikationen gehostet werden, oder umgekehrt. Ost-West-Traffic bezeichnet den Datenverkehr zwischen den Servern innerhalb einer Data Center Fabric. Enterasys Fabric Routing ist primär auf geroutetem Ost-West-Traffic ausgerichtet, baut auf das bekannte VRRP auf und ist damit dialogfähig. Administratoren können ihr vorhandenes Wissen nutzen, um Netze optimal zu implementieren. Fabric Routing als Komponente der OneFabric-Architektur ist auch im Campus LAN mit Mehrwert anwendbar. 175

176 Traffic Flows ohne Fabric Routing Im obrigen Bild routet der VRRP-Master den Datenverkehr zwischen den Servern in den VLANs 1 und 2 für jedes VLAN/Subnet am Edge der Fabric. In der dargestellten, typischen Installation sind die Server virtualisiert und innerhalb der Fabric mobil. Ein optimaler Pfad oder Ort für die Router lässt sich deshalb nicht festlegen also werden die Geräte irgendwo im Randbereich des Netzes angeschlossen. Das verdreifacht in diesem Beispiel die Latenz (6 gegenüber 2 Hops), erhöht unnötig die Brandbreiten an fünf zusätzlichen Fabric-Links und begrenzt die aggregierte Routingleistung zwischen zwei VLANs in der Fabric auf einen einzigen Link. Fabric Routing erweitert VRRP und ist vollständig mit existierenden VRRP-Routern kompatibel. Das VRRP-Auswahlverfahren und das VRRP-Protokoll bleiben unverändert. Beim Fabric Routing per VRRP-Router-ID kann der Enterasys Switch/Router den sogenannten Active-Backup übernehmen. Dabei sammelt der Switch/Router jeden Frame, der für diese VRRP-MAC-Adresse bestimmt ist. Dazu gehören Frames in ARP (Address Resolution Protocol)-Antworten vom VRRP Master an die Endsysteme und solche, die für deren Gateway-Adresse oder ein anderes Ziel (falls Proxy-ARP genutzt wird) im spezifischen Subnet bestimmt sind. Fabric Routing bietet in der Data Center Fabric zusammen mit SPB dieselbe Effizienz beim Datenfluss (Shortest Path) auf Layer-2 und Layer 3. Wird die Technologie innerhalb einer RSTP/MSTP-Domain genutzt, optimiert das, verglichen mit einer traditionellen VRRP-Konfiguration, die Datenströme. 176

177 Fabric-Routing-Konfiguration mit multiplen VLANs und VRRP IDs Data Center Interconnect - Host Routing Fabric Routing optimiert den Ost-West-Traffic innerhalb eines verteilten Datenzentrums zwischen virtuellen, mobilen Servern. Doch es gibt ein weiteres Problem: Baut ein externer Client eine Verbindung zu einem Server auf, wird diese Verbindung in aller Regel über jenen Router geleitet, der als letzter Traffic von oder zu dem entsprechenden Ziel gesehen hat. Ist der Server in der Zwischenzeit umgezogen, erfahren dies die Router auf den höheren Netzwerkebenen zu spät; der Datentransport macht also Umwege, erleidet Verzögerungen oder bricht gar zusammen. Host Routing verhindert das präventiv, indem eine Host-Route mitgeteilt wird, sobald ein Router den Umzug eines Servers erkennt. Damit ist sichergestellt, dass alle eingehenden Datenverbindungen verzögerungsfrei direkt an das richtige Data Center fließen. Das entlastet die Verbindungen zwischen den Datenzentren. Dabei reicht es schon aus, dass einer der Access Switches ein Paket sieht um eine OSPF LSA an das Default Gateway zu senden, die als Host Route vor der Netz Route Vorrang hat. Zieht nun ein Server um, so erkennt der angeschlossene Switch die IP Adresse und schickt ebenfalls eine LSA an das Default Gateway. In dieser kurzen Phase wird zwar 177

178 nicht der optimale Pfad zum Ziel gewährleistet, allerdings dauert diese nur an bis der veraltete Routing Eintrag wieder verworfen wurde. Um Host Routing sicher einsetzen zu können, muss hierfür Dynamic ARP Inspection und IP Source Guard auf den Access Switches aktiviert sein. Ansonsten könnte eine Fehlkonfiguration oder jemand mit schlechten Absichten IP Adressen spoofen und damit die Routing Topologie stören. Applikationsawareness Die meisten heute eingesetzten Netzinfrastrukturkomponenten liefern keine Daten für die Applikationssteuerung und überwachung. Netzwerke werden typischerweise so implementiert, das alle Services und Applikationen die gleiche Priorität haben, Üblich sind auch sehr rudimentäre Priorisierungsschemata. Durch verbreitete Virtualisierung, SOA-Architekturen, Cloud Computing und weitergehende Netzwerkkonvergenz entspricht dieses typische Szenario den heutigen Anforderungen nicht mehr. Dies betrifft Access- Netzwerke und Data Center Fabrics. Es ist inzwischen in jedem Bereich des Netzwerks kritisch, Applikationen exakt zu IdentiFizieren, zu steuern und zu überwachen, damit sie wie gewünscht verfügbar sind. Dafür reicht es nicht, den Verkehr auf der Transportschicht zu kontrollieren. Enterasys CoreFlow2-Technologie bietet IT Administratoren mehr Einblick in kritische Betriebsapplikationen. Sie können diese Anwendungen genauer kontrollieren, um die Dienstgüte zu erreichen, die das Geschäft erfordert. Zu den neuartigen Anwendungen, die CoreFlow2 auf vielen Bereichen ermöglicht, gehören: SAN: Zugangskontrolle für iscsi-ziele mit Granularität für den Initiator und Kontrolle der Bandbreitennutzung für jedes iscsi-ziel IP Voice & Video: QoS und Zugangskontrolle für RTP (Real-Time Transport Protocol)-Mediastreams und Kontrolldaten Cloud: rollenbasierte Zugangskontrolle für Cloud Dienste wie salesforce.com Bandbreitenüberwachung für bestimmte Seiten wie youtube.com 178

179 In einer kommenden Version wird Enterasys NetSight die nativen, rohen NetFlow- Aufzeichnungen der mit CoreFlow2 gesteuerten Geräte aggregieren, um die Applikationsebene im gesamten Netz durchschaubar zu machen. Ausgewählte Enterasys-Produkte werden auch im ganzen Netz verteilte Sonden unterstützen, welche die Antwortzeit von Anwendungen messen. So können IT-Administratoren das Anwendungsverhalten im Netz besser überwachen. Sie können so die vereinbarten SLAs (Service Level Agreements) einhalten, die Verfügbarkeit der Applikationen erhöhen und Fehler schneller finden und beheben. Zusammenfassung Data-Center-LANs entwickeln sich stetig weiter. Was gestern funktionierte, kann morgen schon antiquiert sein. Geschäftliche Anforderungen zwingen die IT, Anwendungen auf neue Weise bereitzustellen. In Edge-Computing-Modellen wandern Applikationen vom Netzwerkrand auf virtuelle Desktops im Rechenzentrum. Gleichzeitig entwickeln sich Rechenzentren zu Lieferanten von privaten, hybrid Could-Services und auch die Integration öffentlich verfügbarer Cloud-Services beginnt bereits. Daten- und Speichernetze konvergieren durch IP-SANs. Länger wird es dauern, bis sich auch FCoE durchgesetzt hat. Denn es benötigt Schlüsseltechnologien wie DCB, die noch nicht weitflächig verfügbar sind. Mit offenen Standards hat Enterasys bereits heute eine Data-Center-Fabric-Lösung im Angebot. Sie verbessert die Leistung der Anwendungen und erhöht die geschäftliche Mobilität. Denn die Implementierung von virtuellem Switching erhöht die Flexibilität in Rechenzentren und wird sich durch vermaschte Technologien in der gesamten Fabric verbreiten. Enterasys wird hierfür IEEE SPB (Shortest Path Bridging) unterstützen, das schon bald zur Verfügung stehen sollte. Kunden, die Data-Center-Fabric-Architekturen aufbauen wollen, wählen daher mit Enterasys einen zukunftssicheren Ansatz. Physikalische Designs im Data Center Zwei Grundsatzentscheidungen bestimmen heute das Design von Rechenzentren: Die Zahl der Infrastrukturebenen (2-Tier- oder 3-Tier-Architektur) Die Switching-Topologie zur Anbindung der Server: In jeder Rackreihe (End of Row) oder in jedem Rack (Top-of-Rack, ToR) 2-Tier oder 3-Tier Design? Vereinfacht gesagt, geht es dabei um die Frage, ob das Data Center einen eigenen Core- Switch inklusive Routing-Instanz bekommt oder ob es bei Aggregations- und Access- Switches für die Server bleibt. 179

180 Data Center 2-Tier Design Data Center 3-Tier Design Tier 2 vs Tier 3 Jeder der beiden Ansätze hat spezifische Vor- und Nachteile: Ein 2-Tier-Data-Center bietet meist geringere Latenzzeiten, eine kleinere Überbuchungsrate und die Komponenten lassen sich insgesamt einfacher konfigurieren. Weil weniger Geräte vorhanden sind, wird auch weniger Strom verbraucht, was sich positiv auf die Betriebskosten auswirkt. Nachteilig ist die schlechtere Skalierbarkeit, falls alle Ports der Aggregationsswitche bereits benutzt werden. Die anfangs einfache Verwaltung kann nach Erweiterungen durch neue Switches wieder komplexer werden. Die hierarchische Struktur eines 3-Tier-Data-Center-Designs ist später sehr gut erweiterbar. Die Aggregations-Uplinks lassen sich weiter konsolidieren, was, wenn später neue Paare hinzugefügt werden, den Aufwand verringert. Die gesteigerte Flexibilität durch die zusätzliche Ebene erhöht jedoch die Verzögerungszeit des Netzwerks. Zudem verbraucht die zusätzlich nötige Hardware mehr Strom und Platz im Data Center. Die Konsolidierung der Uplinks führt zu mehr Überbuchung von Ports und Bandbreite. Oft dürfte deshalb ein 2-Tier-Design die bessere Wahl sein. Das flache Netz ist wesentlich leistungsfähiger und entspricht auch den Ansprüchen zukünftiger Storage- Technologien. Ein 3-Tier-Design bietet sich eigentlich nur für sehr große oder in absehbarer Zeit sehr schnell wachsende Rechenzentren an. End-of-Row versus Top-of-Rack Die beiden Möglichkeiten zur Anbindung der Access Switches und Server, EoR und ToR, haben ebenfalls individuelle Vor- und Nachteile. Bei EoR-Installationen übernimmt ein Access Switch (Paar) die Anbindung einer ganzen Reihe von Serverracks. 180

181 End-of-Row Design Vorteile des EoR-Designs: o Server können überall platziert werden und somit Hitzestaus besser vermeiden. o Ports werden besser genutzt als bei ToR-Designs. o EoR spart Platz in Racks, bei Strom und Kühlung und verringert die Kapitalkosten. o Der Managementaufwand sinkt durch weniger Switche. o Die vorhandene Backplane senkt die Überbuchungsrate. o Chassis-Switche haben üblicherweise mehr Features und skalieren besser. o Weniger Switch Hops und bedingen geringere Latenz. Nachteile des EoR-Designs: o Mit der Länge der Rack-Reihe steigt die Komplexität der Verkabelung. Im Gegensatz dazu steht das Top-of-Rack (ToR) Design. Es sieht einen Switch (oder zwei physikalische Switche, die logisch zu einem virtuellen Switch zusammengefasst sind) pro Rack vor. Dieser Switch konsolidiert die Verkabelung auf Rack-Ebene vor den Aggregationsswitchen und erleichtert somit die Kabelführung jedoch auf Kosten längerer Verzögerungszeiten. Zudem bleiben häufig Ports ungenutzt. 181

182 Top-of-Rack Design Vorteile des ToR-Designs: o Vereinfachte Implementierung von Komponenten im Rack. o Verkabelung ist vermeintlich einfacher und billiger. Nachteile des ToR-Designs: o Wechselt die Zahl der Server im Rack, wechselt auch die Zahl der aktiven Switchports, das Sachkapital (Switches) wird nicht ausgenutzt. o Die Zahl ungenutzter Ports ist höher als beim EoR-Szenario. o Strom- und Kühlungsanforderungen sind höher als beim EoR-Szenario. o Bei einem Technologieupdate wird immer ein 1-RU (Rack Unit)-ToR-Switch ausgetauscht. o ToR verschlechtert tendenziell die Skalierbarkeit, insbesondere durch Überbuchung der Uplinks und zusätzliche Switch-Hops, welche die Latenz erhöhen. Überbuchung im Design Die Überbuchung der vorhandenen Ressourcen ist im Access-Bereich üblich und bewährt. Allerdings unterliegt dieser Ansatz im Rechenzentrum vollkommen anderen Voraussetzungen. Virtualisierungslösungen stellen dieses Prinzip in den Mittelpunkt, damit die vorhandene Hardware möglichst vollständig ausgelastet wird. Dies führt allerdings unweigerlich dazu, dass die Server verglichen mit traditionellen Infrastrukturen nun wesentlich mehr Daten über jede Schnittstelle übertragen. Um trotzdem den Anforderungen gerecht zu werden, muss das Rechenzentrums-Netzwerk das kompensieren und zudem die Dynamik einer sich ständig wandelnden Infrastruktur mit wandernden Servern tragen können. 182

183 Client Application - Database Prinzipiell gibt es drei Funktionsebenen im Data Center: Präsentations-/Web-Server, Anwendungsserver und Datenbankserver. Jede dieser Ebenen hat seine eigenen Verkehrsmuster, verlangt eine andere Übertragungsqualität und stellt spezielle Sicherheitsanforderungen. An sich liegt darin keine ungewöhnliche Anforderung. Neu ist jedoch der Umgang mit den durch Virtualisierung mobilisierten Servern. Zwar kann man Ressourcen nach wie vor manuell statisch zuordnen, das verspielt allerdings den größten Vorteil der Servervirtualisierung und verschlechtert daher erheblich deren Rentabilität. Deshalb sollte man schon bei der Planung eine möglichst geringe Überbuchungsrate auf Down- und Upstream-Links vorsehen und auch den möglichen Ausfall von Links berücksichtigen. Komplexer wird die Lage durch die Konsolidierung von Daten- und Speichernetz in einer Infrastruktur. Speichernetze erzeugen auf dem Netz sehr viel Last. Sie brauchen spezielle Zeitfenster, in denen die Daten zugestellt werden. Die Parallelisierung von Datenströmen in solchen Netzen führt zu sogenannten Bursts, die besonders bei zu großer Überbuchungsrate problematisch sind. Dabei werden große Datenmengen von verschiedenen Stellen im Netz aus versandt und müssen teils gleichzeitig am Ziel ankommen. Um den Puffer am Switch nicht zu überlasten (das bezeichnet man als Incast Problem ), sollte neben geringen Überbuchungsraten auch darauf geachtet werden, dass die eingesetzten Switche genug Speicherkapazität haben und das Netzwerk solche Bursts abfangen kann. Wenn nicht, können durchaus ganze Transaktionen verloren gehen und die Leistung des Netzes kann dramatisch einbrechen. 183

184 Logische Designs im Data Center Ist die richtige Hardware gefunden, fehlt noch ein übergreifendes logisches Design. Auch hier gibt es bereits mehrere Technologievarianten. Weitere kommen bald auf den Markt oder sind in der Entwicklung. Wie bei der Hardware ist es sinnvoll, die Bereiche Core und Edge/Access zu unterscheiden. Protokolldesign der Server-Edge/Access-Switches Im Außenbereich des Netzes (Edge) sind maßgeblich zwei komplementär wirkende Technologien im Einsatz MSTP und VSB. RSTP und MSTP MSTP (IEEE 802.1s) ist eine Weiterentwicklung des aus dem Ethernet-Bereich bekannten RSTP (RSTP IEEE 802.1w). Neben einer schnellen Umschaltzeit bietet MSTP den Vorteil, die Last effektiv über mehrere Spanning-Tree-Instanzen für einzelne VLAN- Gruppen zu verteilen. Obwohl MSTP schon etwas länger verfügbar ist, belegen Tests akzeptable Umschaltzeiten von durchschnittlich 0,4 Sekunden. Damit eignet sich MSTP als standardisiertes Protokoll auch heute noch für die Vernetzung im Data Center. Virtual Switch Bonding Bei der direkten Serveranbindung verwendet man mit VSB eine aktuellere Technologie, Hierbei werden mehrere physikalische Switche zu einer logischen Einheit zusammengefasst, die als separater Netzwerkknoten konfiguriert wird. Wichtige Vorteile sind erhöhte Redundanz und die Möglichkeit, Link Aggregation Groups (LAG IEEE 802.3ad) über mehrere physikalische Switches aufzubauen. Gleichzeitig behält Enterasys VSB bekannte und bewährte Funktionen bei. Beides wird 184

185 auf den Switches der S-Serie mit der CoreFlow2 Technologie gemeinsam angeboten. Zu den Funktionen gehören: Automatische Link-Aggregation über mehrere, physikalische Switches. Vermaschte L2- Anbindung an die Aggregations-/Core Switches im Netzwerk. Unterbrechungsfreier Transport von Applikationsdaten. Automatisch zugewiesene Host-spezifische Netz-/Sicherheitsprofile für jeden virtuellen Host (pro Port bei Einsatz von CoreFlow2-Produkten). Unterstützt bei Einsatz von CoreFlow2-Produkten Tausende virtueller Hosts pro System. Protokolldesign der Core-Switches Die Protokollauswahl für den Core-Bereich sollte sich an den heute üblichen und zukünftigen Standards orientieren. Dabei ist es sinnvoll, schon heute einen späteren Wechsel zu neuen Protokollarchitekturen zu bedenken, so dass dabei kein teures komplettes Redesign nötig wird. Data-Center-Core-Design heute Im Kernbereich des Rechenzentrumsnetzes werden heute oft analog zum Edge-Bereich MSTP und RSTP eingesetzt. Die Reife der Protokolle und das existierende Know-how der Administratoren spielen bei dieser Entscheidung eine wichtige Rolle. Wichtig ist auch die Kompatibilität der Standards mit den existierenden, nicht selten heterogenen Produkten. Standardbasierende Lösungen senken die Betriebskosten (OpEx, Operational Expenses). 185

186 Sie liegen, beispielsweise durch geringeren Traniningsaufwand, meist wesentlich niedriger als bei proprietären Lösungen. Besonders wenn Rechenzentren schnell wachsen oder lange Redesign-Zyklen haben, sollte man auf standardbasierte Lösungen und Protokolle achten, damit man auch zukünftig frei und flexibel Hardware auswählen kann. Das Core-Design des Data Center der Zukunft Heute stehen einige neue Standards vor der Verabschiedung, welche die Vermaschung und Konvergenz von Storage- und Datennetzen optimieren. Technologien wie FCoE (Fibre-Channel over Ethernet) müssen in großräumigen Layer-2-Netzen besonders geringe Latenz aufweisen. Die Netze müssen außerdem flexibel skalierbar, blockierungsfrei und sehr leistungsstark sein, da die Kommunikation jedes Netzelements mit jedem anderen höchste Ansprüche stellt. Next-Generation-Netzwerke müssen daher eine Aktiv-Aktiv-Konfiguration mit folgenden Eigenschaften unterstützen: Eingrenzung von Fehlern, damit nur direkt betroffener Traffic bei der Wiederherstellung verzögert wird Schnelle Wiederherstellung von Unicast-, Broadcast- und Multicast- Kommunikation. Ausnutzung der kompletten physikalischen Infrastruktur ohne Bandbreitenverluste. Verzögerung und Hops zwischen Servern werden minimiert. Schnelles Umschalten bei Verbindungsabbrüchen. Enterasys-Switches bewältigen diese Aufgaben mit SPB und DCB (Data Center Bridging). Segmentierung von Load-Sharing im Layer-3-Core Gerade größere Campusnetze sollten sich in verschiedene Bereiche, etwa Abteilungen, Kunden oder Unternehmen, aufteilen lassen. Für Layer-3-Redundanz verwendet man meist die Protokolle OSPF (Open Shortest Path First)-ECMP (Equal-cost Multi-path Routing) oder VRRP (Virtual Router Redundancy Protocol). VRRP hat besonders im Data Center den Nachteil, dass bestehende Links für einen eventuellen Ausfall reserviert werden und nicht aktiv an der Datenübertragung teilnehmen. OSPF-ECMP hingegen bietet ebenfalls Redundanz für den Datenpfad, erlaubt aber auch die gleichzeitige aktive Nutzung aller Verbindungen, um die Last zu verteilen. Um das Rechenzentrums-Netz zu segmentieren, wird überraschend häufig auf MPLS (Multi-Protocol Label Switching) verwiesen, obwohl diese Konfiguration für ein Rechenzentrum sehr schnell zu komplex werden kann. Stattdessen kann man VRF 186

187 (Virtual Routing and Forwarding) verwenden, um mehrere getrennte Routing-Domänen zu schaffen. Das vereinfacht eine Installation besonders im Non-Provider-Bereich erheblich. VRF ermöglicht die Konfiguration mehrerer virtueller Routing-Instanzen innerhalb eines physischen Routers. Wie bei einer Implementierung mit MPLS entstehen dabei dedizierte Segmente für kritische Applikationen und Netzbereiche, die Konfiguration ist aber erheblich einfacher. Virtuelle Welten Welches Netzwerkdesign wird einem Data Center im ständigen Wandel gerecht? Enterasys bietet Lösungen für zwei Szenarien: Server- und Desktop-Virtualisierung. Servervirtualisierung Anhand virtueller Server lässt sich die Vielseitigkeit von NAC (Network Access Control)- Integrationen zeigen. Immer mehr Netzwerke beherbergen Cluster und virtuelle Server, weil die dynamische Umverteilung der Software auf die Hardware optimale Auslastung und Flexibilität garantiert. Doch sind die Netzwerke meist nicht flexibel genug und Konfigurationen (z.b. Priorisierung von Daten) müssen manuell angepasst werden. Falls virtuelle Systeme automatisch umziehen etwa bei einem Hardwareausfall kompliziert das die Situation. Damit auch das Netzwerk bei Drag-and-Drop-Migrationen mithalten kann, lokalisiert NAC die Server und vereinfacht es so, Rekonfigurationen im Netzwerk zu automatisieren. 187

188 Weitere technische und organisatorische Probleme gibt es in Umgebungen mit virtuellen Switches. So lassen sich die Zuständigkeitsbereiche von System- und Netzwerkadministratoren schwer voneinander abgrenzen. Aktuelle Virtualisierungssoftware kann mittlerweile einen kompletten Switch auf einem Host abbilden (oder gar auf mehreren Hosts als Distributed Virtual Switch). Dazu gehören wichtige Einstellungen für die Datacenter-Plattform und das Unternehmensnetzwerk. So muss der Administrator VLANs erstellen, routen, protokollieren und analysieren, um so für sichere Kommunikation zwischen virtuellen Maschinen zu sorgen. Enterasys behebt mit NetSight Data Center Manager diese Probleme. Dieses offene Framework synchronisiert Informationen zwischen NAC und Virtualisierungssoftware. Die aktuelle Version unterstützt VMWare vsphere, Citrix XenCenter und Microsoft Hyper-V.Im einfachsten Fall werden dadurch Detailinformationen zu einer virtuellen Maschine in der Endsystemübersicht des NAC Managers (Name der VM, UUID,...etc.) oder NAC/Location- Daten innerhalb der Virtualisierungssoftware angezeigt. Dies erleichtert die IdentiFikation virtueller Maschinen im Netz und hilft dabei, Fehler schnell zu lokalisieren. Darüber hinaus lassen sich beide Seiten Switchports und virtuelle Maschinen - automatisch konfigurieren. So erlaubt der Datacenter Manager den Aufbau von NAC- Endsystemgruppen als (Distributed) Virtual-Switch-Portgroups, Dabei können auch erweiterte Parameter wie VLAN-IDs oder Port Modes (isolated, community, promiscious) eingestellt werden. Die Information darüber, welche VM an eine bestimmte Portgroup angeschlossen ist, dient zur Zuordnung der VMs zu einer NAC-Endsystemgruppe. Dabei kann das System so eingestellt werden, dass der Administrator solche Zuordnungen bestätigen muss, bevor sie wirksam werden, um unabsichtliche Fehlkonfigurationen zu vermeiden. 188

189 So lassen sich die genannten Probleme elegant lösen. Der Netzwerkadministrator erstellt innerhalb des NAC Managers die Regeln und Gruppen für VMs, wählt die VLANs aus und bestimmt, oder ob der Datenverkehr zwischen den Hosts zunächst über einen physikalischen Switch fließt (z.b. um Flowdaten zu analysieren). Der Systemadministrator schließt seine VM lediglich an eine bereits vorkonfigurierte Portgroup an und muss sich nicht mehr um die Konfiguration des Unternehmensnetzwerks kümmern. Beide Seiten sehen innerhalb ihrer Tools ständig, welche virtuelle Maschine an welchem physikalischen Switch angeschlossen ist und welche Zugangspolicy ihr zugewiesen wurde. Auch die bewährten NAC-Mechanismen für die Prüfung und Reparatur virtueller Maschinen stehen weiter zur Verfügung. Obwohl NAC eigentlich Endsysteme kontrolliert und nicht Server, kann diese Funktionalität hier dennoch sinnvoll sein, um eine adaptive Netzwerkumgebung in virtualisierten RZ- Bereichen bereitzustellen. Desktop Virtualisierung Auf den ersten Blick unterscheiden sich virtuelle Server und Desktops kaum. Groß sind ihre Differenzen allerdings hinsichtlich der Sicherheit beim Netzwerkzugang. Mittlerweile haben wir uns daran gewöhnt, dass Desktop-Systeme sich im Netzwerk authentisieren und sogar unterschiedliche Zugriffsprofile erhalten. Im Access-Bereich ist das relativ einfach, da Clients in der Regel an genau einen physikalischen Port angeschlossen werden und somit eindeutig klar ist, wie die Client-Daten durchs Netzwerk fließen. 189

190 Bei der Desktop-Virtualisierung greifen jedoch Thin Clients aufs Netz zu. Dazu gehören auch Tablet PCs oder gar Telefone. Die meisten Client-Datenpfade werden auf einige wenige Serverports konsolidiert. Doch es ist extrem schwierig, dort zu unterscheiden, welche Pakete von welchem Benutzer stammen. Traditionelle Verfahren wie NAC sind hier unmodifiziert nicht ohne Weiteres einsetzbar umso weniger, je dynamischer sich die Virtual-Desktop-Umgebung verhält. Das Ziel von Virtual-Desktop-Implementierungen ist meist die spontane, automatische Provisionierung von Client-Desktops. Dabei wird der virtuelle Desktop bei Verbindungsaufbau aus einer Vorlage erzeugt. Differenzierte Zugangsprofile sind im Rechenzentrum noch wichtiger als im Access-Bereich, da Clients hier direkt im Herzen des Netzwerks agieren. Sicherheitsverletzungen sind hier sehr riskant. Enterasys Data Center Manager eignet sich für den Einsatz mit den die wichtigsten Desktop-Virtualisierungslösungen am Markt. DCM erkennt die Zuordnung zwischen Virtual Desktop und entfernten Benutzern und kommuniziert sie an Enterasys-NAC. Dank der bei der Enterasys S-Serie realisierten Multiuser Authentication erkennt NAC die einzelnen Flows im Rechenzentrum leicht und ordnet ihnen entsprechend passende Zugangsprofile zu. Enterasys DCM Virtual Desktop Integration im Überblick: Clients verbinden sich durch sichere, verschlüsselte Tunnel mit dem Virtual Desktop im Data Center. Alle Benutzer haben in der Regel vom Virtual Desktop aus vollen Zugriff auf das Rechenzentrumsnetz. Die Netzwerkinfrastruktur kann den Zugriff automatisch nutzer- und desktopspezifisch einschränken. Dazu gehört auch, das Verhalten von Benutzern und Virtual Desktops in der Data Center Infrastruktur für Reports und Troubleshooting zu beobachten. 190

191 Die Zuordnung von Benutzern zu VDs (Virtual Desktops) ist am Citrix XDDC (Desktp Delivery Controller) verfügbar. Vmware VMView 4.5 unterstützt mit PCoIP (PC over IP) User Authentisierung. Im Rechenzentrum wird dazu 802.1x verwendet. Enterasys DCM ermittelt VM-Daten und-informationen über Remote User und stellt sie dem Enterasys-NAC zur Verfügung Enterasys NAC und die Multiuser Authentication der S-Serie IdentiFizieren Flows von Tausenden Benutzern und weisen einzelnen physikalischen Ports individuelle Sicherheitsprofile zu 191

192 Enterasys S-Serie Enterasys Networks Solution Guide 2013/2014 Die S-Serie ist die Highend-Produktlinie. Sie vereinigt die Funktionen Switching, Routing und Security und eignet sich für den Einsatz auf allen Ebenen des LANs, ob Datacenter, Core oder Access. Die Serie umfasst drei Standalone-Systeme und fünf Chassis-Typen mit 1,3,4,6 und 8 Slots. Die Geräte haben eine verteilte Architektur bei einer Backplane-Kapazität von über 6 Terabit/s. Ihr Durchsatz beträgt 80/160/320 Gbit/s pro Slot. Damit ist die S-Serie hochskalierbar und daher eine zukunftssichere Investition. Die externe Kommunikation läuft heute über 10/40-Gigabit-Ethernet, in Zukunft wird auch 100-Gigabit-Ethernet unterstützt. Alle Systeme der S-Serie auf einen Blick: SSA 130 SSA150 SSA180 S1 S3 S4 S6 S8 Chassis-Slots Switching-Kapazität Gesamtsystem (Gbps) Switching-Durchsatz Gesamtsystem (Mpps) Gesamte Backplane-Kapazität (Gbps) /100/1000BASE-TX Class 3 PoE Ports pro System (maximal) (no PoE) BASE-X SFP (MGBIC) Ports Pro System (maximal) 10GBASE-X SFP+ Ports pro System (maximal) Die S-Serie ist eine Weiterentwicklung der N-Serie. Neben den mit identischer Software realisierten Funktionen der N-Serie stehen weitere Funktionen wie MPLS, Ipv6 und Applikationsklassifizierung in Hardware. Die aktuelle Generation der S-Module stellt in einem S8-Chassis eine Gesamtkapazität von 2,56 Tbps und 1920 Mpps zur Verfügung. Damit lassen sich bis zu 576 Gigabit-Ethernet- oder Gigabit-Ethernets-Ports via SFP+ realisieren. Weitere Portdichtenerhöhungen werden folgen. Alle 10/100/

193 Module unterstützen High Power PoE+ (IEEE 802.3at), dafür benötigt man aber entsprechende zusätzliche Stromversorgungen. SSA S1 S3 S4 S6 S8 Architektur Mit den Chassis der Enterasys-S-Serie lassen sich (Switch-)Fabric-basierte und Fabriclose Architekturen realisieren. Die S4- und S8-Chassis sind für den Fabric-basierten Aufbau geeignet. Sie vernetzen Ein-/Ausgabemodule und die Fabric-Komponenten durch mehrere Hochgeschwindigkeitsverbindungen. Das Chassismodell S3 ermöglicht keine Fabric-Architekturen und ist für den Access-Bereich optimiert. Um eine Fabric zu realisieren, braucht man in einem S4- oder S8-Chassis mindestens ein I/O-Fabric-Modul. Für den vollen Systemdurchsatz sind jedoch zwei I/O-Fabric-Module nötig, die sich die Verkehrslast teilen. Damit werden dann Switching mit bis zu 2560 Gbps und 193

194 Hochverfügbarkeitsfunktionen realisiert. Im S6- und S8-Chassis ist zur Steigerung der Gesamtverfügbarkeit und für mehr Redundanz sogar der Einsatz einer dritten I/O Fabric möglich. Die I/O-Mocule der Enterasys S-Serie sind hochleistungsfähige, voll ausgestattete Switches im einem verteilten Switchsystem mit Management- und Routing Funktionen. Letztere werden vom jeweiligen On-Board-Prozessorsystem übernommen. Die Prozessoren bilden zusammen mit den flowbasierten ntera ASICs ein sehr flexibles, skalierbares und hochleistungsfähiges Gesamtsystem mit wesentlich höherer Prozessorleistung als vergleichbare Systeme. I/O-Fabric und I/O-Module gibt es mit vielfältigen Schnittstellen und Portdichten, um alle möglichen Netzwerkdesigns optimal abzubilden - von 10/100/1000BASE-TX, 1000BASE-X SFP, bis zu 10G BASE-X SFP+. Die SFP+-Ports können auch SFPs aufnehmen, die SFP-Ports auch 100FX-SFPs. Alle Triple-Speed-I/O-Kupfermodule unterstützen PoE. Viele Ein-/Ausgabemodules haben ein oder zwei Optionsmodule. Sie erhöhen die Konfigurationsflexibilität im Bereich Media und Portdichte, was Designs vereinfacht und kostengünstiger macht. Enterasys CoreFlow2 Die CoreFlow2-Technologie von Enterasys liefert Schlüsselfunktionen für die Flusssteuerung von Applikationsdaten und für die Datenzugriffskontrolle. Die auf ASICs basierende Technologie wurde über die letzten 15 Jahre stetig weiterentwickelt. Das patentierte ASIC-Design kann bis zu 64 Millionen Flows pro System verarbeiten. Der flexibel programmierbare ASIC arbeitet in Leitungsgeschwindigkeit. Er klassifiziert die Datenströme auf den Netzwerkschichten 2 bis 7, macht sie fürs Management sichtbar und kontrolliert den Applikationsfluss. Derzeit definieren statische NMS-Policies die Datenflusssteuerung zwischen Layer 2 und Layer 4. Wie sich ein Netzwerk mit Enterasys- Policies klassisch weiterentwickeln könnte, zeigt die Grafik unten. Setzt man NAC (Network Access Control) und Policies gemeinsam ein, lassen sich in einem LAN Endsystemen und Servern anhand ihrer IdentiFikation (802.1x, MAC etc.) dynamisch Kommunikationsregeln zuordnen und durchsetzen. 194

195 Mögliche Anwendungsszenarien für die von CoreFlow2 gebotenen Policies (Beispiele): iscsi o Zugriffskontrolle nur für iscsi-initiatoren o Überwachung der Netzwerkbandbreite pro iscsi-target RTP o Spezifizierte Zugriffssteuerung anhand von Audio und Video Codec Zukünftige Features auf Basis von http (Hypertext Transport Protocol) o Zugriffskontrolle für Cloud-Services wie z.b. o Bandbreitenüberwachung bei Cloud-Services Der flexibel programmierbare CoreFlow2-ASIC steckt in den Data-Center-, Distributionund Core-Router-Fabric-Einschüben der Geräte der S-Serie. Er erkennt nicht nur die Datenströme der Anwendungen. Zukünftige Funktionen und Standards lassen sich als Software-Upgrade auf dem Switch einspielen. Es folgt eine unvollständige Liste derjenigen neuen Standards, die Enterasys so in Zukunft unterstützen will: Access/Edge I/O-Module Diese Module sind für den Einsatz im Zugangsbereich der Anwender und in der Peripherie optimiert. Durch die Flex-Edge-Technologie der Access/Edge-I/O-Module können bandbreitenhungrige Workstations selektiv auf nicht überbuchte Datendienste zugreifen. Auch sensitive Daten lassen sich so stets sicher übertragen. Die I/O-Module unterstützen bei der Authentifizierung und Policy-Zuweisung bis zu 512 Nutzer pro Modul und 8 authentifizierte Nutzer pro Port. Bei den Modulen für den Core/Distribution- Bereich sind es bis zu User/Devices pro Modul, Restriktion pro Port gibt es hier nicht. Muss ein Access Modul mehr Nutzer versorgen, ist es mit der Upgrade-Lizenz (S- EOS-PPC) auf die gleichen Limits wie die Core/Distribution Module erweiterbar. Alle Triple-Speed-I/O-Module der S-Serie unterstützen PoE als Standard. Dafür sind zusätzlich nur entsprechende PoE-Stromversorgungen ins Chassis einzubauen. Die Access Module haben begrenzte Routing-Funktionen und unterstützen nicht *BGPv4, *IS-IS für IPv4 & IPv6, *VRF, NAT, LSNAT und TWCB. Ein Upgrade auf VRF mittels einer Advanced-Routing- Lizenz (S-EOS-L3-ACCESS) ist möglich.. Distribution-, Core- und Data-Center-I/O-Module Zu den I/O-Modulen der S-Serie gehören Distribution-, Core- und Data-Center-I/O Module für Netzwerkcore und Rechenzentrum, also die Bereiche mit höchsten Anforderungen, wo ständig hohe Datenraten zu bewältigen sind. Gigabit- und 10-Gigabit-Ethernet- Module sorgen für höchstmögliche Netzwerkleistung. Sie verarbeiten und leiten die 195

196 Datenströme mit Leitungsgeschwindigkeit weiter, bieten erweiterte Verkehrsmanagementfunktionen und extrem große Paketpuffer. Dazu kommt höchste Flexibilität hinsichtlich der Anschlussmedien und Upgrade-Möglichkeiten für weitere Core-Routingprotokolle High Availability Upgrade (HAU) Die HAU (High Availability Firmware Upgrade)-Funktion der S-Serie bietet ein Firmware- Update der Chassis der S-Serie oder S-Serie VSB über einen Rolling-Update- Mechanismus. Anders als beim Standard-Update, bei dem gleichzeitig alle Softwaremodule eines Chassis-Systems neu gestartet und dabei die neue Software geladen wird, läuft der Prozess hier schrittweise ab: Die Module booten nacheinander vom Chassis vordefinierte Gruppen neu, die neue Software wird so nach und nach geladen. Das hat den Vorteil, dass nicht automatisch alle Datenverbindungen deaktiviert und alle am Chassis aktivierten Services unterbrochen werden. Vielmehr bearbeitet ein Großteil des Chassis weiterhin ohne Einschränkungen aktiv Netzwerkdaten. Unterbrechungen gibt es nur bei Chassis-Elementen, die gerade neu gestartet werden und dabei eine neue Software laden. High Availability Firmware Upgrade In der gelieferten Grundkonfiguration gibt es für jeden Systemslot der S-Serie eine separate Gruppe. Beim Update eines S4-Chassis mit maximal vier Modulen, die sequenziell neu gestartet werden, sind also höchstens ebenso viele Modul-Neustarts nötig, um die gesamte neue Software zu aktivieren. 196

197 Der Administrator kann die vordefinierten Gruppen der einzelnen Slots manuell neu ordnen, um die Update-Sequenz zu beschleunigen. So lassen sich zwei oder, in einem VSB-System, alle Systemslots eines Chassis in einer Gruppe zusammenfassen. Das Neustarten der Gruppen - also der Slots lässt sich zusätzlich um einen vordefinierten Zeitraum verzögern, so dass der Administrator die neu gestarteten Systemkomponenten kontrollieren und das Update, wenn nötig, auch manuell stoppen kann. Hierzu muss man nur den Update-Delay verändern. Der High-Availability-Update-Prozess eignet sich auch für Downgrades, so dass Geräte flexibel um Funktionen erweitert oder abgespeckt werden können. Die Software erkennt automatisch, ob ein HAU-Update von Version A nach Version A.xx möglich ist. Die HAU-Funktion steht im Moment nur für Minor Release Changes und Release Patches, nicht für Major Release Changes verfügbar. Das ändert sich allerdings mit den kommenden Softwareversionen. VSB System High Availability Firmware Upgrade 197

198 I/O Module Spezifizierung Part Number Used in S130 Class Modules Enterasys Networks Solution Guide 2013/2014 S140 I/O Modules Wiring Closet, Distribution Layer, Small Network Core Distribution Layer, Server Aggregation, Data Center Core, Enterprise ST SG ST SG2201- SK2008- SK S3/S4/S6/S8 Chassis S3/S4/S6/S8 Chassis S3/S4/S6/S8 Chassis S3/S4/S6/S8 Chassis S3/S4/S6/S8 Chassis S3/S4/S6/S8 Chassis Port Type RJ45 SFP RJ45 SFP SFP+ 10GBase-T Port Quantity Port Speed 10/100/ Mbps 10/100/ Mbps 10 Gbps 10 Gbps Mbps Mbps PoE 802.3af, af, Support 802.3at 802.3at Option Module Slots 1, (Type1) 1, (Type1) 2, (Type 2) 2, (Type 2) - - Module I/O Throughput 30 Mpps 30 Mpps 120 Mpps 120 Mpps 120 Mpps 120 Mpps I/O Switching Capacity 40 Gbps 40 Gbps 160 Gbps 160 Gbps 160 Gbps 160 Gbps Part Number Used in S180 I/O Modules Distribution Layer, Server Aggregation, Data Center Core, Enterprise SK8008- SK SL S4/S6/S8 Chassis S4/S6/S8 Chassis S4/S6/S8 Chassis Port Type SFP+ 10GBase-T QFSP+ Port Quantity Port Speed 10 Gbps 10 Gbps 40 Gbps PoE Support Option Module Slots Module I/O Throughput Mpps 240 Mpps 240 Mpps I/O Switching Capacity 320 Gbps 320 Gbps 320 Gbps 198

199 S130 Class Fabric Modules Wiring Closet, Distribution Layer, Small Network Core Part Number ST F6 ST F8 Used in S1/S4/S6/S8 Chassis Enterasys Networks Solution Guide 2013/2014 S1/S4/S6/S8 Chassis SG F8 S1/S4/S6/S8 Chassis SK F8 S1/S4/S6/S8 Chassis SK F8 S1/S4/S6/S8 Chassis SL F8 S1/S4/S6/S8 Chassis Port Type RJ45 RJ45 SFP SFP+ 10GBase-T QSFP+ Port Quantity Port Speed 10/100/1000 Mbps 10/100/1000 Mbps 1000 Mbps 10 Gbps 10 Gbps 40 Gbps PoE Support Option Module Slots Module I/O Throughput I/O Switching Capacity Fabric Throughput (Single) 802.3af, 802.3at 802.3af, 802.3at , (Type 2) 2, (Type 2) 2, (Type 2) Mpps 120 Mpps 120 Mpps 240 Mpps 240 Mpps 240 Mpps 60 Gbps 160 Gbps 160 Gbps 320 Gbps 320 Gbps 320 Gbps 480 Mpps 960 Mpps 960 Mpps 960 Mpps 960 Mpps 960 Mpps 199

200 Features, Standards, Protokolle Enterasys Networks Solution Guide 2013/2014 Switching/VLAN Services Generic VLAN Registration Protocol (GVRP) 802.3u Fast Ethernet 802.3ab Gigabit Ethernet (copper) 802.3z Gigabit Ethernet (fiber) 802.3ae 10 Gigabit Ethernet (fiber) 802.1aq (SPB) Shortest Path Bridging (Ready) 802.3an 10GBASE-T (copper) 802.1Q VLANs 802.1D MAC Bridges Provider Bridges (IEEE 802.1ad) Ready 802.1w Rapid re-convergence of Spanning Tree 802.1s Multiple Spanning Tree 802.1t Path Cost Amendment to 802.1D 802.1AX-2008 / 802.3ad Link Aggregation - up to 64 groups with up to 8 ports in a group 802.3ae Gigabit Ethernet 802.3x Flow Control IP Routing Features Static Routes Standard ACLs OSPF with Multipath Support OSPF Passive Interfaces IPv6 Routing Protocol Extended ACLs Policy-based Routing NAT Network Address Translation TWCB Transparent Web Cache Redirect VRF Virtual Routing and Forwarding (IPv6 and IPv4) Border Gateway Routing Protocol - BGPv4 PIM Source Specific Multicast - PIM SSM RFC 792 ICMP RFC 826 ARP RFC 1027 Proxy ARP RFC 1112 IGMP RFC 1195 Use of OSI IS-IS for Routing in TCP/IP RFC 1265 BGP Protocol Analysis RFC 1266 Experience with the BGP Protocol RFC 1519 CIDR DHCP Server RFC 1541/ Relay RFC 2131 RFC 1583/RFC 2328 OSPFv2 RFC 1587 OSPFv2 NSSA RFC 1657 Managed Objects for BGP-4 using SMIv2 RFC 1723 RIPv2 with Equal Cost Multipath Load Balancing RFC 1745 OSPF Interactions RFC 1746 OSPF Interactions RFC 1765 OSPF Database Overflow RFC 1771 A Border Gateway Protocol 4 (BGP-4) RFC 1772 Application of BGP in the Internet RFC 1773 Experience with the BGP-4 protocol RFC 1774 BGP-4 Protocol Analysis IP Multicast (IGMPv1,v2,v 3) IGMP v1/v2/v3 Snooping and Querier Jumbo Packet with MTU Discovery Support for Gigabit (9216 bytes) Link Flap Detection Dynamic Egress (Automated VLAN Port Configuration) 802 1ab LLDP-MED Data Center Bridging Qaz ETS (Enhanced Transmission Selection) DCBx (Data Center Bridge Exchange Protocol) Qbb PFC (Priority Flow Control) Qau Congestion Notification Clause 57 (Ethernet OAM Link Layer OAM) MLD IPv6 Snooping and Querier Virtual Switch Bonding (VSB) RFC 1812 General Routing/RIP Requirements RFC 1853 IP in IP Tunneling RFC 1886 DNS Extensions to support IP version 6 RFC 1924 A Compact Representation of IPv6 Addresses RFC 1930 Guidelines for creation, selection, and registration of an Autonomous System (AS) RFC 1966 BGP Route Reflection RFC 1981 Path MTU Discovery for IPv6 RFC 1997 BGP Communities Attribute RFC 1998 BGP Community Attribute in Multi-home Routing RFC 2003 IP Encapsulation within IP RFC 2080 RIPng (IPv6 extensions) RFC 2082 RIP-II MD5 Authentication RFC 2113 IP Router Alert Option RFC 2154 OSPF with Digital Signatures (Password & MD5) RFC 2236 IGMPv2 DVMRP v3-10 RFC 2260 Support for Multi-homed Multi-prov RFC 2270 Dedicated AS for Sites Homed to one Provider RFC 2361 Protocol Independent Multicast - Sparse Mode RFC2373 RFC 2373 Address notation compression RFC2374 IPv6 Aggregatable Global Unicast Address Format RFC2375 IPv6 Multicast Address Assignments RFC 2385 BGP TCP MD5 Signature Option RFC 2391 Load Sharing Using Network Address Translation(LSNAT) 200

201 RFC2401 Security Architecture for the Internet Protocol RFC2404 The Use of HMAC-SHA-1-96 within ESP and AH RFC2406 IP Encapsulating Security Payload (ESP) RFC2407 Internet IP Security Domain of Interpretation for ISAKMP RFC2408 Internet Security Association and Key Management Proto-col (ISAKMP) RFC 2409 The Internet Key Exchange (IKE) RFC 2439 BGP Route Flap Damping RFC 2450 Proposed TLA and NLA Assignment Rule RFC 2453 RIPv2 RFC 2460 IPv6 Specification RFC 2461 Neighbor Discovery for IPv6 RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 over Ethernet RFC 2473 Generic Packet Tunneling in IPv6 Specification RFC 2474 Definition of DS Field in the IPv4/v6 Headers RFC 2519 A Framework for Inter-Domain Route Aggregation RFC 2545 BGP Multiprotocol Extensions for IPv6 RFC 2547 BGP/MPLS VPNs (ab FW 8.21) RFC 2553 BasiCSocket Interface Extensions for IPv6 RFC 2577 FTP Security Considerations RFC 2581 TCP Congestion Control RFC 2597 Assured Forwarding PHB Group RFC 2685 Virtual Private Networks IdentiFier RFC 2710 IPv6 Router Alert Option RFC 2711 Multicast Listener Discovery (MLD) for IPv6 RFC 2715 Interoperability Rules for Multicast Routing Protocols RFC 2740 OSPF for IPv6 RFC 3562 Key Mgt Considerations for TCP MD5 Signature Opt RFC 3567 IS-IS Cryptographic Authentication RFC 3587 IPv6 Global Unicast Address Format RFC 3590 RFC 3590 MLD Multicast Listener Discovery RFC 3595 Textual Conventions for IPv6 Flow Label RFC3596 DNS Extensions to Support IP Version 6 RFC 3719 Recommendations for Interop Networks using IS-IS RFC 3768 VRRP RFC 3769 Requirements for IPv6 Prefix Delegation RFC 3787 Recommendations for Interop IS-IS IP Networks RFC 3810 MLDv2 for IPv6 RFC 3847 Restart signaling for IS-IS RFC 3879 Deprecating Site Local Addresses RFC 3956 Embedding the RP Address in IPv6 MCAST Address RFC 4007 IPv6 Scoped Address Architecture RFC 4023 Encapsulating MPLS in IP RFC 4109 Algorithms for IKEv1 RFC 4191 Default Router Preferences and More- Specific Routes RFC 4193 Unique Local IPv6 Unicast Addresses RFC 4213 Basic Transition Mechanisms for IPv6 RFC 4222 Prioritized Treatment of OSPFv2 Packets RFC 4264 BGP Wedgies RFC 4265 Definition of Textual Conventions for (VPN) Management RFC 4271 A Border Gateway Protocol 4 (BGP-4) RFC 4272 BGP Security Vulnerabilities Analysis RFC 4273 Managed Objects for BGP-4 using SMIv2 RFC 4274 BGP-4 Protocol Analysis RFC 4276 BGP-4 Implementation Report RFC 4277 Experience with the BGP-4 protocol RFC 4291 IP Version 6 Addressing Architecture RFC 4294 IPv6 Node Requirements RFC 4301 Security Architecture for IP RFC 4302 IP Authentication Header RFC 4303 IP Encapsulating Security Payload (ESP) RFC 4305 Crypto Algorithm Requirements for ESP and AH RFC 4306 Internet Key Exchange (IKEv2) Protocol RFC 4307 Cryptographic Algorithms for Use in IKEv2 RFC 4308 Cryptographic Suites for IPSec RFC 4360 BGP Extended Communities Attribute RFC 4364 BGP/MPLS IP VPNs (ab FW 8.21) RFC 4365 Applicability Statement for BGP/MPLS IP Virtual Private Networks (VPNs) RFC 4384 BGP Communities for Data Collection RFC 4443 ICMPv6 for IPv6 RFC 4456 BGP Route Reflection RFC 4486 Subcodes for BGP Cease Notification Message RFC 4451 BGP MULTI_EXIT_DISC (MED) Considerations RFC 4541 MLD Snooping RFC 4552 Authentication/Confidentiality for OSPFv3 RFC 4601 PIM-SM RFC 4604 IGMPv3 & MLDv2 & Source-Specific Multicast RFC 4607 Source-Specific Multicast for IP RFC 4608 PIM--SSM in 232/8 RFC 4610 Anycast-RP Using PIM RFC 4611 Multicast Source Discovery Protocol (MSDP) Deployment Scenarios RFC 4632 Classless Inter-Domain Routing (CIDR) RFC 4659 BGP-MPLS (VPN) Extension for IPv6 VPN RFC 4724 Graceful Restart Mechanism for BGP RFC 4760 Multiprotocol Extensions for BGP-4 RFC 4835 CryptoAlgorithm Requirements for ESP and AH RFC 4861 Neighbor Discovery for IPv6 RFC 4862 IPv6 Stateless Address Autoconfiguration RFC 4884 Extended ICMP Multi-Part Messages 201

202 RFC 4893 BGP Support for Four-octet AS Number Space RFC 5059 Bootstrap Router (BSR) Mechanism for (PIM) RFC 5065 Autonomous System Confederations for BGP RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 RFC 5186 IGMPv3/MLDv2/MCAST Routing Protocol Interaction RFC 5187 OSPFv3 Graceful Restart RFC 5240 PIM Bootstrap Router MIB RFC 5250 The OSPF Opaque LSA Option RFC 5291 Outbound Route Filtering Capability for BGP-4 RFC 5292 Address-Prefix-Outbound Route Filter for BGP-4 RFC 5301 Dynamic Hostname Exchange Mechanism for IS-IS RFC 5302 Domain-wide Prefix Distribution with IS-IS RFC Way Handshake for IS-IS P2P Adjacencies Network Security and Policy Management 802.1X Port-based Authentication Web-based Authentication MAC-based Authentication Convergence Endpoint Discovery with Dynamic Policy Mapping (Siemens HFA, Cisco VoIP, H.323, and SIP) Multiple Authentication Types per Port Simultaneously Multiple Authenticated users per Port with unique policies per user/ End System (VLAN association independent) RFC 3580 IEEE RADIUS Usage Guidelines, with VLAN to Policy Mapping Class of Service Strict Priority Queuing Weighted Fair Queuing with Shaping 11 Transmit Queues per Port Up to 3,072 rate limiters for S130 Class products and up to 12,288 Enterasys Network Management Suite (NMS) NMS Console NMS Policy Manager RFC 5304 IS-IS Cryptographic Authentication RFC 5306 Restart Signaling for IS-IS RFC 5308 Routing IPv6 with IS-IS RFC 5309 P2P operation over LAN in link-state routing RFC 5310 IS-IS Generic Cryptographic Authentication RFC 5340 OSPF for IPv6 RFC 5396 Textual Representation AS Numbers RFC 5398 AS Number Reservation for Documentation Use RFC 5492 Capabilities Advertisement with BGP-4 RFC Octet AS Specific BGP Extended Community RFC 5798 Virtual Router Redundancy Protocol (VRRP) Version 3 RFC 6164 Using 127-Bit IPv6 Prefixes on Inter- Router Links RFC 6296 IPv6-to-IPv6 Network Prefix Translation RFC 6549 OSPFv2 Multi-Instance Extensions Worm Prevention (Flow Set-Up Throttling) Broadcast Suppression ARP Storm Prevention MAC-to-Port Locking Span Guard (Spanning Tree Protection) Stateful Intrusion Detection System Load Balancing Stateful Intrusion Prevention System and Firewall Load Balancing Behavioral Anomaly Detection/Flow Collector (nonsampled Netflow) Static Multicast Group Provisioning Multicast Group, Sender and Receiver Policy Control rate limiters for S150 Class products Packet Count or Bandwidth based Rate Limiters. (Bandwidth Thresholds between 8 Kbps and 4 Gbps) IP ToS/DSCP Marking/Remarking 802.1D Priority-to-Transmit Queue Mapping NMS Inventory Manager NMS Automated Security Manager NMS NAC Manage 202

203 Network Management SNMP v1/v2c/v3 Web-based Management Interface Industry Common Command Line Interface Multiple Software Image Support with Revision Roll Back Multi-configuration File Support Editable Text-based Configuration File COM Port Boot Prom and Image Download via ZMODEM Telnet Server and Client Secure Shell (SSHv2) Server and Client Standard MIB Support RFC 1156/1213 & RFC 2011 IP-MIB RFC 1493 Bridge MIB RFC 1659 RS-232 MIB RFC 1724 RIPv2 MIB RFC 1850 OSPF MIB RFC 2012 TCP MIB RFC 2013 UDP MIB RFC 2096 IP Forwarding Table MIB RFC 2276 SNMP-Community MIB RFC 2578 SNMPv2 SMI RFC 2579 SNMPv2-TC RFC 2613 SMON MIB RFC 2618 RADIUS Client MIB RFC 2620 RADIUS Accounting MIB RFC p/q MIB RFC 2737 Entity MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB (Groups 1-9) RFC 2863 IF MIB RFC 2864 IF Inverted Stack MIB RFC 2922 Physical Topology MIB RFC 3273 HC RMON MIB RFC 3291 INET Address MIB RFC 3411 SNMP Framework MIB RFC 3412 SNMP-MPD MIB RFC 3413 SNMPv3 Applications RFC 3414 SNMP User-Based SM MIB RFC 3415 SNMP View Based ACM MIB RFC 3417 SNMPv2-TM RFC 3418 SNMPv2 MIB Private MIB Support Ct-broadcast MIB Ctron-CDP MIB Ctron-Chassis MIB Ctron-igmp MIB Ctron-q-bridge-mib-ext MIB Ctron-rate-policying MIB Ctron-tx-queue-arbitration MIB Ctron-alias MIB Cisco-TC MIB Cisco-CDP MIB Enterasys-configuration-management MIB Cabletron Discovery Protocol Cisco Discovery Protocol v1/v2 Syslog FTP Client Simple Network Time Protocol (SNTP) Netflow version 5 and version 9 RFC 2865 RADIUS RFC 2866 RADIUS Accounting TACACS+ for Management Access Control Management VLAN 15 Many to-one-port, One-to-Many Ports, VLAN Mirror Sessions RFC 3621 Power Ethernet MIB RFC 3635 EtherLike MIB RFC 3636 MAU MIB RFC 4022 MIB for the Transmission Control Protocol RFC 4022 MIB for the Transmission Control Protocol (TCP) RFC 4087 IP Tunnel MIB RFC 4113 MIB for the User Datagram Protocol (UDP) RFC 4292 IP Forwarding MIB RFC 4293 MIB for Internet Protocol (IP) RFC 4382 MPLS/BGP Layer 3 Virtual Private Network (VPN) MIB RFC 4444 MIB for IS-IS RFC 4624 MSDP MIB RFC 4560 DISMAN-PING-MIB RFC 4560 DISMAN-TRACEROUTE-MIB RFC 4560 DISMAN-NSLOOKUP-MIB RFC 4750 OSPFv2 MIB RFC 5060 PIM MIB RFC 5240 PIM Bootstrap Router MIB RFC 5643 OSPFv3 MIB IEEE 8023 LAG MIB RSTP MIB USM Target Tag MIB U Bridge MIB Draft-ietf-idmr-dvmrp-v3-10 MIB Draft-ietf-pim-sm-v2-new-09 MIB SNMP-REARCH MIB IANA-address-family-numbers MIB IEEE 802.1PAE MIB Enterasys-MAC-locking MIB Enterasys-convergence-endpoint MIB Enterasys-notification-authorization MIB Enterasys-netfow MIB Enterasys-license-key MIB Enterasys-aaa-policy MIB Enterasys-class-of-service MIB Enterasys-multi-auth MIB Enterasys-mac-authentication MIB Enterasys-pwa MIB Enterasys-upn-tc MIB Enterasys-policy-profile MIB 203

204 Maße der Chassis der S-Serie: Enterasys Networks Solution Guide 2013/2014 S8-Chassis: cm x cm x cm(25.19 x x ), 14.5U S8-Chassis-POE4: cm x cm x cm (28.69 x x ), 16.5U S8-Chassis-POE8: cm x cm x cm (30.44 x x ), 17.5U S6-Chassis: 88.7 cm x cm x cm (34.92 x x ), 20U S6-Chassis-POE4: 97.5 cm x cm x cm (38.39 x x ), 22U S4-Chassis: cm x cm x cm (14.00 x x ), 8U S4-Chassis-POE4: cm x cm x cm (16.50 x x ), 10U S3-Chassis-A: cm x cm x cm (12.25 x x ), 7U S3-Chassis-POE4: cm x cm x cm (14.75 x x ), 9U S1-Chassis-A: 8.69cm x 44.88cm x 60.27cm (3.42 x x ), 2U SSA S130 and S150 (S-Series Stand Alone ): 4.44 cm x cm x cm (1.75 x x ), 1U SSA S180 (S-Series Stand Alone ), 4.37cm x cm x cm (1.72 x x ),1U Agency und Standard Spezifikationen Sicherheit: UL , FDA 21 CFR and , CAN/CSA C22.2 No , EN , EN , EN , IEC , 2006/95/EC (Low Voltage Directive) Elektromagnetische Kompatibilität: FCC 47 CFR Part 15 (Class A), ICES- 003 (Class A), EN (Class A), EN 55024, EN , EN , AS/NZ CISPR- 22 (Class A). VCCI V-3. CNS (BSMI), 2004/108/EC (EMC Directive) Power over Ethernet (PoE) Spezifikationen IEEE 802.3af IEEE 802.3at Total PoE Power: vAC Input oder vAC Input (8 Bay PoE power shelf) Total PoE Power: vAC Input oder vAC Input (4 Bay PoE power shelf) Total PoE Power: 500 Watt (SSA Switch) 204

205 Unterstützt Class 1 (4 W), Class 2 (7,5 W), Class 3 (15,4 W) und Class 4 PoE Geräte Ein voll bestücktes S-Serie Multi-Slot Chassis kann ein Klasse 3 PoE Gerät auf alles Ports gleichzeitig versorgen Ein S-Serie SSA Switch kann ein Klasse 3 PoE Gerät auf 32 Ports gleichzeitig versorgen Automatisierte oder manuelle PoE Stromverteilung Pro-Port enable/disable, Power Level, Prior-Sicherheit, Überlastung und Kurzschlussschutz Systemstromüberwachung 205

206 Bestellinformationen Chassis Modellinformationen: Part Number S8 Chassis S8-Chassis S8-Chassis-POE4 S8-Chassis-POE8 S8-POE-8BAY-UGK S8-POE-4BAY-UGK S8-Midmount-Kit S6 Chassis Enterasys Networks Solution Guide 2013/2014 Description S-Series S8 Chassis and fan trays (Power supplies ordered separately) S-Series S8 Chassis and fan trays with 4 bay PoE subsystem (System and PoE Power supplies ordered separately) S-Series S8 Chassis and fan trays with 8 bay PoE subsystem (System and PoE Power supplies ordered separately) S-Series 8 bay PoE upgrade kit for the S8 (PoE Power supplies ordered separately) S-Series 4 bay PoE upgrade kit for the S8 (PoE Power supplies ordered separately) S-Series S8 Chassis 19 midmount installation rack kit can be used with all S8 chassis types S6-Chassis S-Series S6 Chassis and fan trays. Front to back cooling. (Power supplies ordered separately) S6-Chassis-POE4 S-Series S6 Chassis and fan tray with 4 bay POE subsystem. Front to back cooling. (System and POE power supplies ordered separately) S6-Midmount-Kit S-Series S6 Chassis 19 midmount installation rack kit, can be used with all S6 Chassis types S6-FAN S-Series Fan Tray (For use w/ S6) S4 Chassis S4-Chassis S4-Chassis-POE4 S4-POE-4BAY-UGK S4-Midmount-Kit S3 Chassis S3-Chassis-A S3-Chassis-POEA S3-POE-4BAY-UGK S3-Midmount-Kit S1-Chassis S1-Chassis-A S1-Mount-Kit S1-FAN-A Power Supplies and Fans S-Series S4 Chassis and fan tray (Power supplies added separately) S-Series S4 Chassis and fan tray with 4 bay PoE subsystem (System and PoE Power supplies ordered separately) S-Series 4 bay PoE upgrade kit for the S4 (PoE Power supplies ordered separately) S-Series S4 Chassis 19" midmount installation rack kit, can be used with all S4 Chassis types S-Series S3 Chassis and fan tray (Power supplies ordered separately) S-Series S3 Chassis and Fan Tray with 4 bay PoE subsystem (System and PoE Power supplies ordered separately) S-Series 4 bay PoE upgrade kit for the S3 (PoE Power supplies ordered separately) S-Series S3 Chassis 19" midmount installation rack kit, can be used with all S3 Chassis types S-Series S1 Chassis and fan tray. Compatible with Fabric Modules only. (SSA 1000W Power supplies ordered separately) S-Series S1 Chassis 19 accessory mounting kit. Supports midmount and rail kit installation options for 2 and 4 post racks, can be used with the S1 chassis. S1 Chassis fan tray, Spare (For use w/s1) S-AC-PS S-Series AC power supply, 20A VAC input (1200W/1600W) (For use w/s3/s4/s6/s8) S-AC-PS-15A S-Series AC power supply, 15A, VAC input, (930W/1600W) (For use w/s3/s4/s6/s8) S-POE-PS S-Series POE power supply, 20A, VAC input, (1200/2000 W) (For Use in 4/8 Bay PoE power subsystems) S-DC-PS S-Series 48-60v DC Power Supply (For Use w/ S3/S4/S6/S8) (1200W) S-FAN S-Series Fan Tray (For use w/ S3/S4/S8) 206

207 I/O und I/O Fabric Modulinformationen Part Number S130 I/O Fabric Modules ST F6 S130 I/O Modules ST SG S140 I/O Modules ST SG SK SK S180 I/O Fabric Modules Enterasys Networks Solution Guide 2013/2014 Description S-Series I/O-Fabric S130 Class Module, 1280Gpbs Load Sharing -48Ports 10/100/1000Base-TX via RJ45 with PoE (802.3at) and one Type2 option slot ( used in S1/S4/S6/S8) S-Series I/O S130 Class Module - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and one Type1 option slot (Used in S3/S4/S6/S8) S-Series I/O S130 Class Module - 48 Ports 1000BASE-X ports via SFP and one Type1 option slot (Used in S3/S4/S6/S8) S-Series S140 I/O Module - 48 Ports 10/100/1000BASE-TX via RJ45 with PoE (802.3at) and two Type2 option slot (Used in S3/S4/S6/S8) S-Series S140 I/O Module - 48 Ports 1000BASE-X ports via SFP and two Type2 option slot (Used in S3/S4/S6/S8) S-Series S140 Class I/O Module - 32 Ports 10GBASE-X via SFP+ (Used in S3/S4/S6/S8) S-Series S140 Class I/O Module -24 Ports 10GBASE-T via RJ45 (Used in S3/S4/S6/S8) SL F8 S-Series S180 Class I/O-Fabric Module, Load Sharing - 6 Ports 40GBASE-X Ethernet via QSFP, 4 ports VSB via SFP+ (Used in S1/S4/S6/S8) SK F8 S-Series S180 Class I/O-Fabric Module, Load Sharing - 24 Ports 10GBASE-X via SFP+, 4 ports VSB via SFP+ (Used in S1/S4/S6/S8) SK F8 S-Series S180 Class I/O-Fabric Module, Load Sharing - 24 Ports 10GBASE-T via RJ45, 4 ports VSB via SFP+ (Used in S1/S4/S6/S8) ST F8 S-Series S180 Class I/O-Fabric Module, Load Sharing - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and two Type2 option slots (Used in S1/S4/S6/S8) SG F8 S-Series S180 Class I/O-Fabric Module, Load Sharing - 48 Ports 1000BASE-X via SFP and two Type2 options slots (Used in S1/S4/S6/S8) S180 I/O Modules SL SK SK Option Modules SOK SOK SOK SOG SOT SOTK SOGK SOV Expansion Module SOV S-Series S180 Class I/O Module - 6 Ports 40GBASE-X Ethernet via QSFP, VSB expansion slot (Used in S4/S6/S8) S-Series S180 Class I/O Module -24 Ports 10GBASE-X via SFP+, VSB expansion slot (Used in S4/S6/S8) S-Series S180 Class I/O Module -24 Ports 10GBASE-T via RJ45, VSB expansion slot (Used in S4/S6/S8) S-Series Option Module (Type1) GBASE-X Ethernet ports via SFP+ (Compatible with Type1 & Type2 option slots) S-Series Option Module (Type1) GBASE-X Ethernet ports via SFP+ (Compatible with Type1 & Type2 option slots) S-Series Option Module (Type2) GBASE-X Ethernet ports via SFP+ (Compatible with Type2 option slots) S-Series Option Module (Type1) BASE-X ports via SFP (Compatible with Type1 & Type2 option slots) S-Series Option Module (Type1) - 12 Ports 10/100/1000BASE-TX via RJ45 with PoE (802.3at) (Compatible with Type1 & Type2 option slots) S-Series Option Module (Type2) - 10 Ports 10/100/1000BASE-T via RJ45 with PoE and 2 ports 10GBASE-X via SFP+ (Compatible with Type2 option slots) S-Series Option Module (Type2) - 10 Ports 1000BASE-X via SFP and 2 ports 10GBASE-X via SFP+ (Compatible with Type2 option slots) S-Series Option Module (Type2) - 2 port VSB Option Module (Compatible with Type2 option slots on S140/S180 modules only) S-Series VSB Expansion Module - 4 port VSB Module (Compatible with S180 Class 10Gb/40Gb I/O modules only) 207

208 SSA & Lizenzmodellinformationen Part Number Enterasys Networks Solution Guide 2013/2014 Description SSA S130/S150 (S-Series Stand Alone) SSA-T S-Series Stand Alone (SSA) - S130 Class - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and 4 10GBASE-X Ethernet ports via SFP+ (Power supplies not included - Please order separately) SSA-T A S-Series Stand Alone (SSA) - S150 Class - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and 4 10GBASE-X Ethernet ports via SFP+ (Power supplies not included - Please order separately) SSA-AC-PS-625W S-Series Standalone (SSA S130 and S150 Class) - AC power supply, 15A, VAC input, (625W) SSA-AC-PS-1000W S-Series Standalone (SSA S130 and S150 Class) and S1-Chassis - AC and POE power supply, 15A, VAC input, (1000/1200W) SSA-FAN-KIT S-Series Stand Alone (SSA S130 and S150 Class) - Replacement fan assembly (Single Fan) SSA S180 (S-Series Stand Alone) SSA-T S-Series S180 Class Standalone (SSA) - 48 Ports 10/100/1000BASE-T via RJ45 and 4 ports 10GBASE-X via SFP+, Front to Back cooling (Power supplies not included - Please order separately) SSA-G S-Series S180 Class Standalone (SSA) - 48 Ports 1000BASE-X via SFP and 4 ports 10GBASE-X via SFP+, Front to Back cooling (Power supplies not included - Please order separately) SSA-FB-MOUNTKIT Optional Rack Mount Kit for the SSA 'Front to Back' models. SSA-FB-AC-PS-A SSA-FB-AC-PS-B SSA-FB-FAN Optional Licenses S-EOS-L3-S130 S-EOS-PPC S-EOS-VSB SSA-EOS-VSB SSA-EOS-2XUSER S1-EOS-VSB S-Series Standalone (SSA Front to Back) - AC power supply, 15A, VAC input, I/O side exhaust S-Series Standalone (SSA Front to Back) - AC power supply, 15A, VAC input, I/O side intake S-Series Standalone (SSA Front to Back) - Spare fan tray assembly S-Series Advanced Routing License (For use on S130 Class Modules) (Enables VRF, BGP, Tunneling) S-Series Per Port User Capacity License Upgrade (For use on S130 Class Modules) S-Series Multi-slot Virtual Switch Bonding License Upgrade (For use on S130/S140/S150 Class Modules) S-Series SSA Virtual Switch Bonding License Upgrade (For use on SSA Only) SSA180/SSA150 double user capacity license S-Series S1 Chassis Virtual Switch Bonding License Upgrade (For use on S1-Chassis-A /S1-Chassis Only) 208

209 Enterasys 7100 Serie Enterasys Networks Solution Guide 2013/2014 Die Enterasys 7100er-Serie besteht aus Ethernet-Switches mit hoher Portdichte. Die hochleistungsfähigen 10-Gigabit Ports sind auf den Bedarf in heutigen Data-Center- Architekturen zugeschnitten. Die Geräte sind dafür gerüstet, Anwendungen mit hohen Bandbreitenanforderungen und geringer Latenz zu unterstützen. Die Switche bieten hochflexible Konnektivitätsoptionen. Verbindungen lassen sich über SFP+-Module, Direct Attach Cables oder 10GBASE-T herstellen. Es gibt Varianten mit 24 und 48 Ports. 1-Gigabit, 10-Gigabit- und 40-Gigabit-Ports sind verfügbar. Bis zu Gigabit-Ethernet-Ports mit Leitungsgeschwindigkeit in einer Rackeinheit nutzen den spärlichen Platz für Server und Storage in Data-Center-Anwendungen mit Top-of-Rack-Design optimal aus. Dabei lässt sich der Luftstrom an die vorhandene Kühlungsarchitektur anpassen. Die 10G Switches der 7100er Serie gibt es in den folgenden Konfigurationen: x ports 1/10Gb SFP+ mit 4x 10/40Gb QSFP+ ports x ports 1/10Gb SFP+ mit 4x 10/40Gb QSFP+ ports 7148T 48x ports 1/10GBASE-T mit 4x 10/40Gb QSFP+ ports 7124T 24x ports 1/10GBASE-T mit 4x 10/40Gb QSFP+ ports Alle Systeme unterstützen redundante, modulare Stromversorgungen, Lüftermodule und Enterasys VSB (Virtual Switch Bonding) für den Einsatz in hochverfügbaren Umgebungen und kritische Anwendungen. Die 7100er Serie gehört zur Enterasys OneFabric Architektur. OneFabric unterstützt Unternehmen dabei, einen unkomplizierten und einheitlichen Netzwerkzugang in immer stärker virtualisierten Umgebungen zu realisieren. Die Switches bieten Durchblick und 209

210 Übersicht, während virtuelle Maschinen in Betrieb genommen werden und sich innerhalb der Infrastruktur bewegen. DCB (Data Center Bridging) unterstützt die Konvergenz zwischen LAN und Storage-Daten. Mit der höheren aggregierten Kapazität können Data Center effektiv skalieren ohne Kompromisse bei Latenz- und Verfügbarkeitsanforderungen. Die Integration in das Management mit OneFabric Control Center automatisiert viele Administrationsvorgänge. so wird im Detail bei laufendem Betrieb durchschaubar, wie kritische Ressourcen des Rechenzentrums funktionieren und die Ressourcen lassen sich steuern vom Edge über den Core bis ins Data Center. Bandbreiten und Prioritäten sind zentral bereitstellbar. Das garantiert eine einheitliche, umfassende Netzwerkkonfiguration. Standards und Protokolle Switching/VLAN Services 802.3ab Gigabit Ethernet (copper) 802.3z Gigabit Ethernet (fiber) 802.3ae 10 Gigabit Ethernet (fiber) 802.3an 10GBASE-T (copper) 802.3ba 40 Gigabit Ethernet 802.1Q VLANs 802.1D MAC Bridges 802.1w Rapid re-convergence of Spanning Tree 802.1s Multiple Spanning Tree - up to 16 instances 802.1t Path Cost Amendment to 802.1D 802.1AX-2008 LACP ad Link Aggregation - up to 64 groups with up to 8 ports in a group Loop Protect 802.3x Flow Control Jumbo Packet (9216 bytes) RFC 1191 Path MTU Discovery Link Flap Detection Dynamic Egress (Automated VLAN Port Configuration) IGMP v1/v2/v3 IGMP snooping IGMP querier IPv6 Multicast Listener Discovery (MLDv1/v2) MLD snooping MLD querier GARP VLAN Registration Protocol (GVRP) Multiple VLAN Registration Protocol (MVRP/ MRP) Provider Bridges (IEEE 802.1ad) Ready Data Center Bridging 802.1Qaz - Enhanced Transmission Selection (ETS ) - Data Center Bridge Exchange Protocol (DCBx ) - Application Priority 802.1Qbb Priority Flow Control (PFC) 802,1Qau Congestion Notification (CN) 210

211 QoS Strict Priority Queuing Weighted Round Robin 8 Transmit Queues per Port ToS/DSCP Marking/Remarking 802.1p Class of Service 802.1D Priority-to-Transmit Queue Mapping Ingress rate limiting Transmit queue shaping Security 802.1X Port-based Authentication Port Web-based Authentication (PWA) MAC-based Authentication Enterasys dynamic policy Convergence Endpoint (CEP) Discovery with Dynamic Policy Mapping (Siemens HFA, Cisco VoIP, H.323, and SIP) Multiple Authentication Types per Port Simultaneously Multiple Authenticated users per Port with unique policies per user/end System (VLAN association independent) RFC 3580 IEEE RADIUS Usage Guidelines, with VLAN to Policy Mapping Broadcast Suppression RADIUS snooping MAC-to-Port Locking - static and dynamic Span Guard (Spanning Tree Protection) Host CPU Denial of Service (DoS) protection MSCHAP RADIUS authentication IPsec RADIUS connection 802.1AE MACsec Hardware Capable High Availability Virtual Switch Bonding (VSB) for up to two systems High Availability Firmware Upgrade (HAU) Redundant hot swappable fan modules Redundant hot swappable power supplies Enterasys Network Management NMS Console NMS Policy Manager NMS Inventory Manager NMS Automated Security Manager NMS NAC Manager Data Center Manager (DCM) Network Management 211

212 Standard MIB Support RFC 1156/1213 & RFC 2011 IP-MIB RFC 1493 Bridge MIB RFC 1659 RS-232 MIB RFC 2578 SNMPv2 SMI RFC 2579 SNMPv2-TC RFC 3417 SNMPv2-TM RFC 3418 SNMPv2 MIB RFC 2012 TCP MIB RFC 2013 UDP MIB RFC 3411 SNMP Framework MIB RFC 3412 SNMP-MPD MIB RFC 3413 SNMPv3 Applications RFC 3414 SNMP User-Based SM MIB RFC 2276 SNMP-Community MIB RFC 2613 SMON MIB RFC p/q MIB RFC 2737 Entity MIB RFC 2819 RMON MIB (Groups 1-9) RFC 3273 HC RMON MIB RFC 2863 IF MIB RFC 2864 IF Inverted Stack MIB RFC 2922 Physical Topology MIB RFC 3291 INET Address MIB RFC 3415 SNMP View Based ACM MIB RFC 3635 EtherLike MIB RFC 3636 MAU MIB RFC 4022 MIB for the Transmission Control Protocol (TCP) RFC 4113 MIB for the User Datagram Protocol (UDP) RFC 4293 MIB for Internet Protocol (IP) IEEE 8023 LAG MIB RSTP MIB USM Target Tag MIB U Bridge MIB SNMP-REARCH MIB IANA-address-family-numbers MIB IEEE 802.1PAE MIB 212

213 Spezifikationen Enterasys Networks Solution Guide 2013/ T 7124T Performance Switching Throughput Mpps 952 Mpps 595 Mpps 952 Mpps 595 Mpps Switching Capacity 1.28 Tbps 800 Gbps 1.28 Tbps 800 Gbps Max 10Gb Ethernet Ports MAC Address Table 128K 128K 128K 128K VLANs Supported 4,094 4,094 4,094 4,094 Packet Buffers 9MB 9MB 9MB 9MB Physical Specifications Dimensions (H x W x D), Rack Units 1 Rack Unit high 4.37 cm H x 44.73cm W x 43.40cm D 1.72 H x W x D 1 Rack Unit high 4.37 cm H x 44.73cm W x 43.40cm D 1.72 H x W x D 1 Rack Unit high 4.37 cm H x 44.73cm W x 43.40cm D 1.72 H x W x D 1 Rack Unit high 4.37 cm H x 44.73cm W x 43.40cm D 1.72 H x W x D Net Weight 7.12 kg (15.7 lb) 7.12 kg (15.7 lb) 7.12 kg (15.7 lb) 7.12 kg (15.7 lb) Physical Ports Power Power Supplies (48) 1Gb/10Gb SFP+ ports (4) 10Gb/40Gb QSFP+ ports (1) Console port (1) Micro-USB port Up to two load sharing redundant 474 W power supplies (24) 1Gb/10Gb SFP+ ports (4) 10Gb/40Gb QSFP+ ports (1) Console port (1) Micro-USB port Up to two load sharing redundant 474 W power supplies (48) 1Gb/10Gb 10GBASE-T ports (4) 10Gb/40Gb QSFP+ ports (1) Console port (1) Micro-USB port Up to two load sharing redundant 474 W power supplies (24) 1Gb/10Gb 10GBASE-T ports (4) 10Gb/40Gb QSFP+ ports (1) Console port (1) Micro-USB port Up to two load sharing redundant 474 W power supplies Normal Input Voltage VAC VAC VAC VAC Input Frequency Hz Hz Hz Hz Max Power Consumption 174 W 138 W 318 W 206 W Environmental Operating Temperature Non-Operating Temperature Operating Relative Humidity Agency Specifications 5 to 40 C (41 to 104 F) -30 to 73 C (-22 to 164 F) 5% to 95% (noncondensing) 5 to 40 C (41 to 104 F) -30 to 73 C (-22 to 164 F) 5% to 95% (noncondensing) 5 to 40 C (41 to 104 F) -30 to 73 C (-22 to 164 F) 5% to 95% (noncondensing) 5 to 40 C (41 to 104 F) -30 to 73 C (-22 to 164 F) 5% to 95% (noncondensing) Safety UL , FDA 21 CFR and , CAN/CSA C22.2, No , EN , EN , EN , IEC , 2006/95/EC (Low Voltage Directive) Electromagnetic Compatibility FCC 47 CFR Part 15 (Class A), ICES-003 (Class A), EN (Class A), EN 55024, EN , EN , AS/NZ CISPR-22 (Class A). VCCI V-3. CNS (BSMI), 2004/108/EC (EMC Directive) Environmental 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 213

214 Bestellnummern Part Number 7100-Series Switches 71K11L K11L K91L K91L4-24 Power Supplies 71A-PS-A 71A-PS-B Spares and Accessories 71A-FAN 71A-RACK-U Enterasys Networks Solution Guide 2013/2014 Description 40Gb Transceivers and Direct Attach Cables 40GB-SR4-QSFP 40GB-LR4-QSFP 7148, 48 ports 1/10Gb SFP+ with 4 10/40Gb QSFP+ ports, includes 2 reversible fan modules and a two post rack mount kit. Power supplies ordered separately. 7124, 24 ports 1/10Gb SFP+ with 4 10/40Gb QSFP+ ports, includes 2 reversible fan modules and a two post rack mount kit. Power supplies ordered separately. 7148T, 48 ports 1/10GBASE-T with 4 10/40Gb QSFP+ ports, includes 2 reversible fan mod- ules and a two post rack mount kit. Power supplies ordered separately. 7124T, 24 ports 1/10GBASE-T with 4 10/40Gb QSFP+ ports, includes 2 reversible fan mod- ules and a two post rack mount kit. Power supplies ordered separately Power Supply, 474W, VAC input, System I/O side air exhaust 7100 Power Supply, 474W, VAC input, System I/O side air intake 7100 Fan Module, Spare. Reversible air flow Universal rack mount kit for four post rack mount options 40 Gb, 40GBASE-SR4, MM, 100 m OM3 / 150 m OM4, MPO QSFP+ 40 Gb, 40GBASE-LR4, SM, 10 km, LC QSFP+ 40GB-C0.5-QSFP 40 Gb, Copper Direct Attach Cable with integrated QSPF+ transceivers, 0.5m 40GB-C01-QSFP 40GB-C03-QSFP 40GB-C07-QSFP 40GB-F10-QSFP 40GB-F20-QSFP 40 Gb, Copper Direct Attach Cable with integrated QSPF+ transceivers, 1m 40 Gb, Copper Direct Attach Cable with integrated QSPF+ transceivers, 3m 40 Gb, Copper Direct Attach Cable with integrated QSPF+ transceivers, 7m 40 Gb, Active Optical Direct Attach Cable with integrated QSPF+ transceivers, 10m 40 Gb, Active Optical Direct Attach Cable with integrated QSPF+ transceivers, 20m 10GB-4-C03-QSFP 10 Gb, Copper Direct Attach Fan Out Cable with 4 integrated SFP+ and 1 QSFP+ transceiv- ers, 3m QSFP-SFPP-ADPT QSFP+ to SFP+ Adapter, supports a single 10Gb Ethernet SFP+ transceiver in a QSFP+ port (10GB-LRM-SFPP not supported) M MPO 8 parallel fiber connector to 4 x LC duplex connectors, OM3 multi-mode fiber patch cord, 5m 214

215 Kapitel 4 - OneFabric Security Detect and Locate Secure Networks von Enterasys schützt die Unternehmenswerte durch einen ganzheitlichen Ansatz. Dafür muss das Netzwerk Gefahren und Angriffe auf Ressourcen im Netzwerk erkennen und Angreifer IdentiFizieren können. Bevor eine Organisation Angriffen auf die IT Infrastruktur begegnen kann, ist es unabdingbar genau zu verstehen, wie Attacken durchgeführt und wie man sie IdentiFizieren kann. Angriffe Grundsätzlich kann man dabei zwischen folgenden Angriffstypen unterscheiden: automatisierte Angriffe (Viren, Würmer, Trojaner), toolbasierte Angriffe, gezielte, intelligente, per Hand durchgeführte Angriffe Automatisierte Angriffe Manchmal schafft es eine Sicherheitslücke in die Nachrichten. Dann kann man davon ausgehen, dass Angreifer mit Viren oder Würmern unzureichend geschützten IT Systeme flächendeckend kompromittiert haben. Waren diese Sicherheitslücken bis zum Angriff noch unbekannt oder existiert kein Patch dazu, spricht man häufig Zero-Day- Attacken/Exploits, umgangssprachlich wird der Begriff auch manchmal in Day-Zero- Angriff/Exploit verfälscht. Die Bezeichnung leitet sich von der kurzen Zeitspanne zwischen der Entdeckung einer Sicherheitslücke und erfolgreichen Angriffen (zumeist eines Exploits) auf diese Lücke her. Unabhängig davon, ob die Sicherheitslücke bekannt ist und ob ein Patch für diese Sicherheitslücke existiert, folgt ein Schädlings-programm, das eine Sicherheitslücke automatisiert ausnutzen will, meist einem bestimmten Schema: Netzwerkdiscovery und ZielIdentiFizierung (optional) Bevor ein Wurm oder Virus seinen bösartigen Code an ein Zielsystem sendet, überprüft der Schädling, ob das Zielsystem überhaupt angreifbar ist. Diese Informationen erhält der Schädling mit verschiedenen Methoden vom stupiden Banner Grabbing bis zum intelligenten TCP-Fingerprint. Kompromittierung des Zielsystems Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt. Dies ist der 215

216 eigentliche Angriff. Da Angriffe sich meist auf viele unterschiedliche Systeme auf unter Umständen unterschiedlichen Plattformen zielen, sind sie an sich meistens sehr stupide und einfach zu erkennen. Weiterverbreitung Ist es gelungen, das Zielsystem zu kompromittieren, versucht das Schadprogramm sich weiter im Netzwerk zu verbreiten. Um automatisierte Angriffe zu erkennen, eignen sich zwei Erkennungstechnologien, solche, die Anomalien registrieren und solche, die Signaturen nutzen. Toolbasierte Angriffe Vor einigen Jahren setzte die Durchführung von stack- oder heapbasierten Angriffe noch Programmierkenntnisse in C und Assembler voraus. Heutzutage gibt es eine Vielzahl von zum Teil freien Frameworks, die das Ausführen eines Schadprogramms per Knopfdruck ermöglichen. Diese Frameworks laden bestimmte Angriffsmodule und bieten dem Angreifer die Möglichkeit, die dynamischen Parameter eines Angriffs per GUI zu definieren. Dadurch werden die Hürden zum erfolgreichen Durchführen eines Angriffs enorm gesenkt. Zumeist erstellen diese Frameworks einen Exploit, der sich in die folgenden Unterteile aufgliedern lässt: Socket Aufbau Bevor der Angriffscode übermittelt werden kann, muss eine Netzwerkverbindung zum Zielsystem aufgebaut werden. Shell Code / Angriffscode Nachdem die Verbindung zum Zielsystem initialisiert worden ist, wird der Angriffscode über den Socket verschickt. Da die Rücksprungadresse und das Offset nicht bekannt sind, werden sehr viele verschiedene Rücksprungadressen durchprobiert. Da bei diesen toolgesteuerten Angriffen oftmals auch die verschiedenen Speichergrößen unbekannt sind, werden sehr viele NOPs über das Netzwerk versendet daraus resultiert ein großer Speicherbedarf für das NOP- Sledge. Informationsaufbereitung Sobald der Angriffscode übermittelt wurde, werden die daraus resultierenden Informationen (zum Beispiel der Inhalt bestimmter Dateien des Zielsystems) für 216

217 den User aufbereitet. Obwohl diese Framework-Angriffe gezielt sind und sich somit von den automatisierten Angriffen unterscheiden, sind ihre Angriffsschemata sehr offen. Nur das garantiert eine sehr hohe Erfolgsquote. Framework-basierte Angriffe fallen unter anderem durch folgende Merkmale auf: große NOP-Bereiche, Angriffscode wird oft übermittelt (da er die Rücksprungadresse enthält), auffällige Offsets, Standard-Shell-Code, angegriffenes Programm wird unsauber beendet (kein exit(0) innerhalb des Shell Codes). Sie lassen sich am besten durch signaturbasierte Systeme erkennen. Gezielte Angriffe Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche Angriffscode sehr schlank und sauber geschrieben ist und dass die Verbindungen und die Codesprünge sauber geschlossen werden. Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff geschätzt, so dass der Angriffscode nicht zu oft über den Socket geschickt werden muss. Je nach zu überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von 179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde). Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt und können innerhalb eines Paketes erfolgreich übermittelt werden. Aufgrund der verschiedenen Evasionsmöglichkeiten, die sich dem Angreifer bieten, um seinen Angriff zu verschleiern, stellen diese fokussierten Attacken die größte Herausforderung an präventive Sicherheitssysteme dar. Gezielte Angriffe lassen sich am besten durch die Kombination von signaturbasierten Systemen und System Information Management Systemen erkennen. Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie erkannt und verhindert werden können, folgend die Beschreibung dreier bekannter und weit verbreiteter Angriffsmuster. Denial of Service Denial of Service Attacken gelten oftmals als stupide Attacken von Angreifern, die nicht 217

218 in der Lage sind, ein System zu kompromittieren und es deshalb einfach nur ausschalten wollen. In Wahrheit sind Denial of Service Attacken jedoch oftmals Vorboten eines stack- oder heapbasierten Angriffs (Buffer Overflow Attacke zur Übernahme des Dienstes) oder dienen dazu, die Netzwerkdienste, die ein ausgeschalteter Service offeriert hat, zu übernehmen. Beliebte Angriffsziele sind DHCP Server, die zumeist über Broadcasts angesprochen werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer, einen DHCP Server auszuschalten, kann er seinen Dienst übernehmen und in die Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die Access Control Listen im Netzwerk und auf Update-Verhalten haben (bestimmte Sicherheits- Gateway-Systeme installieren Updates über NFS mounts, die sie vom DHCP Server erhalten). Buffer Overflow Angriffe, die mit dem Überschreiben von Puffern zusammenhängen, sind für die meisten erfolgreichen Angriffe verantwortlich. Die Tendenz geht jedoch von pufferbezogenen Angriffen weg und hin zu Cross Site Scripting-bezogenen Angriffen. Im Folgenden sind einige Gründe hierfür aufgeführt: Sichere Frameworks für Applikationserstellung und Code Access Security Stack Schutz von Betriebssystemen Stack Schutzmechanismen für Compiler Um zu verstehen, wie diese Angriffe funktionieren und zu erkennen, warum diese stetig an Bedeutung verlieren, ist es wichtig den Programmablauf auf dem Stack und dem Heap zu verstehen. Dies würde jedoch den Rahmen dieses Kapitels sprengen. Cross Site Scripting (XSS) Cross Site Scripting Attacken gewinnen stetig an Bedeutung. Sie können zu massiven Problemen führen (bis hin zur Kompromittierung des kompletten Systems), sind extrem einfach für einen Angreifer zu finden und auszunutzen und oftmals sehr schwer zu erkennen und zu verhindern. XSS Angriffe sind zumeist im HTTP, XML und SOAP Bereich beheimatet und basieren auf der Dynamik der Programmiersprache mit der bestimmte Dienste, die die genannten Protokolle nutzen, geschrieben sind. Um zu verstehen, wie Cross Site Scripting Attacken funktionieren, muss der Unterschied zwischen Hochsprachen und Skriptsprachen verdeutlicht werden. Vereinfacht gesagt 218

219 wird ein Skript zeilenweise ausgeführt (vom Interpreter). Kommt es zu einem Fehler oder einer falschen Anweisung endet das Skript in einer bestimmten Zeile. Ein in einer Hochsprache (z.b. C) geschriebenes Programm wird vor Beginn der ersten Ausführung kompiliert grobe Fehler werden also schon bei der Erstellung des Programms erkannt. Ferner ist es bei Skriptsprachen möglich, Codes während der Laufzeit einzubinden. Durch Fehler innerhalb des dynamischen Codes ist der Angreifer in der Lage, den eigenen Code in die Webapplikation einzuschleusen (Skript Code oder Datenbanksteuerungsbefehle). Dies kann er zum Beispiel durch das Manipulieren bestimmter URL Variablen erreichen, die zur Laufzeit Teil des ausführenden Codes werden. Eine genauere, intensive Betrachtung der verschiedenen Angriffsmuster wird im Enterasys Networks Pre-Sales-Training vermittelt. Dort werden neben den hier genannten Angriffsschemata auch man-in-the-middle Attacken und Protokollangriffe detailliert behandelt IDS Erkennungstechnologien Intrusion Detection und Prevention Systeme sind in der Lage die beschriebenen Angriffsschemata zu erkennen und entsprechend zu reagieren. Wie bereits einleitend beschrieben, gibt es für die verschiedenen Angriffe verschiedene Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte IDS alle verfügbaren Erkennungstechnologien vereint und somit in der Lage ist, die jeweils beste Technologie zur Erkennung und Prävention einzusetzen. Grundsätzlich kann unter folgenden Erkennungstechnologien unterschieden werden: Behavior Based Anomaly Detection o Die Analyse von Verkehrsbeziehungen mittels Daten aus den Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit dedizierten Probes oder auch mittels komponentenspezifischer Traps o Bei hostbasierten Systemen ist hierunter meist die Analyse der System Calls zu verstehen, um ungültige Calls später heraus zu filtern oder die Analyse von CPU Last und Memory pro Applikation etc. Anomaly Detection o Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP Flag Kombinationen gesetzt, etc.) o Bei Host Sensoren kann man hierunter die Überwachung von Files auf dem System verstehen ( Logfiles werden nie kleiner oder /etc/passwd wird 219

220 normalerweise nicht geändert) Protocol based Protocol Conformance Analysis und Decoding o Die Decodierung von Protokollen und Überprüfung der Konformität im Hinblick auf Standards Signature based Pattern Matching o Die Analyse des Paketinhaltes in Hinblick auf verdächtige Kombinationen (Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.) o Bei Host Sensoren versteht man darunter zum Beispiel die Analyse von Logdateien Eine Behavior Based Anomaly Detection basiert darauf typische Verhaltensmuster im Netzwerk, wie zum Beispiel die mittlere Anzahl von Flows pro Host oder den durchschnittlichen Durchsatz zu messen und bei starken Abweichungen von diesen Werten Alarm zu schlagen. Wichtig hierbei ist, dass es sich dabei nicht nur um das Setzen und Messen von Schwellwerten handelt, sondern um komplexe Algorithmen, die in der Lage sind, Systemverhalten zu erkennen, zu analysieren und normales Verhalten in bestimmten Grenzen vorher zu sagen. Bei der Anomaly Detection und der protokollbasierten Analyse werden "unmögliche" Datenpakete wie falsch zusammengebaute TCP-Pakete oder fragmentierte IP-Pakete mit nicht definierten Offsets erkannt. Außerdem werden die Sessions der einzelnen Verbindungen wieder zusammengesetzt und diese nach Auffälligkeiten analysiert und Abweichungen von definierten Netzwerk Policies (zum Beispiel, dass Mitarbeiter keine Peer-to-Peer Programme wie Napster, Kazaa, etc. verwenden sollten) erkannt. Eine signaturbasierte Lösung kann extrem präzisen Aufschluss über den Angriff geben, da die gesamte Paketfolge (je nach Produkt) abgespeichert wird: Damit ist auch eine schnelle Bewertung möglich, ob der Angriff erfolgreich war. Dafür verwendet das IDS eine Datenbank, in der alle bekannten Signaturen von Angriffen und Hackertechniken gespeichert sind (dabei handelt es sich um Binärabbilder bestimmter, typischer Fragmente der durch Angriffstools oder Viren erzeugten Datenpakete). Diese werden mit dem Datenteil der Pakete verglichen und so erkannt. Mit signaturbasierten Systemen ist die Erkennung völlig unbekannter Angriffe jedoch schwierig zu realisieren. Dies gelingt in den Fällen sehr gut, in denen bestimmte (verschiedene) Angriffe einem bestimmten Muster folgen. Gut lässt sich dies anhand von Buffer Overflow Angriffen verifizieren, die sich durch das Senden von Shell Code und NOP-Sledges auszeichnen. Zusammenfassend kann festgehalten werden, dass Intrusion Detection und Prevention Systeme Datenpakete aufnehmen, Dateninhalte lesen und bestimmte Technologien 220

221 anwenden, um festzustellen, ob ein Paket oder ein Kommunikationsfluss integer ist oder ob es sich um einen Angriff handelt. Zur Verifizierung eines erfolgreichen Angriffs verwendet das IDS nicht nur das Angriffspaket oder die Angriffspakete. Es bezieht in seine Überlegung auch die Antworten des angegriffenen Systems ein. Hostbasierte Erkennung versus netzwerkbasierte Erkennung Angriffserkennung kann, wie bereits beschrieben, auf dem Hostsystem oder im Netzwerk stattfinden. Bevor auf die verschiedenen Technologien im Detail eingegangen wird, werden im Folgenden einige Vor- und Nachteile der verschieden Systeme aufgeführt. Vorteile hostbasierter Erkennung: Netzwerkstream wurde bereits vom TCP Stack des Betriebssystems zusammengesetzt Verschlüsselungsproblematiken sind nicht vorhanden Komplettes Systemverhalten kann in die Bewertung eines Angriffs einbezogen werden Nachteile hostbasierter Erkennung: Großer Verwaltungsaufwand: Muss auf jedem Host installiert werden Verschiedene Betriebssysteme benötigen verschiedene Clients Betriebssystemänderungen können hostbasierte Erkennung beeinflussen Vorteile netzwerkbasierter Erkennung: Änderungen am Betriebssystem des Ziels haben keinen Einfluss auf die netzwerkbasierte Erkennung Geringerer Verwaltungsaufwand: Ein netzwerkbasiertes System kann eine Vielzahl von Hosts überwachen Nachteile netzwerkbasierter Erkennung: Verschlüsselter Datenverkehr kann zu Problemen bei der Angriffserkennung führen Single Point of Failure Lokale Angriffe werden nicht erkannt Host Intrusion Detection/Prevention (HIDS/HIPS) Host Intrusion Detection / Prevention Systeme haben einen komplett anderen Aufbau als netzwerkbasierte Systeme. Diese Systeme haben drei Hauptansatzpunkte: 221

222 Kernel Schutz (System Call Hooking) Überwachung von Konfigurationsdateien und/oder der Registrierung Prüfung der Systemintegrität Kernel Schutz Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei Bereiche aufgeteilt. Das Userland, in dem sich Applikationen, Benutzer, Programme und Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die Betriebssystemroutinen beheimatet sind. Vereinfacht könnte man sagen, dass die Schnittstelle zwischen Betriebssystem (das die Dateien und die Hardware exklusiv verwaltet) und dem Userland die System Calls sind. Diese Calls werden von Applikationen und Programmen genutzt, um Zugriff auf Betriebssystemressourcen zu erhalten. Ein HIDS/HIPS setzt sich jetzt als überwachende Instanz zwischen das Betriebssystem (den Kernel Space) und der Welt der Applikationen und überwacht, ob die ankommenden Anfragen valide sind oder ob es sich um Angriffe handelt. Diese Überwachung kann sich durch mehrere Leistungsmerkmale bemerkbar machen: Verhindern des Ausführens von Code auf dem Stack Überschreiben von System Calls (Linux LKM) Überwachung von Konfigurationsdateien und Registrierung Ein weiterer wichtiger Bestandteil eines HIDS/HIPS ist die Überwachung von Systemkonfigurationsdateien und Systemregistern (Windows) bzw. Kernel Konfigurationen (Linux). So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Firewall, Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch laufen. Auch Trojaner und andere Schadprogramme lassen sich dadurch sehr gut IdentiFizieren. Prüfung der Systemintegrität Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion Detection/ Prevention Systemen. Dadurch kann sichergestellt werden, dass wichtige Systemprogramme bzw. der Code wichtiger Systemprogramme nicht manipuliert wurde. Das HIDS/HIPS bildet hierzu zu einem Zeitpunkt, an dem das zu überwachende Systemtool noch integer ist, eine SHA-1 oder MD5 Checksumme des Binärcodes und agiert sobald sich diese Checksumme ändern. 222

223 Systemintegrität Kernel Schutz Enterasys Networks bietet für viele unterschiedliche Betriebssysteme Hostsensoren an, die didaktisch sehr einfach über den Enterasys EMS zu verwalten sind. Damit können die in diesem Kapitel beschriebenen Features einfach und sicher realisiert werden. Enterasys Host Intrusion Prevention Systeme beschränken sich dabei jedoch nicht nur auf den hier beschriebenen Betriebssystem- und Systemapplikationsschutz. Für einige businessrelevante Gebiete (wie Webserver [Internet Information Server und Apache]) gibt es eigene Application Intrusion Prevention Systeme, die für einen idealen Schutz der entsprechenden Applikation sorgen. Erweiterungsmöglichkeiten des HIDS Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software Development Kit) an, das von Kunden, Partnern oder vom Enterasys Professional Services Team genutzt werden kann, um zusätzliche Leistungsmerkmale in die Produkte zu integrieren. Der Entwickler kann dabei auf die gesamte Bandbreite der integrierten Leistungsmerkmale zurückgreifen und somit neue Features schnell und sicher integrieren. Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätzliche Features über eine Programmiersprache ihrer Wahl (z.b. C oder C#) zu realisieren und diese dann gegen eine von Enterasys bereitgestellte Bibliothek (Library) zu linken. Dadurch muss sich der Entwickler nicht um die Kommunikation des neu erstellten Features mit der Enterasys Enterprise Management Suite beschäftigen oder mit sicherheitsbezogenen Themen wie Authentifizierung und Verschlüsselung er kann sich voll und ganz auf die Realisierung des neuen Features konzentrieren. 223

224 Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogramme, Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es dem Administrator oder dem Entwickler schnell möglich ist, sich in die Thematik einzulesen und effizient zu entwickeln. Durch die neu geschaffene dot net Schnittstelle ist es nun auch möglich, alle betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre Produkte integriert, innerhalb der Enterasys Defense Suite zu nutzen. Network IDS/IPS Netzwerkbasierte Intrusion Detection und Prevention Systeme unterscheiden sich in allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann folgendermaßen beschrieben werden: Ereigniskomponente: Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem Netzwerk auf und starten das so genannte Preprocessing, das dabei hilft, die Daten in ein einheitliches Format zu bringen (dies hat den Vorteil, dass man dadurch in der Lage ist, Signaturen in einem einheitlichen Format zu erstellen). Danach werden diese vereinheitlichten Daten an die Analysekomponente weitergegeben. Analysekomponente: An dieser Stelle werden die Daten, die von der Ereigniskomponente gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der Paketinhalt gegen die verschiedenen Paketinhalte der Signaturen kreiert. Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann lediglich ein Logfile oder Datenbankeintrag sein. Sollte es sich bei dem entsprechenden Deployment um eine DIRS (Dynamic Intrusion Repsonse System) Installation handeln, kann über ein Alarmtool auch eine Aktion (Ändern der Port Policy) gestartet werden. Monitor und Darstellungskomponente: Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart, Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle verständlich (zumeist grafisch) für den Anwender / Administrator aufbereitet. Zusammenfassend kann gesagt werden, dass durch die Kombination netzwerk- und hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht werden kann, der vor einer 224

225 Vielzahl verschiedener Angriffsszenarien schützt. IDS versus IPS versus DIPS Nachdem nun definiert wurde, wie präventive Sicherheitssysteme Angriffe erkennen können, werden die Aktionen, die aus diesen Informationen getroffen werden können, diskutiert. Detection Die Erkennung von Angriffen ist die Grundlage jeglicher präventiver Sicherheitstechnologie (ob inline oder outline). Sollte keine proaktive Sicherheitsimplementierung gewünscht sein, so kann man durch die Daten, die in diesem Schritt gesammelt wurden, forensische Nachforschungen betreiben, Angriffe zurückverfolgen, Beweise auswerten, Systemverhalten überwachen und dokumentieren, Statistiken über die Sicherheitsentwicklungen erstellen und Datenquellen/Ressourcen für Security Information and Event Management Systeme bereitstellen, die daraus SoXkonforme Reports erstellen können. Prevention Aktive Angriffsverhinderung geschieht zumeist inline. Die Geräte (NIPS) werden also direkt in den Kommunikationsfluss integriert und entscheiden, ob ein Paket weitergeleitet werden soll oder nicht. Intrusion Prevention ist ein sehr gutes Werkzeug, um das Netzwerk und die darin befindlichen Komponenten aktiv vor Angriffen zu schützen. Der Angreifer selbst bleibt davon jedoch unberührt und hat weiterhin Zugriff auf die Ressourcen des Netzwerks. Seine Pakete werden lediglich dann verworfen, wenn es sich dabei um schadhafte Pakete handelt. Dynamic Response Distributed IPS basiert auf Intrusion Detection und führt basierend auf den Ergebnissen des Intrusion Detection Systems Aktionen im Netzwerk durch. Je nach vorhandener Netzwerkinfrastruktur kann dies durch das Ändern einer Port Policy oder durch das Verbannen eines Users aus einem bestimmten VLAN in ein Anderes geschehen. Distributed IPS reagiert dabei auf bestimmte Ergebnisse. Wird ein Angriff durch das Versenden eines einzelnen Paketes erfolgreich durchgeführt, wird das DIPS diesen Angriff nicht verhindern. Es werden jedoch Aktionen gegen den Angreifer gefahren, die verhindern, dass dieser weiterhin Schaden im Netzwerk anrichtet. Auch hier kann zusammenfassend festgehalten werden, dass das größte Schutzpotential durch die Kombination der verschiedenen Technologien realisiert 225

226 werden kann. Dynamic Respone in Multivendor Networks Enterasys Networks ist der führende Anbieter von Distributed-IPS-Systemen. Enterasys` Systeme unterstützen sehr viele Fremdsysteme. So kann man nahezu jede Netzwerkinfrastruktur durch die Kombination von IDS und Enterasys ASM (Automated Security Manager) über Enterasys DIPS absichern. Enterasys Intrusion Defense Die Enterasys Intrusion Defense deckt die klassische Intrusion Detection und Prevention Lösung ab. Dabei kommen Network und Host Intrusion Detection und Prevention Systeme zum Einsatz. Alle Komponenten der Intrusion Defense können über eine einheitliche Oberfläche, den Enterprise Management Server, verwaltet und konfiguriert werden. In der aktuellen Version wurde das Management erweitert und bietet nun die automatische Erkennung von Sensoren, die Konfiguration von Zonen, einen Tuning Wizard, komplexere Signaturoptionen via FlexFire Binary Signatures. Darüber hinaus wurde das Reporting mit der Option erweitert direkt den Content hervorzuheben auf den die Signatur angeschlagen hat. 226

227 Reporting Interface Auf der Appliance Seite wird nun einheitlich auf Dell als Basissystem gesetzt, so dass im gesamten Security Portfolio ein einheitliches Hardware Management möglich ist. Enterprise Management Server Der Enterprise Management Server (EMS) besteht aus einer Vielzahl von Komponenten. Die Policy Management Tools unterstützen eine einfache, zentrale und unternehmensweite Verwaltung und Überwachung der Enterasys Intrusion Defense Komponenten. Dazu zählen unter anderem auch Assistenten, die die Einbindung neuer Sensoren erleichtern und den Konfigurationsaufwand minimieren. Das Alarmtool bietet eine zentrale Alarm- und Benachrichtigungsverwaltung. Die Security Information Management Anwendungen ermöglichen das zentrale Überwachen, Analysieren und Erstellen von Reports für alle Security Ereignisse mit einer Realtime, Trending und Forensics Konsole. 227

228 EMS Frontend Der Enterprise Management Server ist die Grundlage jeder Enterasys Intrusion Defense Installation und wird zur Konfiguration und Verwaltung benötigt. Der Server ist als eigenständige Appliance, als Software zur Installation auf eigener Hardware sowie als integrierte Appliance (EMS+NIDS+HIDS) verfügbar. Eine Hochverfügbarkeit des Systems kann einfach durch den Einsatz von mehreren EMS Servern gewährleistet werden, welche während des Regelbetriebs permanent synchronisiert werden. Die EMS Client Software ist für die Betriebssysteme Windows, Solaris und Linux verfügbar unter Enterasys IDS Komponenten Eine Enterasys IDS Installation setzt sich aus einem EMS sowie Network und Host Sensoren zusammen. Dabei stehen EMS und Netzwerksensor als Appliance oder reine Software zur Verfügung. Für kleine Installationen gibt es hier auch eine Integrated Appliance, welche in einem Gerät EMS und Netzwerksensor Funktionalität ermöglicht. Alle Appliances sind in einer Hardware-only Variante erhältlich, in der Preisliste an der Endung H in der Produktnummer erkennbar. EMS Appliance 228

229 Die Produktnummern für die EMS Appliances beginnen in der Preisliste mit DEMA-xx, die letzten beiden Stellen stehen für die Anzahl der verwalteten Systeme. Dabei ist zu beachten, dass jede verwaltete Appliance als ein System zählt eine EMS Appliance und ein Netzwerksensor zählen z.b. als zwei Systeme. Größe SE Anzahl verwalteter Systeme 2 (nur als Software, nicht als Appliance verfügbar) ME 25 LE 100 U unbegrenzt Die Enterasys Enterprise Management Server Appliances beinhalten die Hardware (unabhängig von der Lizenz), die vorinstallierte EMS Software sowie die EMS Lizenz. Ausserdem besteht die Möglichkeit die EMS Software auf einem eigenen Server oder als virtuelle Appliance einzusetzen. Netzwerk Sensor Der Netzwerk Sensor stellt das klassische NIDS dar. NIDS (Network Intrusion Detection Systeme) haben die Aufgabe Datenpakete innerhalb des Netzwerks zu untersuchen. Sie arbeiten wie oben bei Intrusion Detection Systeme beschrieben. Durch die Einführung der Host Intrusion Detection Systeme hat sich der Begriff NIDS für diese "ursprünglichen" Intrusion Detection Systeme herausgebildet. Der Network Sensor ist als Appliance, sowie als Software verfügbar. Die Artikelnummern für die Appliances beginnen mit DNSA-<Bandbreite>-<HW>, wobei die Bandbreiten unten erläutert werden, die HW entspricht entweder SX-Glas, oder TX-Kupfer. Die Software Artikelnummern beginnen mit DSNSS7-<Bandbreite>. Lizenz E FE GE250 Durchsatz 10 Mbit/s, (nur als Software verfügbar) 100 Mbit/s 250 Mbit/s 229

230 GE500 GIG MG 10GIG 500 Mbit/s 1 Gbit/s 2,5 bis 6 Gbit/s (mittels Upgrade) 10 Gbit/s Enterasys Intrusion Prevention und Detection Die IDP Appliances beinhalten die Hardware, die NIPS Lizenz sowie eine HIDS Lizenz (für dieses System). Die Appliances sind außerdem mit Fail Safe Open NICs ausgerüstet, dass heißt bei einem Stromausfall kann das IPS so konfiguriert werden, dass der Datenverkehr durchgeschleift wird. Die Artikelnummern beginnen mit DIPA- <Bandbreite>-(S/T)X; als Bandbreiten sind im Moment 100,250,500,1000 und 2500 (DIPA-MG) Megabit/s verfügbar. IDS to IPS Upgrade Die IDS Appliances können auf IPS aufgerüstet werden. Dafür ist eine neue, zusätzliche Lizenz sowie für die Fail-Open Funktionalität eine andere Netzwerkkarte notwendig. Die Artikelnummern beginnen mit DSIPS-<Bandbreite>-(S/T)X. Ausnahme hierzu ist das Upgrade der DNSA-MG MultiGig Appliance zur DIPA-MG mit der Artikelnummer DIPS-MG. Host Sensor und Web Server Intrusion Prevention Der Host Sensor ist ein hostbasiertes Intrusion Prevention Werkzeug, das Web Attacken abwehren kann und die heute gängigen Betriebssysteme in Echtzeit auf Missbrauch und verdächtige Aktivitäten überwachen kann. Host Sensoren in Form von Host Intrusion Detection Systeme (HIDS) verfügen in den meisten Fällen über Komponenten, die Systemprotokolle untersuchen und Benutzerprozesse überwachen. Fortschrittliche Systeme bieten auch die Möglichkeit Viren und Trojaner Codes zu erkennen. Das Enterasys HIDS zeichnete sich dadurch aus, dass es den bekannten NIMDA-Virus bereits bei seiner Verbreitung im September 2001 erkannte ohne ein Update der Signaturdatenbank durchführen zu müssen. HIDS sind agentenbasiert, dass heißt es sollte auf jedem zu schützenden Server/PC oder auch auf Firewalls separat installiert werden. Zu beachten ist, dass die IDS Lösung auch das entsprechende Betriebssystem bzw. Firewall System unterstützen muss. Der Host Sensor kann auch auf einem dedizierten Analysesystem dazu dienen Logs von 230

231 kommerziellen Firewalls, Routern, Switchen und anderen IDS Geräten auszuwerten. Die Korrelation der Meldungen solcher Komponenten ist ein weiterer wichtiger Baustein der EIP (DIPS). Enterasys Host Sensor Software Beinhaltet die Host Sensor Software Lizenz. Die Software ist für die Betriebssysteme Windows, Linux, Solaris, HPUX und AIX auf verfügbar. Die Host Sensoren stehen unter der Artikelnummer DSHSS7-(1/25/100/500)-LIC zur Verfügung; die Zahl gibt dabei die verfügbaren Lizenzen an. Zusätzlich steht eine WebIPS Lizenz als Add-on für den Hostsensor unter DSHSS7-WebIPS zur Verfügung. Implementierungsmöglichkeiten von IDS im Netz In heutigen, geswitchten Umgebungen ist ein IDS erst nach sorgfältiger Überlegung zu platzieren. Strategische Knotenpunkte (Internetzugang, Partnerzugänge, Serverfarmen, Domain Controller, Personalabteilung, etc.) sollten von einem IDS abgedeckt werden. Mögliche Angreifer werden auf der Suche nach einem lohnenden Ziel von den Sensoren frühzeitig erkannt. Enterasys IDS Lizenzierung Die Lizenzverwaltung für das IDS/IPS erfolgt über das Portal unter Dort kann ein Account angelegt werden über den auch Testlizenzen erstellt werden können. Des Weiteren werden die nach dem Kauf eines Enterasys Produkts erhaltenen Lizenznummern in diesem Portal aktiviert und an die Hostnamen der jeweiligen Systeme gebunden. Dabei werden auf Seiten des EMS die Anzahl der verwalteten Systeme, sowie für die Sensoren, deren Funktion und Durchsatz lizenziert. Für den EMS sind die Varianten SE- 2, ME-25, LE-100, U-Unlimited verfügbar 2 bedeutet hier die Verwaltung zweier Systeme, wird also der EMS für das Reporting verwendet, zählt er hier auch als verwaltetes Gerät. Somit kann nur EMS und ein Netzwerk Sensor verwaltet werden. Zu beachten ist, dass die genutzten Funktionen auf einem Gerät hier nicht zählen, dass heißt für den EMS zählt ein System, welches IDS, IPS und Host Sensor betreibt als ein System. Auf Seiten der Sensoren sind die Funktionalitäten IDS, IPS, Host IDS und WebIPS verfügbar. Bei IDS bzw. IPS wird außerdem die verfügbare Bandbreite über die Lizenz freigeschaltet. Die Funktionen werden jeweils an einen Hostnamen gebunden. Weitere Informationen finden Sie unter 231

232 System Information and Event Management Unter SIEM (System Information and Event Management) oder SIM (System Information Management) versteht man die hohe Kunst, alle vorhandenen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen. Einsatzmöglichkeiten für SIEM Zur besseren Veranschaulichung kann die IST Situation und die SOLL Situation (bezogen auf Security Information Management) vieler Unternehmen herangezogen werden: Ist Situation: Eine Vielzahl von unterschiedlichen Systemen offeriert Dienste im Netzwerk. Die entstehenden Logmessages werden in unterschiedlichen Formaten auf unterschiedlichen Systemen gehalten und können sensible, wichtige Informationen enthalten. Soll Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk. Die entstehenden, unterschiedlich formatierten Logmessages werden zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Realtime sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht die Lognachricht. Die Technologie Technologisch wird die eben beschriebene SOLL Situation dadurch erreicht, dass alle Events (ein Event ist eine einzelne Nachricht eines Systems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems) in einer Datenbank gespeichert und korreliert werden. Aus dieser Korrelation wird ein 232

233 neuer Überevent generiert der so genannte Offense. Ein Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr Events zu einem Offense zusammengefasst werden, desto höher ist die Data Reduction Rate. Das SIEM kann dabei Lognachrichten oder auch Flow Daten von Netzwerkgeräten aufnehmen und diese in Relation zueinander setzen. Durch die ganzheitliche Strategie von Secure Networks ist es im Umkehrschluss wiederum möglich, Aktionen basierend auf den Offenses im Netzwerk zu starten. Man könnte SIEM Systeme als technische, virtuelle CIOs im Netzwerk bezeichnen, die alle erdenklichen Informationen aufnehmen und den Board of Directors (den Administratoren) dann Anweisungen erteilen. Das Enterasys Security Information & Event Management (SIEM) ist in der Lage, die vorhandenen Offenses einfach und klar strukturiert darzustellen. Da das System auch für sehr große Infrastrukturen ausgelegt ist, ist es mandantenfähig. Jeder Benutzer kann dabei selbst definieren, welche Informationen er zu Beginn seiner Session sehen möchte. Das Enterasys SIEM ist dabei wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich das Ergebnis, das Endresultat, der gezogene Schluss basierend auf verschiedenen korrelierten Events (Offense). Der Anwender ist jedoch in der Lage sich bis zur Kerninformation vor zu arbeiten, in dem er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt. Was bringt Enterasys Security Management für die Finanzorganisation? Kosten werden eingespart Aufgaben können Mitarbeitern sinnvoll zugewiesen oder automatisiert übernommen werden Die Kosten für die Analyse bzw. Aufbereitung der Daten sinkt signifikant Erhöhung des Return on Investments bei Software und Hardware Was bringt Enterasys Security Management für das operative Geschäft? Verbesserte Antwortzeiten bei Attacken Attacken, Hardware- und Softwarefehler werden besser erkannt. Dadurch können bestimmte Fehlersituationen besser zugeordnet und Aktionen besser koordiniert und geplant werden. Verbesserte, einfachere Übersicht über Security Events Signifikate Erhöhung der proaktiven und präventiven Sicherheit Auswirkungen bestimmter Aktionen können besser bewertet werden; 233

234 Auswirkungen besser berechnet werden. Was bringt Enterasys Security Management für das Business an sich? Erhöhung der Stabilität der IT Infrastruktur und damit bessere Verfügbarkeit der Geschäftsprozesse Legal Compliance Befolgung aller Regularien Minimierung der Auswirkungen für Unbeteiligte Risiken werden minimiert. Risiken werden überhaupt erkannt! Enterasys bietet mit SIEM das führende System, um die eben dargestellten Leistungsmerkmale effizient abzubilden. Korrelationsmöglichkeiten mit SIEM Das Enterasys SIEM ist dabei ferner in der Lage, Ergebnisse von Vulnerability Assessment Systemen (Sicherheitslücken-Scannern) in die Offense Bewertung einzubeziehen. Ein intelligentes Framework macht Erweiterungen möglich, die eine enorm hohe Skalierung auch bei extrem großen Netzwerken und extrem hohen Datenaufkommen garantiert. 234

235 SIEM Übersicht Enterasys bietet ferner durch die Kombination der hier aufgezeigten Systeme (HIDS, NIDS, SIEM, NAC, etc.) die Möglichkeit auf vielfältige Gefahren mit der entsprechenden Aktion zu reagieren. Gefahren können dabei auch proaktiv aus dem Netzwerk fern gehalten werden. Ein wichtiger Bestandteil dieser Secure Network Strategie ist es, dass dabei, wie bereits in diesem Kapitel über System Information und Event Management zu erfahren, eine Vielzahl von Fremdherstellern einbezogen werden können. Schnittstellen zu externen Systemen Eines der Ziele, die das SIEM verfolgt, ist, dem Administrator bei verifizierten, schwerwiegenden Problemstellungen (Security Incident, Angriff, abfallende Verfügbarkeit eines Dienstes, ausgefallener Server, etc.) darzustellen, um was es sich bei diesem Vorfall genau handelt, wie kritisch dieser ist, was dadurch beeinflusst wird und wer (welche Identität) dieses Problem verursacht hat. Dabei offeriert das SIEM dem Administrator nicht nur die IP Adresse des Initiators, sondern auch weiterführende identitybezogene Informationen (User Name, User Gruppe, Switch Port, Switch IP Adresse, Name des Switches, Policy, MAC Adresse, Authentifizierungsmethode und ob der Benutzer nur wired oder wireless online ist oder mehrere Verbindungsmöglichkeiten nutzt (z.b. wired und wireless und zusätzlich VPN). 235

236 Asset-Informationen im SIEM Der Administrator hat nun die Möglichkeit die integrierten Enterasys Schnittstellen zu nutzen, um einen bestimmten Benutzer eine neue Policy zu zu weisen oder eine MAC Adresse für eine bestimmte Zeit vom Netzwerk zu nehmen. Gefahrenquellen mit SIEM direkt aus dem Netzwerk entfernen Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe Skripte aufgerufen werden, die als Parameter die IP Adresse eines Angreifers übergeben bekommen. Die Erweiterungsmöglichkeiten, die sich dadurch ergeben, erweitern das Spektrum, innerhalb dessen die Lösung ihren Mehrwert aufzeigen kann, enorm. Interne Erweiterungsmöglichkeiten und Schnittstellen Ein Security Information und Event Management System lebt davon, Events und Flows von verschiedensten Systemen unterschiedlicher Hersteller zu lesen und diese Events zu nutzen, um sie durch das Korrelieren mit anderen Events von anderen Herstellern zu einer vernünftigen Aussage zu formen (Offense). Oftmals ist es so, dass in komplexen Kundenumgebungen exotische Applikationen nicht bekannter und kaum verbreiteter Hersteller implementiert wurden oder dass Kunden ihre eigenen Applikationen entworfen haben, die per default von den gängigen SIEM Lösungen nicht unterstützt werden. Da diese Quellen sehr wertvolle Daten enthalten können, die einen spürbaren Mehrwert während des Korrelationsprozesses darstellen könnten, bietet das SIEM einen sehr 236

237 einfachen und effektiven Weg an unbekannte Logfile Formate zu lesen und in die Korrelation aufzunehmen. Dabei muss der Administrator lediglich ein generisches / universales Device anlegen und definieren, wie die Events von diesem System interpretiert werden sollen, welches Protokoll zur Datenübertragung genutzt wird und was die Events von diesem System zu bedeuten haben. Die folgenden Screenshots zeigen, wie dieser Prozess mit Hilfe der Konfigurationsoberfläche innerhalb weniger Minuten realisiert werden kann. Schritt 1: SIEM - Sensor Devices Anlegen eines neuen generischen Devices, damit Logfiles von diesem System aufgenommen werden und entsprechend der Mustererkennung, die man selbst anpassen kann, gelesen und ausgewertet werden. 237

238 Schritt 2: SIEM-QidMapping Zuordnen des Events, so dass SIEM weiß, in welche Kausalkette dieser Event gehört und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist. Enterasys Security Information & Event Manager (SIEM) Der Security Information & Event Manager (SIEM) ermöglicht eine zentrale Übersicht über alle Ereignisse und Flows und ist die zentrale Schlüsselkomponente, bei der alle Meldungen zusammenlaufen. Zentrales Event- und Flow-Management mit SIEM 238

239 Im SIEM erfolgt eine Normalisierung von Eventdaten, eine Eventkorrelation über Produktgruppen hinweg sowie die Event Priorisierung/Roll-Up. False Positives können durch diese umfassende Korrelation besser erkannt werden. Durch die vordefinierten Importfilter für die meisten Eventformate ist eine einfache Darstellung des Security Status möglich. Mandantenfähige Übersicht mit dem SIEM-Dashboard Einen Überblick der momentan unterstützen Ereignisquellen, Flowtypen sowie Vulnerability Scanner finden Sie unter: Reporting Der SIEM ermöglicht ein einfaches Zusammenstellen eigener Reports mit dem Report Wizard. Damit ist das Erstellen von Executive Level Reports genauso einfach wie die Erstellung technischer Reports für den laufenden Betrieb. SIEM Reports 239

240 Selbstverständlich sind die Reports in offenen Formaten, unter anderem XML, HTML, PDF und CSV exportierbar. SIEM und Distributed IPS Im Zusammenspiel mit dem Automated Security Manager kann direkt auf Vorfälle im Netzwerk reagiert werden. So können betroffene Systeme mit einer Quarantäne belegt werden. Asset Management DIPS mit ASM und SIEM Über die Integration von Vulnerability Scannern wie z.b. Qualys und die Einbindung von Authentisierungslogs oder NAC Events können Kontextdaten zu den Systemen im Netzwerk gesammelt. Kontextinformationen im Asset Manager Damit werden die relevanten Daten zu einem Angreifer oder einem angegriffenen System auf einen Blick sichtbar. NBAD - verhaltensbasierte Netzwerkanomalie Erkennung Hier wird das normale Verhalten eines Netzwerks analysiert. Durch statistische Methoden werden dann Anomalien erkannt, indem nach bekannten Signaturen wie Portscans oder plötzlichen Veränderungen und Abweichungen vom bisherigen Verhalten gesucht wird. Dazu kann ein kurzfristiger Anstieg der Bandbreite oder der Anzahl der Verbindungen zählen oder bisher nicht beobachtete Verbindungen. Damit können 240

241 insbesondere Day Zero Attacken erkannt werden. Verarbeitung von Flows und Applikationserkennung mit QFlow Um das Verhalten des Netzwerks zu untersuchen, werden die Flow Informationen der Netzwerkkomponenten ausgewertet. Damit ist eine genaue Analyse des Netzwerkverkehrs von Layer 2-4 (je nach Quelle NetFlow/SFlow/JFlow) möglich. Weiterhin können dedizierte Flow Sensoren eingesetzt werden, die eine Analyse bis auf Layer 7 sowie das Mitschneiden von bis zu 64 Byte jeden Flows ermöglichen. MSSP Managed Security Service Provider Besonders interessant ist der Einsatz des SIEM für Anbieter von Sicherheits- und Reporting-Dienstleistungen. Durch die verteilte Architektur und den Einsatz dedizierter Appliances zur lokalen Aufnahme und Verarbeitung von Flow- und Eventdaten können unterschiedliche Kunden und Lokationen über einen zentralen SIEM ausgewertet werden. So besteht die Möglichkeit Reports gemäß Kundenanforderungen zu erstellen und damit Mehrwerte der Sicherheitsdienstleistungen zu dokumentieren. Ebenso lässt sich der Verwaltungsaufwand durch eine zentrales Security Operation Center erheblich optimieren und die damit verbundenen Kosten auf ein Minimum reduzieren. Je nach 241

242 Kundenwunsch kann die Datenspeicherung sowohl zentral beim Service Provider erfolgen als auch im eigenen Netzwerk verbleiben. Ebenso sind Reports über die Netzauslastung, Applikationsnutzung und andere Daten, die nicht zwingend mit der Netzwerksicherheit zu tun haben, möglich. Dies bietet sich vor allem für Provider von Hosting Diensten oder ISPs an, die ihren Kunden sowohl Sicherheits- als auch Netzwerkauswertungen anbieten möchten. Die beliebig skalierbare Architektur ermöglicht Unternehmen darüber hinaus dynamisch mit ihrem Kundenstamm zu wachsen und die Dienstleistungen transparent zu kalkulieren. SIEM Appliances Die Einstiegsappliance ist die DSIMBA7-GB. Sie ermöglicht alle Funktionalitäten der DSCC in einem Gerät zu nutzen, inklusive eines Qflow Sensors. Darüber hinaus gibt es für alle Grössenordnungen angepasste Starter Appliances, die jeweils per Software License und/oder dedizierter Hardware erweitert werden können. SIEM All-In-One und Enterprise Base Appliance Die Enterasys SIEM All-In-One Appliances erleichtern kleinen und mittelständischen Betrieben den Einstieg in die SIEM-Technologie. Sie eignen sich auch für alleinstehende Anwendungen oder Abteilungen. Die Geräte bieten den vollen Funktionsumfang vom Event Processing über Layer7 Flow-Collection und -Processing bis hin zum Offense Management. Eine All-in-One Appliance bringt alle Funktionen für den sofortigen Einsatz mit: Flow Collector, Event/Flow Anomaly Processor und Console Manager. Für größere Netzwerke mit Skalierungsbedarf sind die Enterprise Base Appliances vorgesehen. Sie lassen sich durch dedizierte Appliances erweitern und können Events/Flows auf externen Instanzen durchführen oder Traffic lokal über einen abgesetzten Flow Collector analysieren. SIEM Flow Anomaly Processor Ein SIEM Flow Anomaly Processor klassifiziert, analysiert und speichert Flowdaten. Er 242

243 bindet entweder externe Bereiche an, ohne Daten über teure WAN-Strecken zu schleusen, oder verteilt die Last über mehrere Maschinen. Jeder SIEM Flow Anomaly Processor verarbeitet unidirektional bis zu 1,2 Millionen Flows pro Minute. SIEM Event Processor Der SIEM Event Processor ergänzt die Funktionen des Flow Anomaly Processor. Er verarbeitet, normalisiert und klassifiziert bis zu Eventdaten pro Sekunde wie zum Beispiel Syslog, SNMP, OPSEC, WMI und andere. SIEM Combined Event/Flow Anomaly Processor Ein Combined Event/Flow Anomaly Processor eignet sich besonders gut für kleinere Aussenstellen. Er kann Event-, und Flowdaten bearbeiten. Maximal verarbeitet die Appliance gleichzeitig 1000 Events pro Sekunde und Flows pro Minute. SIEM Network Behavioral Flow Sensor Der Network Behavioral Flow Sensor ähnelt funktional einem Netzwerk Sniffer. Er analysiert permanent den durchlaufenden Datenverkehr und verwendet dazu über die normale Protokollerkennung hinaus auch Signaturen, um die übertragenen Daten zu IdentiFizieren. Nach der ressourcenschonenden Aufbreitung der Daten werden sie meist in kompakter Form an einen Flow Anomaly Processor zu weiteren Auswertung geschickt. Das schont die Rechenleistung des Prozessors und minimiert den Analyseverkehr. SIEM Virtual Flow Collector Mit bis zu Flows pro Minute lässt sich ein virtueller Flow Collector im Data Center, in anderen virtualisierten Umgebungen oder kleineren Außenstellen ohne eigenen Prozessor einsetzen. Dadurch muss man die notwendige Verarbeitungskapazität nicht mehr überprovisionieren. SIEM Console Manager Der SIEM Console Manager ist der Kopf der Architektur. Er liefert die grafische Benutzeroberfläche, Management- und Reportingfunktionen. Damit ist er die zentrale Anlaufstelle für die Administratoren. Die Daten aller Event und Flow Anomaly Processors laufen hier zusammen. 243

244 Respond and Remediate Enterasys Networks Solution Guide 2013/2014 Unter Dynamic Reponse versteht man die Möglichkeit für das Netzwerk, autonom auf auftretende Probleme zu reagieren. Dazu werden mehrere Komponenten kombiniert. Intrusion Detection Systeme erkennen auftretenden Missbrauch oder Sicherheitslücken und können mit Hilfe von Response Mechanismen direkt als IPS oder in der Secure Networks Architektur - mit dem ASM ins Geschehen eingreifen. Die Remediation ermöglicht es, dem so in die Quarantäne versetzten Mitarbeiter mitzuteilen, dass und warum er in der Quarantäne ist. Damit wird es auch möglich, eine Anleitung zur Selbsthilfe zu geben und somit das Helpdesk zu entlasten. Dynamic Response (wie bereits unter Detect and Locate beschrieben) kann aber auch auf anderem Wege erreicht werden. So unterstützt zum Beispiel die S-Serie das so genannte Flow Setup Throttling. Man kann (vor allem auf den User Ports) pro Port Schwellwerte definieren, welche die maximale Anzahl von Flows in einer gewissen Zeiteinheit definieren. Überschreitet der Rechner eines Users diesen Threshold, so ist das normalerweise nie auf regulären Traffic zurückzuführen, sondern ein sicheres Anzeichen für einen Virus oder eine sonstige Attacke. Je nach Konfiguration schickt der Switch dann eine Nachricht an die Managementstation oder aber der entsprechende Port wird sofort deaktiviert (und auch hier wird eine Nachricht an die Managementstation geschickt). Zum besseren Verständnis kann an dieser Stelle ein klassisches und weit verbreitetes Szenario genutzt werden. Das hier beschriebene Beispiel wird durch den Einsatz der folgenden Enterasys Networks Lösungen möglich: Enterasys NAC NetSight Console NetSight Automated Security Manager Enterasys IDS Ein User authentifiziert sich in seinem Büro über 802.1x am Netzwerk. Bevor er jedoch Zugriff auf die Ressourcen im Netzwerk erhält, wird eine Sicherheitsüberprüfung seines Endsystems realisiert. Dort wird festgestellt, dass der User die in der Firmen Policy vorgeschriebene Antivirensoftware deaktiviert hat. Der User erhält daraufhin lediglich Zugriff auf eine von Enterasys Networks bereitgestellte Webseite, die ihm eine genaue Beschreibung des Fehlers offeriert. Der User wird auf dieser Webseite daraufhin gewiesen, dass er die Antivirensoftware wieder aktivieren muss, um Zugriff auf das Netzwerk zu erhalten. Versucht der User interne oder externe Webseiten aufzurufen, so wird er bei jedem Versuch wieder auf die von Enterasys Networks gelieferte Webseite 244

245 umgeleitet. Nachdem der User die Software wieder aktiviert hat, kann er über einfaches Klicken eines Buttons auf der Webseite erneut Zugriff auf das Netzwerk verlangen. Wichtig zu erwähnen ist hierbei, dass auf dem Endsystem des Users keine Agentsoftware installiert ist. Die Einwahl erfolgte über Network Credentials des Sicherheitslückenscanners. Das Netzwerk und die beteiligten Systeme haben festgestellt, dass der User seine Antivirensoftware wieder aktiviert hat und weisen ihm seine Rolle im Netzwerk zu. Nach einiger Zeit startet der User einen Angriff auf einen internen Webserver. Diese Attacke wird vom Enterasys Intrusion Detection System erkannt. Durch die automatische Abstimmung des Enterasys IDS und des NetSight Automated Security Managers wird die Rolle des Users geändert und sein Port in Quarantäne gesetzt. Der User erhält nun lediglich Zugriff auf die von Enterasys Networks offerierte Webseite, die ihm mitteilt, dass das Netzwerk den Angriff erkannt hat und sein System aus dem Netzwerk entfernt wurde. Assisted Remediation mit ToS-Rewrite Eine Möglichkeit diese Remediation technisch zu realisieren besteht darin, alle Pakete eines Endsystems, das sich in Quarantäne befindet bzw. per DIPS vom Netz getrennt wurde, mit einem definierten DSCP (bzw. IP Precedence) Wert zu markieren. Assisted Remediation mit Hilfe von ToS-Rewrite So markierte Pakete werden dann im Netzwerk mit Hilfe einer Policy Route von den Routern zu einem Remediation Webserver geroutet. Auf diesem läuft ein modifizierter Proxy, der in der Lage ist, die Pakete an Zieladressen anderer Webserver entgegen zu nehmen und mit einer Remediation Webseite zu antworten. Dies setzt natürlich voraus, dass DHCP (falls verwendet) und DNS wie üblich gehandhabt werden oder der Remediation Server ebenfalls auf diese antwortet. 245

246 Proactive Prevention / NAC Enterasys Networks Solution Guide 2013/2014 NAC (Network Access Control) bietet Kunden und Herstellern diverse Vorteile und Möglichkeiten. Das Verfahren stellt aber hohe Ansprüche an die Struktur und Organisation des Unternehmens, das eine NAC-Lösung einsetzen möchte. Definition von NAC Im Allgemeinen gilt NAC als benutzerfokussierte Technologie. NAC autorisiert ein genutztes Endgerät und gewährt Zugriff auf Ressourcen. Dies geschieht auf Basis der Authentiizierung der Benutzeridentität (oder/und Geräts) sowie sicherheitsrelevanten Parametern und Einstellungen des Geräts, die mit entsprechenden Unternehmensvorgaben übereinstimmen müssen. Die Parameter werden mit einem so genannten Pre-Connect-Assessment ermittelt, also vor Anschluss an die Infrastruktur. Regelmäßig sollten spüter Überprüfungen im laufenden Betrieb erfolgen. Sie werden als Post-Connect Assessment bezeichnet. Teilweise und je nach Kundenanforderung verzichtet man in Implementierungen auch auf den einen oder anderen Baustein. Ein Prozess, der die Compliance wiederherstellt, die sogenannte Remediation, gehört ebenfalls zur Lösung. Die Verfahren gelten für alle Endgeräte und Nutzer am Netz, also eigene Mitarbeiter, Partner, Gäste, Kunden, für typische Netzwerkkomponenten und sonstige Geräte wie Drucker, Videokameras, etc. NAC ist allerdings kein Allheilmittel für beliebige Sicherheitsprobleme. Fehlverhalten von Nutzern und Angriffe auf Applikationsebene sind mit NAC kaum erkennbar, es sei denn, man verwendet intensiv auch Post-Connect-Assessments. Der Prozess NAC Der NAC-Prozess lässt sich sehr unterschiedlich beschreiben. Das Marktforschungsunternehmen Gartner nennt folgende Komponenten und Schritte: Policy die Erstellung einer Policy ist notwendig, um die Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die Korrektur und Quarantäneeinstellungen zu regeln Baseline erkennt den Security Status bei bzw. vor Anschluss an die Netzinfrastruktur Access Control die Zuweisung von Zugriffsrechten aus dem Vergleich von Policy und Baseline Mitigation bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung, Patch Management und Konfigurationsmanagement erfolgen 246

247 Monitor es muss laufend überprüft werden, ob der Anfangsstatus sich nicht verändert Contain falls dies doch geschieht, muss reaktiv eine erneute Quarantäne erfolgen können Maintain es muss eine laufende Anpassung und Optimierung erfolgen Wie zuvor erwähnt, sind hier die Workflows und die Organisation eines Unternehmens entsprechend anzupassen bzw. zu optimieren. Lösungsansätze Die großen Frameworks das Endziel Zunächst gestartet, um die Integrität eines Endsystems in Bezug auf Hardware- und Softwarekonfiguration sicherzustellen (und damit einen Großteil bestehender Host IPS und Personal Firewall Ansätze zu ersetzen), können diese Ansätze optimal durch bestehende APIs auch zur Kommunikation des Security Status eines Endsystems in einer NAC Umgebung genutzt werden. Die IETF teilt die Funktionen hier wie folgt ein: NAC Funktionalitäten nach IETF Der Agent auf dem Endsystem ist typischerweise mehrteilig der Posture Collector überprüft einzelne Einstellungen (je nach Hersteller des Kollektors) wie z.b. Patch Level, Antivirus Status, Personal Firewall Einstellungen, etc. und gibt diese an den Client Broker weiter, dessen API von verschiedenen Posture Kollektoren genutzt werden kann. Der Client Broker wiederum gibt diese Information an den Network Access Requestor weiter, der neben Authentifizierung auch den Security Status an die Serverseite leitet. Typisch für einen Network Access Requestor sind 802.1x Supplicants oder IPSec Clients. Beim Network Enforcement Point handelt es sich typischerweise um Switche, Router, Access Points, Firewalls und IPS Systeme oder VPN Konzentratoren. Auf der Serverseite werden die Komponenten der Client Seite widergespiegelt in Form der Network Access Authority. Diese entspricht typischerweise einem RADIUS Server bzw. einem Policy Server. Dieser steuert das Network Enforcement und den Server Broker (ein Stück 247

248 Middleware wie auch der Client Broker), der wiederum die verschiedenen Posture Validatoren anspricht. Für agentenbasierte Lösungen werden diese Methoden in den nächsten 2 bis 5 Jahren wohl eine dominierende Position einnehmen. Das Zusammenspiel in heterogenen Umgebungen Auf der Desktopebene wird Microsoft mit dem NAP Agent wohl eine maßgebliche Rolle spielen in Bezug auf Sicherheit zieht Microsoft hier die Daumenschrauben stark (vielleicht auch zu stark?) an. Die Akzeptanz der TNC Implementierungen wird in der non- Microsoft Welt groß sein, für Microsoftbasierte Endsysteme bleibt dies abzuwarten. Eine Integration der verschiedenen Systeme ist möglich auf der Serverseite hier müssen intelligente Network Access Authority Server erkennen, welche Clients installiert sind (oder clientless gearbeitet wird) und auf dieser Basis muss eine Umleitung an den entsprechenden (Network Access Authority) Server erfolgen. Enterasys geht mit Enterasys NAC diesen Weg des intelligenten RADIUS Proxy und Brokers, der diese Integration übernehmen kann. Auf dem Desktop muss sich der Kunde für jeweils einen Agenten und eine Technologie entscheiden. Enterasys NAC Enterasys hat durch seine Secure Networks Architektur eine Basis für In- und Out-of- Band NAC Lösungen geschaffen. Dabei wird der NAC Prozess vollständig durch die Secure Networks Architektur abgebildet. Allerdings ist selbstverständlich auch in Drittherstellernetzen ohne Secure Networks Unterstützung der Einsatz der Enterasys NAC Lösung unter Verwendung von Standards wie 802.1x Authentisierung und VLAN Zuweisung (RFC 3580) möglich. 248

249 NAC Prozess Erkennung und Authentisierung durch Secure Networks Authentication/ Multiuser Authentication (in Drittherstellernetzen mit den Authentication Features der jeweiligen Switche minimal RFC 3580) Assessment über das integrierte Enterasys agent based oder -less Assessment oder über die offene Assessment API auf beliebigen Produkten Authorization durch Secure Networks Policys (L2, L4 + QoS) Remediation durch die oben beschriebene Remediation Technik oder im Inline Betrieb In-band Contain über die Integration des ASM Das Post-Connect Assessment kann hier im Monitorprozess durch die Integration der Enterasys SIEM und IDP Lösung erfolgen. Da hier standardisierte Webservices Schnittstellen zur Verfügung stellen, ist natürlich auch die Einbettung beliebiger und eventuell schon vorhandener Sicherheitsdienste möglich. Die Enterasys NAC Lösung ermöglicht die Umsetzung der unterschiedlichen NAC Modelle switchbased Out-of-Band mit einer einheitlichen Managementoberfläche. Dabei kommen die Komponenten Enterasys NAC Manager für den Out-of-Band Betrieb und das NAC Gateway zum Einsatz die genaue Zusammenstellung wird im Produktportfolio erläutert. Die Enterasys S-Serie Switche erlauben zusammen mit der schon bestehenden Out-of- Band Lösung die Umsetzung von NAC im Datenstrom an wichtigen Übergabepunkten im Netzwerk. Damit ist der NAC Prozess für jedes Endsystem, welches ans Netzwerk angebunden wird, identisch egal ob der Anschluss an das LAN, WLAN oder z.b. über einen VPN Konzentrator von außen erfolgt. Damit ist Enterasys der einzige Hersteller, der mit einer Architektur alle möglichen hardwareorientierten NAC Lösungen abbilden kann. 249

250 NAC für Fortgeschrittene Enterasys Networks Solution Guide 2013/2014 Die NAC Lösung von Enterasys erlaubt nicht nur den klassischen NAC Ansatz sondern stellt viele weitere Möglichkeiten für eine einfache Umsetzung der Zugangskontrolle zur Verfügung. Im Zusammenhang mit einer NAC Lösung im Distribution Layer bei der am eigentlichen Access Port noch ältere oder einfachere Komponenten eingesetzt werden stellt sich oft die Frage, ob diese überhaupt 802.1x-fähig sind oder inwiefern eine vom Access Switch durchgeführte 802.1x Authentisierung überhaupt genutzt werden kann, wenn dieser nur die Zuordnung eines VLANs unterstützt. Für den Fall, dass der Access Switch kein 802.1x unterstützt oder die Umsetzung von 802.1x im Unternehmen zu aufwändig wäre, bietet sich mit Kerberos Snooping eine relativ einfach zu handhabende, aber auch sichere Lösung an. Dabei geht man davon aus, dass die Endsysteme sich per Kerberos im Unternehmen anmelden, was z.b. bei einer Microsoft Active Directory Umgebung der Fall ist sobald der jeweilige Rechner in der Domäne Mitglied ist. Die Kerberos Pakete werden dann zum NAC Gateway weitergeleitet und dort mitgelesen, wobei Passwörter natürlich verschlüsselt übertragen werden. Benutzername, Domänenzugehörigkeit und ob die Anmeldung erfolgreich war, lässt sich aber herauslesen. Im Falle einer erfolgreichen Anmeldung ist dann klar, dass es sich um ein Endsystem handelt, das zum Unternehmen gehört (wegen der erfolgreichen Domänenanmeldung) sowie der Benutzername, welcher die Authentisierung durchgeführt hat. Diese Informationen können dann direkt zur Autorisierung, dass heißt der Rechtevergabe für den jeweiligen Benutzer dienen. Damit lassen sich die Vorteile einer 802.1x Lösung ohne deren Implementierungsaufwand nutzen. Kerberos Snooping RADIUS Snooping 250

251 Ein netter Nebeneffekt beim Kerberos Snooping, auch ohne die Verwendung des Benutzernamens zur Autorisierung, ist die Tatsache, dass die Benutzer hinter den Endsystemen dem Netzwerkadministrator bekannt werden. Wird auf den Access Switchen schon 802.1x eingesetzt, um die Endsysteme zu authentisieren, so können mit RADIUS Snooping die Autorisierungs- bzw. Secure Networks Policyfeatures eines Enterasys Switch im Distribution Layer genutzt werden. Dabei liest der Enterasys Switch die RADIUS Pakete mit und wendet das für den Access Switch zurückgegebene Regelwerk auf die MAC Adresse des in der RADIUS Session angegebenen Endsystems an. Zur Benachrichtigung im Fehlerfall bzw. zur Kommunikation mit dem Benutzer bei der Anmeldung dient in der Enterasys NAC Lösung die Remediation. Dahinter verbirgt sich ein Captive Portal wie man es aus WLAN HotSpots kennt. Darüber können dem Benutzer im Falle eines Netzwerkausschlusses Informationen über die Gründe übermittelt werden bzw. über den Zugang zu einem Patch Server die Möglichkeit zur Selbstheilung geboten werden. Dies kann natürlich auch genutzt werden, um das Problem mit neuen Endsystemen oder Gästen zu lösen. Hierbei werden die Webanfragen eines neuen Endsystems am Netzwerk zu einer Webseite umgeleitet auf der das jeweilige System registriert werden muss dazu wird auf ein vorhandenes LDAP (z.b. Active Directory) zurückgegriffen. Dabei werden die Daten des Benutzers des neuen Systems eingetragen; der ausführende Mitarbeiter bestätigt mit seinem Domänenzugang die Gültigkeit dieser Daten. MAC Registration - Zugangskontrolle für Fremdsysteme Somit ist für jedes Gerät am Netzwerk ein zuständiger Mitarbeiter eindeutig benennbar und der Zugriff zum Netzwerk transparent. Selbstverständlich lässt sich hier die 251

252 maximale Anzahl von Geräten pro Benutzer konfigurieren, überhaupt ist diese Lösung nahezu beliebig an Kundenwünsche anpassbar. Assessment Das Assessment dient der Überprüfung des Endsystems. So kann z.b. überprüft werden, ob ein Virenscanner installiert ist, ob dieser aktuell ist und ob die Mindestanforderungen an ein eingesetztes Betriebssystem eingehalten werde. Enterasys bietet hierbei eine agentenbasierte sowie eine agentenlose Lösung an. Health-Check Möglichkeiten mit Enterasys NAC Über die weiter unten beschriebene Assessment API besteht die Möglichkeit zur Integration von nahezu beliebigen weitere Assessment-Diensten. Integrationsmöglichkeiten Die Enterasys Network Access Control Lösung und die durch diese Produktlinie offerierten Schnittstellen sind integraler Bestandteil der Enterasys Defense Suite. Damit ist es möglich über SIEM sehr einfach und komfortabel auf die Features und Leistungsmerkmale der Enterasys Network Access Control Lösung zuzugreifen. Assessment API Ein Bestandteil dieser Lösung ist die Möglichkeit Endsysteme, bevor diese Zugriff auf Netzwerkressourcen erhalten, auf Sicherheitslücken zu überprüfen. Die in diese Lösung integrierte Scanningtechnologie kann dabei agentenbasiert oder rein über das Netzwerk arbeiten. Für die Kommunikation der verschiedenen unterstützen Assessment Produkte aus dem Hause Enterasys oder von Partnerunternehmen oder unterstützen 3rd Party Herstellern wird ein von Enterasys entwickelter Protocolstack genutzt, der die Events der Assessmentprodukte in Events, die durch die Enterasys NAC Lösung verstanden werden, übersetzt und die Kommunikation zwischen den Devices absichert (Authentifizierung 252

253 und Verschlüsselung). Oftmals ist es so, dass Kunden, die über den Einsatz von Network Access Control Lösungen nachdenken, bereits Assessment und Patch Management Systeme im Einsatz haben. Diese bereits implementierten und erprobten Lösungsbausteine müssen dann Teil der Network Access Control Lösung werden. Da es schier unmöglich ist, alle auf dem Markt vorhandenen Lösungen in diesem Bereich per Default zu unterstützen, offeriert Enterasys eine eigene Assessment API (Application Programmers Interface), die es dem Kunden ermöglicht, bereits vorhandene Lösungen zu integrieren. Dabei ist es wichtig zu wissen, dass nicht nur die Events der bereits implementierten Systeme gelesen und interpretiert werden, sondern auch die Steuerung der Scans durch die Enterasys NAC Lösung erfolgt. Wie beim SDK (Software Development Kit), das innerhalb der Enterasys Host Intrusion Detection Lösung angeboten wird, kann der Entwickler / Administrator auch bei der NAC API die Entwicklungssprache frei wählen. Die Libraries, gegen die der Code der Assessment Engines dabei gelinkt werden muss, wird in JAVA zur Verfügung gestellt. Durch das Bereitstellen einer aussagekräftigen und umfassenden Dokumentation mit entsprechenden Beispielen ist die Integration neuer noch nicht unterstützter Lösungen in die Enterasys Network Access Control Produktpalette effizient und einfach realisierbar. Web Services Da die Enterasys Network Access Control Lösung viele Mehrwerte zur Erhöhung der Gesamtsicherheit innerhalb eines Unternehmens beisteuern kann, werden die Leistungsmerkmale der Lösung über gut dokumentierte Web Services auch anderen Produkten und Herstellern zur Verfügung gestellt. Somit können die Features, die die Enterasys NAC Lösungen abbilden können, auch von anderen Produkten genutzt werden (zum Beispiel: neue Policy für eine Liste von Endsystemen). Zur Integration eigener Applikationen muss hier der Enterasys Professional Service in Anspruch genommen werden. 253

254 Notrufintegration von Enterasys NAC und VoIP-Management als SOA Automated Security Manager Für alle Enterasys Security Produkte (Enterasys Defense Suite und Enterasys Network Access Control) bietet der Enterasys Automated Security Manager (ASM) Schnittstellen und Features zur Ansteuerung und Konfiguration externer Devices (z.b. Router und Switche) an. Durch die Flexibilität und die Erweiterungsfähigkeiten dieses Produkts können Deployments, die mit Enterasys Produkten realisiert wurden, in nahezu allen Unternehmensnetzwerken ihren herstellerunabhängigen Mehrwert ausspielen. Auch der ASM ist dabei in der Lage durch benutzerdefinierte Erweiterungen, die auch per Script übergeben werden können, seinen Leistungsumfang zu erhöhen und sich so auf Kundenbedürfnisse optimal einstellen zu können. VPN Integration Die Integration von NAC in bestehende VPN Lösungen erhöht die Transparenz deren Nutzung. Zusammen mit RADIUS Accounting lässt sich präzise nachverfolgen, wer zu welchem Zeitpunkt im Netzwerk war. Enterasys NAC bietet momentan out-of-band Unterstützung für die folgenden VPN Lösungen: Enterasys XSR, Cisco ASA und Juniper SA. Die Unterstützung zusätzlicher VPN Lösungen wird für zukünftige Versionen der NAC Lösung evaluiert. Die Integration dieser Geräte passiert über RADIUS, allerdings wird die MAC Adresse des Endgerätes nicht benötigt, da VPNs diese Information nicht abfragen. 254

255 Autorisierung Die Autorisierung für VPN Geräte ist ausgegliedert, um Multi-Layer-Autorisierung zu erlauben. Das erste Layer wird mit den RADIUS Response Attributen direkt auf dem VPN angewandt. Da die meisten VPN Geräte das Resetten des Autorisierungslevel eines User nicht dynamisch erlauben, ohne dass ein Re-Connecting zum VPN passiert, bietet Enterasys ein optionales zweites Layer. Das zweite Layer ist eine S-Serie zwischen dem internen Port des VPN und dem internen Netzwerk zu setzen. Dies erlaubt der NAC Appliance die S-Serie zu nutzen, um mit IP-zu-Policy-Mapping einen granulareren, sekundären Zugangskontrollmechanismus bereit zu stellen. Technische Limits und Rahmenbedingungen Die XSR und Cisco Integrationen stellen nahtlos alle NAC Fähigkeiten bereit. Die Juniper Integration ist beschränkter: Da NAC die User IP Adresse nicht aktiv von Juniper Geräten beschaffen kann, muss es sich auf die passive IP Beschaffung via RADIUS Accounting verlassen. Erst dann kann dem User eine Policy zugewiesen werden. Eine weitere Einschränkung ist, dass ein User auf einem Juniper Gerät nicht durch die NAC Appliance aus dem Netzwerk verwiesen werden kann. Profiling von Gerätetypen Heutzutage müssen Netzwerkadministratoren eine große Vielfalt an Geräten in ihrem wired und wireless Netzwerk verbinden, vorhalten, verwalten und sichern. Oft sind Netzwerkbasisinformationen, wie MAC, IP, Host Name, etc., nicht ausreichend, um zu entscheiden, welche Policy an welches Connecting Device vergeben wird. Es ist wichtig zu wissen, welche Art von Gerät sich verbindet, um bessere Netzwerk-Vorsorge betreiben zu können. 255

256 Enterasys NAC löst dieses Problem durch die automatische Erkennung von Gerätetypen durch das Nutzen der folgenden Methoden: Zusätzlich zu dem automatisch erstellten Inventar für alle Geräte, ihre Typen und Lokationen im Netzwerk, bietet dieses Feature auch eine Lösung für andere, typische User Fälle: Universitäten und Unternehmen: o Alle Geräte können leicht IdentiFiziert werden, so dass zwischen Gast und Mitarbeiter, Dozenten oder Studenten unterschieden werden kann. Policies können angewendet werden, Bandbreite und Zugang basierend auf diesen Informationen begrenzt werden. o Enterasys NAC kann mobile Geräte, wie iphones, ipads und Androids leicht erkennen, so dass Netzwerkadministratoren Richtlinien für deren Umsetzung je nach Bedarf implementieren können. Alle durch das Unternehmen genehmigte Systeme nutzen das selbe Betriebssystem: Wenn ein User sich von einem System authentifiziert, das ein anderes Betriebssystem nutzt, kann ihm beschränkter oder kein Zugriff auf Netzwerkressourcen gegeben werden. Zugang beschränken, wenn ein Nutzer sich von einem potentiell unsicheren Gerät ins Netz einloggt: Da die BYOD (Bring Your Own Device) Bewegung immer größer wird, ermöglicht die Fähigkeit mobile Geräte automatisch zu erkennen und zu IdentiFizieren es Unternehmen, zwischen Mitarbeiter-eigenen und Corporate- Geräten zu unterscheiden und die entsprechenden Policies anzuwenden. Diese Fähigkeit wird untenstehend im Detail beleuchtet. 256

257 Enterasys Network Access Control / Identity & Access Management Mit Enterasys Network Access Control kann in allen Netzwerken ein wirksamer Schutz des Netzwerkzugangs gewährleistet werden - unabhängig von dem gewählten Policy Enforcement Point Typ. Ab der NetSight Version 4.3 wird die NAC Lösung auch unter dem Namen Mobile Identity & Access Management (Mobile IAM) vertrieben. Dies soll deutlich machen, dass NAC heute für unsere Kunden nicht nur eine Sicherheitslösung für Zugangsschutz darstellt, sondern vielmehr auch ein Endgeräte- und Usermanagement zur Verfügung stellt. Durch die live Inventarisierung aller am Netz angeschlossenen Geräte und Benutzer bietet man dem Administrator und Help Desk ein Werkzeug, mit dem operative (z.b. Troubleshooting) aber auch strategische (z.b. Netzplanung) Prozesse deutlich effizienter gestaltet werden können. Desweiteren soll mit dem Zusatz Mobile darauf verwiesen werden, dass sich unsere Lösung optimal dazu eignet, der BYOD Herausforderung entgegen zu kommen. Mobile Endgeräte (ob firmeneigene oder mitarbeitereigene Geräte) werden durch Mobile IAM sofort im WLAN erkannt, authentisiert und autorisiert (oder in Quarantäne verschoben). Für bestehende Enterasys Kunden werden die Secure Networks Features der bestehenden Komponenten durch die Out-of- Band Lösung zu einer vollständigen NAC Lösung aufgewertet. Dies ist natürlich auch in einem Drittherstellernetzwerk möglich, sofern die verwendeten Komponenten Authentisierung (möglichst standardnah - IEEE 802.1x) sowie Autorisierung (RFC 3580) unterstützen. Out-of-Band NAC Gleichzeitig wurde ein Augenmerk auf die Unterstützung vieler neuer und innovativer Features gelegt. So ist das im Lösungsportfolio beschriebene RADIUS und Kerberos Snooping in die Lösung integriert und ermöglicht somit an zentraler Stelle, z.b. im Distribution Layer, die Einführung von benutzerbezogener Authentisierung und Autorisierung ohne die Hürde eines kompletten 802.1x Rollouts. In den folgenden Abschnitten werden wir nun im Detail auf die einzelnen funktionalen Module der Enterasys NAC Lösung eingehen. 257

258 Authentifizierung Enterasys Networks Solution Guide 2013/2014 Enterasys NAC unterstützt eine ganze Bandbreite von Authentifizierungs-mechanismen, um eine möglichst umfassende Kompatibilität sicher zu stellen: 802.1x portbasierte Authentifizierung EAP-TLS, PEAP, EAP-MD5, EAP-TNC, EAP-SIM oder EAP-TTLS via RADIUS Server MAC-basierte Authentifizierung (via MAC Adresse durch RADIUS Server) IP-basierte Authentifizierung (für Layer 3 Controller) Webbasierte Authentifizierung Lokaler Webserver und URL Redirect - Überprüfung durch RADIUS Webbasierte MAC Registrierung (typischer Gastzugang) Default Authentifizierungsrolle (Erfassung ohne Authentifizierung) RADIUS Snooping Kerberos Snooping Das NAC Gateway agiert dabei als vollwertiger RADIUS Server oder RADIUS Proxy. Dies wird durch weitere Optionen abgerundet, die unter anderem eine einfache Verwaltung von Gästen im Netzwerk erlauben. Im NAC Manager werden die Authentisierungsparameter vorgegeben. So kann bestimmt werden, ob die Authentisierungsanfragen für MAC Authentisierungen lokal beantwortet werden oder an den zentralen RADIUS Server weitergeleitet werden. Es können dabei nicht nur mehrere AAA Konfigurationen mit unterschiedlichen RADIUS Servern angelegt werden, sondern auch dedizierte LDAP Server angegeben werden. Die Unterscheidung, welche Gruppe zu nehmen ist, kann nur auf den Access Switch bezogen sein oder aber auch auf Teile der Benutzernamen mit Hilfe von Wildcards. So lässt sich immer sicherstellen, dass der korrekte Server (egal, ob RADIUS oder LDAP) für die korrekte Domäne und die aktive NAC Konfiguration verwendet wird. Autorisierung Um ein Maximum an Flexibilität zu erreichen, besteht mit der Rule Matrix" die Möglichkeit, Zugriffsrechte anhand einer Vielzahl von Parametern zu definieren. Folgende Filterkriterien können einzeln oder in Kombination verwendet werden, um eine 258

259 erfolgreiche Umsetzung verschiedenster Unternehmensrichtlinien direkt am Netzwerkzugang zu erzielen: Authentisierungsmethode (MAC, 802.1X EAP-TLS, 802.1X PEAP, PAP, CHAP, etc.) Benutzergruppe (lokale Benutzerdatenbank, LDAP oder RADIUS Gruppen) Gerätegruppe (Gruppen von MA Addressen, IP Adressen oder Hostnamen) Gerätetyp (z.b. iphone, Android, Blackberry, etc.) Lokation (Switch, Switchport, Access Point, SSID) Uhrzeit (z.b.: an Wochentagen von 08:00 18:00 Uhr) Dies wird zusätzlich durch eine Erweiterung der Kommunikation mit Verzeichnisdiensten ergänzt. So kann die NAC-Engine direkt Parameter via LDAP abfragen und die Ergebnisse in das Regelwerk mit einbeziehen. Selbstverständlich ist dies für einzelne Domänen und Switche separat konfigurierbar und erlaubt damit auch in komplexen Netzwerken eine umfassende, zentrale Verwaltung. Weitere Konfigurationsoptionen umfassen unter anderem auch die Ausgabe benutzerdefinierter RADIUS Parameter und damit eine vollwertige RADIUS Server Implementation. Der RADIUS Server auf dem NAC Gateway unterstützt ebenfalls RADIUS Accounting und erleichtert damit die exakte Erkennung, wann ein Benutzer sich 259

260 abgemeldet hat. Diese Funktionalität legt auch gleichzeitig den Grundstein für Aktionen, die beim Logout ausgeführt werden und für spätere Reporting Optionen. In Kombination mit den der Rule Matrix" können so unterschiedliche Mobility Zonen eingerichtet werden, die ein dynamisches Management von drahtgebundenen und drahtlosen Zugangspunkten innerhalb einer einheitlichen Konfigurationsoberfläche ermöglichen. Der komplette Prozess läuft dabei völlig transparent für das Endsystem ab, so dass der Benutzer selbst nicht mit zusätzlichen Konfigurationshürden belastet wird. Ein Endsystem muss sich also nur anmelden und alles Weitere findet im Hintergrund statt. So können als mögliche Aktionen sowohl dynamische Policies (bei Enterasys Infrastrukturen) gesetzt oder bei Drittherstellern VLAN IDs/Namen (RFC 3580) an den Access Switch gesendet werden. Es sind aber auch beliebige RADIUS Attribute je nach Switch Hersteller konfigurierbar (um ACLs und ähnliche Konfiguration zu aktivieren). Web Portal Das NAC Gateway bietet neben der RADIUS Funktionalität auch ein vollwertiges Web Portal, welches für verschiedenste Anwendungsgebiete genutzt werden kann. Das Portal dient primär zur Registrierung und Authentisierung von Gästen im LAN und WLAN zugleich. 260

261 Hier können Gäste sich selbst registrieren über einen Sponsor des besuchten Unternehmensfreigeschaltet werden über oder SMS authentisiert werden Desweiteren kann z.b. Empfangspersonal über dieses Portal auch Gästezugänge vorab drucken und diese den Besuchern direkt aushändigen. Die derzeit sicherste Form des Gastzugangs ist das automatisierte Versenden von Benutzerkennwörtern über SMS oder , welche der Gast dann zur Anmeldung an einer mit 802.1X und WPA-2 abgesicherten SSID verwenden kann. Gastzugänge können und sollen auf einen bestimmten Zeitraum beschränkt werden, um unnötige Sicherheitslücken und Datenleichen zu vermeiden. Auch BYOD-Geräte von Mitarbeitern, die unter Umständen IEEE 802.1X nicht unterstützen, lassen sich durch die Eingabe der Active Directory Credentials des Mitarbeiters am Portal eigenständig freischalten. 261

262 Assessment Enterasys Networks Solution Guide 2013/2014 Die Enterasys NAC Lösung erlaubt die zentrale Konfiguration des Endsystem Assessments über den NAC Manager. Konfiguration des agenten-basierten Assessments: 262

263 Konfiguration des agenten-losen Asessments: Zum Freischalten der Assessment Funktionalitäten in der Enterasys NAC Lösung wird zusätzlich eine NAC-ASSESS-LIC pro NAC Appliance benötigt. Durch eine Kombination der Secure Networks Distributed IPS Funktionalität und Enterasys NAC kann Endsystemen der Zugang zum Netzwerk dauerhaft verwehrt werden. Damit ist ein - nach Gartner unverzichtbarer Bestandteil von NAC möglich - ein kombiniertes Pre- und Post-Connect Assessment der Endsysteme. Damit ist auch eine der letzten Lücken geschlossen. Schließlich war es einem infizierten Endnutzer bis jetzt möglich nach der Aktivierung der Quarantäne durch den ASM einfach auf einen anderen Port zu wechseln. Durch die Integration des ASM mit dem NAC Manager wird die MAC Adresse des Endsystems jetzt bei auffälligem Verhalten in eine Blacklist aufgenommen, so dass dem Endsystem bei erneuter Authentisierung direkt der Zugang zum Netzwerk verwehrt wird. Das Assessment wurde sowohl in einer agentenbasierten als auch in einer agentenlosen Version von Enterasys in die NAC Lösung integriert, das heißt ein Assessment ist auch ohne zusätzlichen Assessment Server möglich. Selbstverständlich ist die Ankopplung externer Assessment Dienste 263

264 möglich. Dafür wurde eine komplett offene Assessment API geschaffen, die durch den Enterasys Professional Service erweiterbar ist. Besonders deutlich zeigt sich die Flexibilität des Assessments in Kombination mit anderen Verfahren, wie zum Beispiel mit Microsoft NAP. Um Microsoft NAP flächendeckend erfolgreich einzusetzen, ist auch eine entsprechende Kompatibilität der Endsysteme zu dem Verfahren erforderlich. Dies lässt sich jedoch in der Praxis so gut wie nie umsetzen und erschwert einen Rollout in Umgebungen erheblich, die nicht überall NAP oder gar 802.1x kompatibel sind. So ist das Assessment von Enterasys in der Lage zu erkennen, ob ein Client durch NAP geschützt wird oder ob durch eigene Assessment Tests geprüft werden soll. Ebenso kann in Umgebungen ohne 802.1x-Kompatibilität beispielsweise Kerberos Snooping verwendet werden in Kombination mit dynamischen LDAP Anfragen, um weitere Merkmale wie die Gruppenzugehörigkeit mit in Betracht zu ziehen. Dadurch wird eine flächendeckende, lückenlose und fortlaufende Sicherheit aller Endsysteme gewährleistet, unabhängig von den spezifischen Assessment- und Remediation-Möglichkeiten von nicht-kompatiblen Clients. Es ist davon auszugehen, dass eine vollständige Migration zu den großen Assessment Frameworks wie NAP noch einige Jahre in Anspruch nehmen wird. Gerade deshalb ist eine flexible Lösung, die eine Migration je nach Bedarf erlaubt und unterstützt, der beste Investitionsschutz. Reporting und Management Die Enterasys NAC Lösung wird über NAC Manager verwaltet. Der NAC Manager ist auch zentrale Sammelstelle für alle Informationen bezüglich neuer Endsysteme und dedizierter Endsystemkonfigurationen. Im Betrieb liegt die gesamte Konfiguration dezentral auf den jeweiligen NAC Gateways, der NAC Manager wird nur für Konfigurationsänderungen und Reporting Funktionalitäten benötigt. Das Reporting erfolgt über das webbasierte OneView. Hierbei bietet das neue Reporting Dashboard eine transparente, zentrale Oberfläche, um jederzeit über den Zustand im Netzwerk informiert zu werden. 264

265 OneView Identity & Access Management Dashboard Durch die separat zu verwaltende Oberfläche können so auch andere Abteilungen auf diese Informationen zugreifen und nach Bedarf den aktuellen Status des Netzwerkes einsehen, ohne konfigurationsändernde Berechtigungen zu erhalten. Besonders für den Einsatz im Helpdesk bietet sich der Zugriff auf diese Daten an, da hier übersichtlich der Status einzelner Endsysteme abgefragt und präsentiert werden kann. Dies beinhaltet nicht nur Infrastrukturangaben wie den Switchport oder eine erfolgreiche/fehlgeschlagene Authentifizierung, sondern auch weitreichende Detailinformationen aus dem Assessment, dem verwendeten Username oder gar dem Betriebssystem. Damit wird die Suche nach Informationen bei der Fehlersuche erheblich verkürzt und liefert einen immer aktuellen Netzwerkstatus zu jedem Endsystem. 265

266 Port View Übersicht zu einem Endsystem mit Interaktiven Grafikelementen Port View NAC Details eines Endsystems 266

267 Einfache Änderung der Autorisierung eines Endsystems durch den Help Desk mit einem Klick Bring Your Own Device (BYOD) Ständig kommen neue mobile Geräte auf den Markt. Ihre Preise fallen, ihre Prozessorleistung steigt und sie konkurrieren bereits mit modernen Laptops und PCs. Die neuen Mobilsysteme erhöhen Flexibilität und Produktivität. Kritische Applikationen und Daten liegen sozusagen auf der Hand - weltweit und jederzeit zugänglich. Viele sehen darin einen Wendepunkt in der Geschichte der traditionellen IT. In jedem Fall bedeutet die explosionsartige Verbreitung dieser Geräte erhebliche Herausforderungen bei der sicheren Verwaltung des Unternehmensnetzes. Derzeit hinkt die Unternehmens- IT diesen Trends hinterher. Denn jedes mobile Gerät bedeutet ein neues Sicherheitsrisiko für das Unternehmensnetz. Administratoren kennen die Risiken traditioneller Endsysteme wie Laptops und Desktops. Diese Geräte können nur selten eine separate Datenverbindung herstellen, die etablierte physikalische Netzwerkkontrollen und Policies aushebelt. Androids, iphones, Windows Mobile Devices, Blackberries und verschiedene Tablets allerdings, die im Zug des BYOD (Bring Your Own Device)-Trends in die Unternehmensnetze einziehen, haben unter Umständen gleichzeitig 3G- oder WiFi-Verbindungen zu ungesicherten Netzwerken wie dem Internet und zu Unternehmensnetzen. Ohne agentenbasierte Mobile Device Management (MDM)-Lösung erfährt der Administrator kaum Details zum mobilen Gerät und seinem Verhalten im Netz. Er weiß weder, ob es gesund noch wie sicher es ist. Doch selbst MDM-Produkte sind keine perfekte Lösung. Denn viele MDM-Lösungen erkennen nicht, wie ein Gerät und der 267

268 darauf geladene MDM-Agent mit dem Managementsystem kommunizieren, sie wissen also beispielsweise nicht, wo das Gerät ans Netz angebunden ist, ob also beispielsweise ein Telefon direkt am Unternehmensnetz hängt oder nicht. Vielmehr befassen sie sich vor allem mit dem offenen Kanal zwischen dem Managementsystem und dem betreffenden Gerät. Außerdem verwalten MDM-Lösungen nur Geräte, auf die ein Softwareagent geladen wurde - andere auch dann nicht, wenn sie sich mit dem Netz verbinden wie in BYOD (Bring Your Own Device)-Umgebungen üblich: Bei BYOD gewähren Organisationen den mobilen Geräte ihrer Mitarbeiter oder von Dritten Zugriff auf das Firmennetz. Das ist eine ernste Herausforderung für Netzwerksicherheit, Anwendungen und Daten. Die ganzheitliche Herangehensweise von Enterasys NAC bewältigt diese Herausforderung. Das System erkennt, authentifiziert und bewertet die Sicherheit individueller Mobilsysteme ganz oder teilweise durch die Integration mit bestimmten MDM-Lösungen. Auf Basis der Bewertung werden den Geräten unabhängig von der Mobilstrategie des Anwenderunternehmens intelligente Policies zugewiesen. Die NAC-Funktionen im Detail: Mobile Device IdentiFication: Enterasys NAC IdentiFiziert mobile Geräte, so dass gerätespezifische Richtlinien entwickelt und zugewiesen werden können. Administratoren in Organisationen, die ein BYOD-Konzept umsetzen, IdentiFizieren so mit oder ohne MDM-Lösung schneller unbekannte oder verbotene Geräte und können gerätespezifische Policies erstellen und zuweisen. Mobile Device Authentication: Enterasys NAC authentifiziert mobile Geräte am Netzwerkzugangspunkt und leitet möglicherweise unbekannte oder unsichere Geräte an das eigene interne (oder externe) Captive Portal um. So lässt sich BYOD realisieren, ohne die Sicherheit im Netz zu gefährden. Mobile Device Assessment: Die Integrierte interne Assessment-Engine von Enterasys NAC, ist in der Lage mit bestimmten MDM-Lösungen zu kooperieren. Das steigert Übersicht und Kontrolle hinsichtlich am Netz befindlicher Mobilgeräte. MDM-Lösungen arbeiten Geräte-zentrisch, wobei Mobilgeräte sehr unterschiedliche Funktionen bieten. Das bedeutet Sicherheitsherausforderungen, die sich durch die Integration mit Enterasys NAC bewältigen lassen. Denn so weiß das NAC, ob das Gerät verwaltet wird und kennt Status und Sicherheit des Geräts am Netzzugang. Administratoren können auf diese Weise bekannten Geräten mit einem durchs MDM-System festgestellten zweifelhaften Gesundheitsoder Sicherheitsstatus den Zugriff verweigern. 268

269 NAC-Funktionen ermöglichen es einer Organisation, BYOD erfolgreich auch ohne MDM- System zu implementieren, vor allem, wenn sie keine gemanagten mobilen Geräte haben. Administratoren können durch die Kombination von Geräteprofilen und eine Registrierung Geräte IdentiFizieren und bereitstellen, ohne in eine MDM-Lösung zu investieren. Organisation, die mobile Endgeräte noch besser überwachen und bewerten wollen, können das durch die Integration mit Enterasys MDM realisieren. Diese Lösung erfasst neben der bloßen Existenz der Geräte auch ihre Gesundheit. Mobile Devices und Virtual Desktop Infrastructure (VDI) Bei der Betrachtung einer mobilen Geräte Strategie für die Organisation, gibt es noch eine weitere Option, außerhalb dessen, was oben beschrieben wurde und bietet eine einzigartige Daten- und Anwendungssicherheit. Das ist die Virtual Desktop Infrastructure (VDI), von Anbietern wie Microsoft, Citrix und VMware zur Verfügung gestellt. In einem solchen Szenario sind alle Daten und Anwendungen an einem zentralen Ort, auf welchen das Gerät Remote über eine virtuelle Schnittstelle zugreift. In Kombination mit Enterasys NAC verwendet, kann eine Organisation: Den Zugriff für mobile Endgeräte im Unternehmensnetzwerk auf VDI Nutzung beschränken Nutzerbasierte Policies für die VDI-Session im Rechenzentrum durchsetzen Alle anderen Verkehr zu externen Ressourcen (zb ein Internet-Proxy) routen Durch den Einsatz des NAC zusammen mit einer VDI-Lösung in dieser Weise wird kritischer geschäftlicher Daten niemals auf dem mobilen Gerät gespeichert. Sie werden immer innerhalb des Rechenzentrums bleiben, wo sie nur angesehen und mit VDI- Technologie für Remote Zugriff geändert werden können. Andere Anwendungen können nicht auf diese Daten zugreifen und wenn der Mitarbeiter das Unternehmenareal 269

270 verlässt, können die Daten nicht mitgenommen werden. Der Mitarbeiter kann andere Anwendungen nutzen, um vollen Nutzen aus dem Funktionsumfang des Geräts zu haben, ohne dabei die Sicherheitsrichtlinien des Unternehmens zu verletzen. All dies wird unter Verwendung von leistungsstarken Enterasys Policies erreicht, die direkt am Netzzugang des mobilen Geräts durchgesetzt werden dem WLAN-AP. Natürlich ist diese Lösung voll in die Enterasys NAC-Lösung integriert und bietet somit den vollen Umfang an NAC-Funktionalitäten, wie zentrales End-System-Management, Gerätetyp Profiling, Standortbestimmung, Gast-Zugang, etc. OneFabric Connect Mit OneFabric Connect bietet der NetSight Server die Möglichkeit, andere Management Systeme, wie z.b. VoIP Systeme, Palo Alto, iboss, Microsoft SCCM, eigene Datenbanken, etc., mit NetSight zu integrieren. Die ermöglicht Vorteile im Betrieb und Troubleshooting wenn z.b. erweiterte Geräteinformationen (z.b. Telefonnummer, Hardwaretyp, Softwarestand, Kostenstelle, etc.) aus externen System oder Datenbank in NAC importiert werden. Des Weiteren können Endgeräte durch solche Informationen auch automatisiert in NAC in eine entsprechende Autorisierungsgruppe provisioniert werden, um somit einen großen Rollout von NAC zu unterstützen, bzw. im täglichen Betrieb neu beschaffte System automatisiert zu autorisieren oder veraltete/verlorene/gestohlene Systeme automatisiert zu blocken. Die folgende Grafik zeigt erweitere Endsystem-Informationen, die über OneFabric Connect aus Microsoft System Center Configuration Manager und Palo Alto gewonnen wurden. Dazu bietet Enterasys heute schon bestehende Integrationen aber auch einen Professional Service um individuelle Integrationen umzusetzen an. Zukünftig ist geplant, unseren Kunden und Partnern ein dokumentiertes SDK (OneFabric Connect API) für die XML/SOAP-basierte API von NetSight anzubieten. 270

271 Automated VoIP Deloyments Enterasys Networks Solution Guide 2013/2014 Beim Automated VoIP Deployment handelt es sich um die Verknüpfung der Daten des Enterasys NAC und der Siemens DLS Server. Es handelt sich also um eine bidirektionale Integration zwischen den Webservices beider Dienste, die sowohl Infrastrukturdaten an den DLS und VoIP Endgeräte Informationen an den NAC Manager sendet. SOA basierte Integration von NAC und VoIP Device Management Das Zusammenspiel aus NAC und VoIP Infrastruktur erlaubt neben dem NAC- typischen Asset Tracking auch umfassendere Location Services, wie zum Beispiel einer automatisierten Rufumleitung, je nach Standort. Auch können spezielle Konfigurationen location based" automatisiert an ein Telefon weitergegeben werden. Dies können einfache Dinge wie eine Raumbezeichnung sein oder durchaus komplexe Stammdaten in Abhängigkeit zur jeweiligen Autorisierung (je nach Leistungsumfang der Telefone). Mehr unter 271

272 Damit ist eine ähnliche Dynamik erreichbar, wie man sie schon von zentralen Nutzerprofilen auf Desktop PCs her kennt und erlaubt eine optimale Nutzung der gesamten Telefonie unter Einsatz von minimalem administrativem Aufwand. Location und Status Tracking Alle gewonnenen Informationen werden auf dem NAC Manager in einer zentralen, offenen SQL Datenbank abgelegt und stehen somit über Standardschnittstellen zur Verfügung. So können automatisierte Benachrichtigung über Zustandsänderungen per versendet oder weitere Systeme über Statuswechsel informiert werden. Die neue Notification Engine" unterstützt dabei mit der Einrichtung von Benachrichtigungsoptionen, Filtern und frei konfigurierbaren Nachrichteninhalten. Diese Funktionalität ermöglicht die Automatisierung von Umzugsmeldungen im Netzwerk und reduziert den administrativen und finanziellen Aufwand erheblich. Natürlich können umgekehrt auch Konfigurationsdaten über einfache Schnittstellen erstellt oder geändert und damit ebenfalls automatisierte Aktualisierungen der NAC Konfiguration durch externe Systeme vorgenommen werden. Da in der NetSight Datenbank für alle Endsysteme die Daten bei der Anmeldung hinterlegt werden, kann somit jeder Benutzer im Netzwerk in Sekundenbruchteilen lokalisiert werden. Diese Informationen dienen dem NMS Console Compass sowie dem Automated Security Manager zum Suchen und können auch zur Realisierung einer E911 Notrufortung verwendet werden. Identity und Access Management Besonders deutlich wird das Zusammenspiel der vorliegenden Infrastrukturdaten in Kombination mit offenen Schnittstellen zur Ein- und Ausgabe von Daten am Beispiel einer IAM (Identity und Access Management) Integration. Hierbei werden sowohl 272

273 Infrastrukturdaten (beispielsweise ein Umzug in ein anderes Gebäude) an einen IAM Server sofort weitergeleitet als auch Richtlinien (z.b. Stellenwechsel oder Kündigung eines Mitarbeiters) vom IAM Server an die NAC Konfiguration weitergegeben. Dies führt zu einer optimalen Verzahnung aus Richtlinienvergabe (IAM) und Kontrollinstanz (NAC), die automatisiert und mit überschaubaren Betriebskosten bei der Einhaltung von Betriebsprozessen unterstützt und ein Maximum an Sicherheit gewährleistet. Produkte und Lizenzen Um eine NAC Lösung aufzubauen benötigt man in der Basis mindestens zwei Komponenten: Das Enterasys NetSight Management und ein oder mehr NAC Appliances (als auch NAC Gateways bezeichnet). Folgende Tabelle zeigt alle derzeit verfügbaren NAC Produkte und Lizenzen: Produkt / Lizenz Beschreibung NAC-A-20 Physische NAC Appliance (Hardware), unterstützt bis zu 3000 Endsysteme und die Möglichkeit, eine zusätzliche Assessment Lizenz einzuspielen (siehe weiter unten) NAC-V-20 NAC-VB-20 Virtuelle NAC Appliance (für VMWare ESX(i) 4.0 und höher), unterstützt bis zu 3000 Endsysteme und die Möglichkeit, eine zusätzliche Assessment Lizenz einzuspielen (siehe weiter unten) Vier virtuelle NAC Appliances (für VMWare ESX(i) 4.0 und höher), jede unterstützt bis zu 500 Endsysteme (2000 in Summe) und die 273

274 Möglichkeit, eine zusätzliche Assessment Lizenz pro virtueller Maschine einzuspielen (siehe weiter unten) NAC-ASSESS-LIC NAC Assessment Lizenz für eine virtuelle oder physische NAC Appliance. Beinhaltet die Möglichkeit, sowohl agentenbasiertes, als auch netzwerkbasiertes Assessment durchzuführen MOBILE-IAM-APP Physische Identity & Access Management Appliance (Hardware), unterstützt bis zu 3000 Endsysteme und die Möglichkeit, eine zusätzliche Assessment Lizenz einzuspielen (siehe weiter oben) und eine NetSight Lizenz für 5 Switche / WLAN Controller MOBILE-IAM-VB IA-ES-12K Virtuelle Identity & Access Management Appliance (für VMWare ESX(i) 4.0 und höher), unterstützt bis zu 3000 Endsysteme und die Möglichkeit, eine zusätzliche Assessment Lizenz einzuspielen (siehe weiter oben) und eine NetSight Lizenz für 5 Switche / WLAN Controller Enterprise Lizenz für das Managen von bis zu Endsysteme. Dazu wird eine entsprechende NetSight Advanced Lizenz benötigt (NMS-ADV-XXX), die für NetSight 5.0 geplant ist. Hierbei kann der Kunde so viele virtuelle NAC Appliances installieren, wie er benötigt, solange er die Anzahl von Endsysteme nicht überschreitet. Bei Bedarf von mehr als Endsystemen, können auch mehrere dieser Lizenzen Die Anzahl der benötigten NAC Appliances richtet sich nach der Anzahl der im Netz vorhandenen Endsysteme (=MAC Adressen) und die Anforderungen an die Redundanz dieser Lösung. 274

275 Kapitel 5 - OneFabric Control Center OneFabric Control Center von Enterasys Networks ist eine End-to-End Netzwerk- Management und Control-Lösung auf SDN Basis, mit der Netzwerke effizienter und effektiver administriert werden können. Dies trägt wesentlich zur Senkung der Betriebskosten bei. Die zentrale Software Komponent ist Enterasys NetSight. Console: Enterasys NetSight Zentrale Weboberfläche Zentrales Management für Konfiguration, Überwachung und Fehlersuche bzw. - behebung im gesamten Netzwerks Bereitstellung einer Client-/Server-Architektur Realisierung eines verteilten Managements Basis für das Management der Secure Networks Lösungen (hierzu existieren verschiedene Plug-In Anwendungen) Einheitliches Management und Überwachung der Wireless Infrastruktur mit dem Wireless Manager Policy Manager: Zentrales Management zur Administration der rollenbasierten Secure Networks Policys Support für QoS (Quality of Service)-Administration 275

276 Policy Control Console: Einfache Kontrolle der Zugriffsrechte für Endnutzer, z.b. zur gezielten Freigabe von Ressourcen in Seminarräumen. NAC Manager: Konfiguration von Enterasys Network Access Control. Detailierte Kontrollfunktion der Authentisierungs und Autorisierungsprozesse (Erfolg der Authentisierung/ Healthcheck ) OneView: Web-basierende Reports, Netzwerkanalyse, Troubleshooting und Helpdesk-Werkzeuge Automated Security Manager: Managementlösung für den dynamischen Schutz vor Gefahren wie Viren und Attacken Kombiniert die Elemente von Enterprise Network Management und Intrusion Defense Aktiviert bei erkannter Gefahr automatisiert Policys auf den Netzwerkkomponenten Inventory Manager: Mit einem Klick Hardware, Software und Konfigurationen aller Geräte sichern und verwalten Überwachung und Archivierung der Netzwerkkonfiguration Netzwerkweite Firmwareupgrades sofort oder zu einem bestimmten Zeitpunkt 276

277 Die NetSight Komponenten Console (CN) Enterasys Networks Solution Guide 2013/2014 Die NetSight Console ist das Herzstück des OneFabric Control Centers. Sie wurde entwickelt, um den Workflow der Netzwerkadministratoren abzubilden. Die NetSight Console bietet umfassende Managementunterstützung für sämtliche Komponenten und Lösungen von Enterasys Networks und alle anderen SNMP-fähigen Geräte. Mit der NetSight Console lassen sich viele Netzwerkaufgaben automatisieren, was in unternehmenskritischen Umgebungen viel Zeit und Geld einspart. Die aktuellen und geplanten Funktionen sorgen für bessere Netzwerk Performance und einfacheres Troubleshooting. Integriert sind umfangreiche Überwachungsfunktionen, ein robustes Alarm- und Event-Management, Netzwerk-Discovery, Gruppen- Element-Management und ein Tool zur strategischen Planung von Investitionen in der Infrastruktur. Aufgaben wie Subnet Discovery, Alarm Paging, TFTP (Trivial File Transfer Protocol)-Downloads, System-Backups und vieles mehr werden automatisch durchgeführt. Um mehr Unterstützung für Geräte von Drittanbietern zu realisieren, lassen sich mit der Command-Scripts-Funktion eigene CLI Scripte (z.b. via SSH) erstellen und ausführen, in denen verschiedene Werte aus NetSight wiederverwendet werden können. Auf diese Weise kann der Administrator Geräte mit einem einfachen Mausklick in der grafischen Benutzerschnittstelle umkonfigurieren oder deren Status abfragen, selbst wenn das via SNMP nicht möglich ist. Topology Manager und Topology Maps Der Topology Manager erstellt automatisch Karten der Netztopologie (Topology Maps). Der Administrator überblickt mit einem Klick die Netzwerkinfrastruktur. Er sieht die einzelnen Layer-2- und Layer-3-Verbindungen der Komponenten untereinander. Informationen über Linkgeschwindigkeit oder Link-Bündelungen sind einfach erkennbar. Das vereinfacht es, die Ursachen für technische Einschränkungen von Anwendern zu finden und die Ursachenbehebung beschleunigt sich enorm. Nach der Neuentwicklung des Enterasys Wireless Managers integriert der Topology Manager nun auch Informationen zur drahtlosen Infrastruktur, beispielsweise über Access-Points (APs), Mobility Zones und die Controller-Verfügbarkeit. Dadurch sinken die Betriebskosten. 277

278 Darstellung der aktuellen Spanning Tree Topologie Compass Um technische Herausforderungen bearbeiten zu können, braucht der Administrato (oder Supportdienstleister) Durchblick im Netzwerk und in den zur Verfügung stehenden Diensten. Dafür sorgt die NetSight Console mit dem Compass Tool. Sie sucht Benutzer und Geräte anhand des Benutzernamens, der IP- oder MAC-Adresse oder des Hostnamens und zeigt alle verfügbaren Daten an. Innerhalb von Sekunden entsteht so ein aktuelles Bild der Lage. Administratoren müssen keine umständlichen oder chronisch veralteten Tabellen mehr konsultieren und pflegen. NetSight Compass Fragen folgender Art beantwortet das Compass Tool im Nu: Wo ist eine bestimmte IP-Adresse in meinem Netzwerk? Wo sind alle Teilnehmer eines IP-Subnetzes im Netzwerk? 278

279 Welche Benutzer sind auf einem bestimmten Switch authentifiziert? Die Erkennung funktioniert nicht nur bei Enterasys Komponenten, sondern auch mit Geräten anderer Hersteller. Compass sucht die Informationen in bekannten MIB (Management Information Base)-Variablen und -Tabellen. Policy Management (PM) Es ist das zentrale Element der rollenbasierten Administration. Kombiniert mit den intelligenten Hardware Komponenten von Enterasys Networks verwaltet Enterasys Policy Manager optimal die Benutzer und Endgeräte der IT-Infrastruktur. Neben den Klassifizierungsregeln am Netzwerkzugang unterstützt der Enterasys Policy Manager auch den Port Authentifizierungsstandard IEEE 802.1x, so dass insgesamt eine optimale Sicherheitslösung für den Netzzugang entsteht. Enterasys Policy Control Console Enterasys Policy Manager Über die Enterasys Policy Control Console (PCC) können normale Anwender das Potential der Secure Networks Policies, eines rollenbasierten Regelwerks, nutzen. Mittels PCC stellt die IT-Administration gezielt vorformulierte Regeln für Netzzugang und -nutzung auch nicht-technischen Mitarbeitern in deren Arbeitsumgebung zur Verfügung. Sie greifen auf diese Regeln und Einstellungen einfach über ein Webinterface zu. 279

280 Beispielsweise kann so ein Trainer oder Lehrer über die Webschnittstelle mit einem Klick den Internet-Zugang für seine Schulungsteilnehmer ein- und ausschalten. Da die Anwendung der Regeln und teilweise auch ihre Erstellung an geschulte Anwender delegiertwerden kann, konzentrieren sich die IT-Abteilung auf wichtigere Aufgaben. Einige davon, etwa die Zuweisung unterschiedlicher Autorisierungsgruppen und damit Policies, sind heute bereits über OneView zu erledigen. Automated Security Management (ASM) Ein Security Monitoring System erkennt auffällige Aktivitäten in der Infrastruktur und stellt sofort Informationen über die Sender-IP und die Art des Angriffs bereit. Um schnellstmöglich zu reagieren, werden diese Informationen über SNMPv3 an den ASM weitergeleitet. ASM erkennt unmittelbar, wo sich die auffällige IP Adresse gerade befindet (z.b. Standort A, Gebäude B, Etage C, Verteiler D, Switch E, Port F). Anschließend wird sofort die Policy auf dem entsprechenden Switchport geändert. Durch eine solche Anpassung könnenbestimmte Dienste oder den gesamten Port gesperrt werden (optional auch nur für einen bestimmten Zeitraum oder ab einem bestimmten Zeitpunkt). Die Art des Angriffs bestimmt was genau geändert wird. Mit einer zeitlich begrenzten Sperre lässt sich einfach prüfen, ob nach einer gewissen Zeitspanne die Auffälligkeit wieder auftritt. Erst falls das geschieht, wird der Port komplett gesperrt. Eine Sperre nimmt die betroffene IP Adresse, zusammen mit dem damit verbundenen Endgerät, vom Netz. Andere Systeme können ungehindert weiter arbeiten. Die Geschäftsabläufe bleiben unbeeinflusst. Außerdem gewinnt man Zeit, um den befallenen Rechner zu überprüfen und gegebenenfalls zu immunisieren. Jede Aktion lässt sich jederzeit über die so genannte Undo Action" manuell wieder zurücknehmen. Durch den Automated Security Manager (ASM) sind dynamische und automatisierte Reaktionen auf kritische Events möglich. Es ist nicht mehr notwendig, einen Mitarbeiter abzustellen, der ständig die IDS-Konsole überwacht und bei einem Angriff sofort reagiert. Das Secure Network übernimmt diese Aufgabe vollkommen eigenständig (oder nach Benutzerbestätigung, je nach gewünschtem Automatisierungslevel). 280

281 Enterasys Automated Security Manager Inventory Management (IM) Die komplette und exakte Inventarisierung aller Komponenten gehört heute zu den großen Herausforderungen in Unternehmen. Dies gilt nicht nur für die IT, sondern für alle Geschäftsbereiche. Mit Hilfe des Inventory Managers (IM) lassen sich Informationen über IT-Komponente (Switche, Router, Wireless-Controller,...) schnell und einfach katalogisieren. Es können der Hardwaretyp und die jeweilige Seriennummer jeder IT-Komponente, die eingesetzten Firmware-Versionen, die Speicherausstattung oder aktuelle Konfigurationen ausgelesen, zentral abgelegt und verwaltet werden. Ältere Firmware Versionen werden automatisch aktualisiert, Konfigurationen regelmäßig zeitgesteuert gespeichert und archiviert. Der Inventory Manager bietet die Möglichkeit, verschiedene Versionen von Konfigurationen einer Komponente miteinander zu vergleichen. Veränderungen oder neue Einträge werden hierbei farblich gekennzeichnet. Der Enterasys Inventory Manager ermöglicht so ein effektives Change Management. Dies vereinfacht die Verwaltung und senkt die Betriebskosten erheblich. 281

282 Enterasys Inventory Manager OneView NetSight OneView erweitert die Managementfunktionen von NetSight um Reporting, Service -Dashboards, Troubleshooting - Tools und Monitoring. OneView arbeitet komplett webbasierend und bietet dem Endanwender viele unterschiedliche Sichten auf die in NetSight und dessen Modulen verfügbaren Daten. OneView Dashboard Im Folgenden werden die einzelnen Bereiche/Reiter von OneView und damit dessen Funktionsumfang kurz beschrieben. 282

283 Reports Enterasys Networks Solution Guide 2013/2014 Im Reporting-Bereich bietet OneView Auswertungen basierend auf Echtzeitdaten und Auswertungen der Daten der Geräte- Historie der überwachten Infrastruktur. Aus den zusammenfassenden Ansichten und Reports kann in die einzelnen Events hineingezoomt werden. Das umfassende Ad Hoc-Reporting von OneView übernimmt alle verfügbaren Parameter in die Reportauswahl. Es stehen Reports zu Switches, Interfaces, der Enterasys WLAN-Lösung, NAC, NetSight Server und NetFlow zur Verfügung. Bei Bedarf kann der Administrator auch eigene Auswertungen (Customized Reports) erstellen. Das Bild unten zeigt die Schnittstellenauslastung eines Core Interfaces über den Zeitraum von zwei Wochen. Maps Custom Report Interface Auslastung Der Bereich Maps bildet die LAN und WLAN-Infrastruktur der jeweiligen Organisation auf einer Weltkarte ab. Zusätzlich kann der Administrator eigene Gebäudepläne als Bilder importieren, in denen er die Netzwerkkomponenten und WLAN-APs frei platzieren kann. Die Gerätesymbole auf den Karten sind interaktiv ein Klick direkt auf eines der Symbole führt zur detaillierteren Ansicht aller verfügbaren Geräteinformationen. Sucht man nach einem Gerät oder Benutzer, markiert das System in der Karte die Komponente bzw. den AP, mit dem das gesuchte Element aktuell verbunden ist. Ab Version 5.0 bietet NetSight über die Triangulation der Empfangsstärke eines Endsystems von drei APs eine noch genauere Lokalisierung. Enthalten sind auch sogenannte Heat Maps für die Analyse der WLAN-Ausleuchtung. 283

284 Standortbestimmung eines WLAN Users über Triangulierung Darstellung der Heat Map, die die WLAN- Abdeckung in einem Gebäudeteil zeigt 284

285 Search Enterasys Networks Solution Guide 2013/2014 Die Eingabemaske der Suchmaske ist einfach und benutzerfreundlich gestaltet. Ein freies Textfeld ist der Einstieg zur umfassenden Suche. Über diese kann man intuitiv nach Endgeräten (z.b. MAC-Adresse, IP, etc.), Benutzern, APs, Switches, etc. suchen. Die Suchergebnisse werden grafisch aufbereitet und dargestellt. Zentrale Suchfunktion zu allen Geräten, Benutzern etc. Suchergebnis für einen Mitarbeiter mit Laptop Auch die Grafiken, die als Suchergebnis entstehen, sind interaktiv. Mit ihnen lassen sich effizient und einfach Geräte- und Benutzerinformationen anzeigen, Netzwerkstörungen schnell lokalisieren und entsprechend zügig bearbeiten. Durch die Möglichkeit des Administrators über OneView mit wenigen Mausklicks auf die wichtigsten Informationen zu Geräten, Benutzern und Infrastruktur zugreifen zu können, steigt seine Effizienz seiner Tätigkeiten und er hat mehr Zeit für Aufgaben außerhalb der täglichen Routine. 285

286 Devices Enterasys Networks Solution Guide 2013/2014 Dieser Bereich liefert eine umfassende Übersicht über die Netzwerkinfrastruktur. Hier findet man Informationen zu den Switches, Routern, NAC-Appliances, etc. Je nach Art des Gerätes sind weitere Detailinformationen zu den Interfaces, Alarmen, VLAN s, dem System selbst, etc. abrufbar. Aus dem Devices-Bereich kann der Administrator direkt auf FlexViews (Ansichten mit auf die aktuelle Aufgabe zugeschnittenen Einzelheiten) zugreifen. Alarme und Events Hier laufen zentral alle Alarme zu Geräten und Systemen, Logs und Events zusammen. Alarme zur Netzwerkinfrastruktur können aus vielen Quellen stammen und behandeln viele Themen. Hierzu gehören SNMP-Traps, Syslog-Dateien von Switches, Benachrichtigungen des Controllers über eine Bedrohung im WLAN, Meldungen über Kommunikationsprobleme mit einem zu überwachenden Gerät, etc. Für jeden Alarm werden verschiedene Parameter (zum Beispiel seine Kritikalität, seine Quelle, die Meldung respektive ihren Inhalt, Uhrzeit, und so weiter) protokolliert. Alarme kann der Administrator manuell quittieren, oder das System hebt diese automatisch durch ein folgendes Event wieder auf. Die Funktion schreibt auch alle internen Events und Audit-Meldungen der NetSight-Module mit und macht sie damit auswertbar. 286

287 Identity and Access Dieser Bereich enthält Informationen zu den am Netz angeschlossenen und authentisierten Endgeräten und Benutzern. Basis der Anzeige sind die bei der Authentisierung gewonnenen Daten der Network Access Control Lösung (NAC). Hier finden sich hier zahlreiche Daten, die tägliche Arbeiten und eine langfristige Netzplanung deutlich erleichtern. Das Datenmaterial reicht von einem globalen Überblick über alle im Netz befindlichen Gerätetypen (z.b. Windows, iphone, Android, etc.) bis hin zu sehr detaillierten endgerätbezogenen Informationen für das Troubleshooting (z.b. MAC- Adresse, IP, angemeldeter User, Hostname, AP oder Switchport, an dem das Gerät aktuell angeschlossen ist, etc.). Zu jedem Endgerät werden Anmeldedaten chronologisch archiviert. Bei eingeschaltetem Assessment werden auch diese Daten archiviert und zur Auswertung bereitgestellt. Flows Der Bereich Flows speichert alle verfügbaren NetFlow-Informationen. Der NetSight- Server hat einen NetFlow Collector, der NetFlow v9-informationen von Switches/Routern 287

288 empfangen kann und sie dem Administrator im Bereich Flows zur Auswertung und zum Troubleshooting zur Verfügung stellt. Neben dem Dashboard mit zahlreichen Top-N- Auswertungen zu Clients, Servern und Applikationen finden sich auch detaillierte Flow- Informationen einzelner Verbindungen. Wireless Im Wireless -Bereich befindet sich ein mächtiges Analysetool rund um die Enterasys Wireless Infrastruktur und die an sie angeschlossenen Clients. Unter anderem können folgende Analysen/Daten angezeigt werden: Anzahl Clients pro AP/Controller (aktuell und im Zeitverlauf), Anzahl Clients pro SSID, Top-APs nach Bandbreite, Alarme, Auffälligkeiten und Bedrohungen (z.b. Rogue APs, Honeypots, etc.), Übersicht aller APs mit Statusinformationen, Verfügbarkeit, Konfiguration, etc. Such- und Sortierfunktionen strukturieren die Informationen nach persönlichen Wünschen. Aus Übersichtsreports kann man per Mausklick auf detailreichere Ebenen wechseln. 288

289 Wireless Management (WM) Mit dem Wireless Manager komplettiert Enterasys seinen Ansatz eines ganzheitlichen Netzwerkmanagements! Nun lassen sich LAN und WLAN durch eine einzige Managementplattform administrieren. Der Wireless Manager hat vielfältige komfortable Funktionen, um WLANs zentral über Template-basierende Bausteine effizienter und effektiver zu konfigurieren. Das beugt Fehlkonfigurationen vor und senkt den Administrationsaufwand für jede Einzelkomponente drastisch. Der Wireless Manager fügt sich nahtlos in die etablierte Benutzer- und Rechtestruktur der NetSight Management Suite ein. Für die Administration wird mit NetSight nur noch eine Applikation gestartet, die alle Bereiche der LAN- und WLAN-Administration unter einer einheitlichen Benutzeroberfläche integriert. Templates speichern unternehmensspezifische Standardeinstellungen wie Logging, Security, APs, Ländereinstellungen etc. Sie sind dann nach Bedarf zur Konfiguration unterschiedlicher Netzkomponenten, etwa Wireless Controller oder APs, verwendbar. Die Konfigurationen bereits eingerichteter Controller können importiert und auf neue Controller übertragen werden. Konfigurationsassistenten führen unkompliziert Schritt-für-Schritt durch die Diensteorientierte Wireless-Konfiguration. So werden Daten-, Sprach- und Gäste-WLANs schnell und sicher konfiguriert. Lizenzierung von OneFabric Control Center und NetSight OneFabric Control Center wird in drei Ausstattungsstufen angeboten: NMS-BASE: Das Basispaket umfasst die NetSight Console (CN), Policy Manager (PM), Inventory Manager (IM) und einige Basisfunktionen von OneView. Maximal drei Benutzer können sich gleichzeitig am Management anmelden. NMS: Dieses Standardpaket umfasst die Module NMS-BASE plus Automated Security Manager(ASM), Network Access & Control Manager(NAC) und OneView. Bis zu 25 Benutzer können sich gleichzeitig anmelden. NMS-ADV: Dieses umfangreichste Paket enthält alle Module des NMS-Pakets. Zusätzlich lassen sich zukünftige Application-Intelligence-Appliances und erweiterte WLAN-Features in OneView nutzen (Heat Maps, Triangulation, etc.). Außerdem kann man auf die Webservice-Schnittstelle von NetSight (OneFabric SDK) zugreifen. Die Lizenzpreise aller drei Pakete staffeln sich nach der Anzahl der verwalteten SNMP Geräte (z.b. Switch, Wireless Controller, etc.) und APs. Für den in der NetSight-Console enthaltenen Wireless Manager braucht man keine separaten Lizenzen für den Wireless Controller. Berücksichtigt werden lediglich die vom Controller verwalteten Thin-APs. 289

290 Lizenz Geräte AP s Benutzer Features / Module NMS-BASE- 10 NMS-BASE- 25 NMS-BASE- 50 NMS-BASE- 100 NMS-BASE- 250 NMS-BASE NMS-BASE-U U U 3 NMS NMS NMS NMS NMS NMS NMS NMS-U U U 25 NMS-ADV NMS-ADV NMS-ADV NMS-ADV NMS-ADV- 100 NMS-ADV- 250 NMS-ADV NMS-ADV-U U U 25 CON, PM, IM CON, PM, IM CON, PM, IM CON, PM, IM CON, PM, IM CON, PM, IM CON, PM, IM CON, PM, IM, ASM, NAC, OneView CON, PM, IM, ASM, NAC, OneView CON, PM, IM, ASM, NAC, OneView CON, PM, IM, ASM, NAC, OneView CON, PM, IM, ASM, NAC, OneView CON, PM, IM, ASM, NAC, OneView CON, PM, IM, ASM, NAC, OneView CON, PM, IM, ASM, NAC, OneView CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt, Adv Wireless, OneFabric SDK CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt, Adv Wireless, OneFabric SDK CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt, Adv Wireless, OneFabric SDK CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt, Adv Wireless, OneFabric SDK CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt, Adv Wireless, OneFabric SDK CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt, Adv Wireless, OneFabric SDK CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt, Adv Wireless, OneFabric SDK CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt, Adv Wireless, OneFabric SDK 290

291 MDM Mobile Device Management Die Anforderungen an Verfügbarkeit, Bandbreite, Sicherheit und Zugangskontrolle der WLAN Infrastruktur steigen rasant an. Das liegt an verschiedenen Faktoren. Zu den wichtigsten gehören die explosionsartige Verbreitung mobiler Endgeräte unterschiedlicher Hersteller mit verschiedenen Betriebssystemen, der große Bedarf an persönlichen und berufsbezogenen Applikationen und die steigenden Bandbreitenanforderungen durch Video, Voice und andere Daten. Enterasys Mobile Identity and Access Management (Mobile IAM) verwendet einen einzigartigen Ansatz, um dieser Herausforderung gerecht zu werden: die Integration zwischen Enterasys IAM und einer MDM (Mobile Data Management)-Lösung. So erhält IAM mehr Einblick in Zustand und Konfiguration der mobilen Endgeräte und erweitert dadurch die Entscheidungsbasis für die Zuweisung von Netzwerkregeln (Policies). Wie funktioniert eine MDM-Lösung? Die meisten MDM-Lösungen nutzen derzeit eine Agenten-/Server-Architektur. Auf jedes mobile Gerät wird eine Software (Agent) aufgespielt. Sie liest genaue Informationen zu dem jeweiligen Gerät aus und leitet sie an einen zentralen Managementserver weiter. Zu diesen Informationen gehören unter anderem: Betriebssystem, Gerätetyp, Telekommunikationsinformationen wie die IMEI (International Mobile Equipment Identity), Telefonnummer, Netzbetreiber, etc., Sicherheitszustand: o Verschlüsselungsstatus, o Wipe Status (wurde das Gerät gelöscht?), Jailbroken-Status, installierte Applikationen, GPS-Informationen, Sicherheitszustand der Unternehmensdaten auf dem Gerät, Inventarisierungsinformationen: o Seriennummer, o MAC-Adresse Diese Daten werden für viele Unternehmen und Einrichtungen, die ein striktes Management mobiler Geräte vorschreiben, etwa Regierungsbehörden oder Krankenhäuser, immer wichtiger. 291

292 Was eine MDM Lösung nicht leistet Enterasys Networks Solution Guide 2013/2014 Trotz MDM-Lösung braucht man für ein sicheres Netz eine Netzwerkzugangskontrolle für nicht ge-managte Gäste und unregistrierte Geräte, die sich mit dem eigenen WLAN verbinden. Unerwünschte Geräte zu blockieren und Gastzugänge korrekt zu unterstützen, indem Gäste und Gastgeräte registriert und authentifiziert werden, gehört zu den zentralen Aufgaben der Mobile-IAM-Lösung. Die MDM-Lösung ergänzt Enterasys NAC und übernimmt speziell die Verwaltung der gemanagten mobilen Endgeräte. Sie kontrolliert aber nicht, welche Geräte überhaupt Zugriff auf das Unternehmensnetzwerk erhalten und welche ausgeschlossen bleiben. Beispielszenario-1: Auf einem Gerät, das kompromittiert wurde, ist eine bösartige Applikation installiert. Das MDM-Management Lösung kennzeichnet dieses Gerät als gefährlich, allerdings hat das keinen Einfluss darauf, ob das Gerät ins Netz darf. Solange der Benutzer die WLAN- Zugangsdaten kennt, kann er sich auch mit dem WLAN verbinden. Beispielszenario-2: Der Geschäftsführer eines Unternehmens greift mit iphone und WLAN auf unternehmenskritische Daten zu. Diese Daten bleiben nach beendeter Verbindung unter Umständen unverschlüsselt im Cache des iphones. Sollte das iphone verloren gehen oder gestohlen werden und wird es nicht von einer MDM-Lösung kontrolliert, kann IAM beim nächsten Verbindungsaufbau zum WLAN überprüfen, ob das Gerät im MDM hinterlegt ist falls nicht, kann IAM a) den Netzzugang so lange einschränken, bis das Gerät registriert ist und unter der Kontrolle der MDM-Lösung steht, b) einen einfach zu bedienenden Zugang für die Registrierung bei der MDM-Lösung realisieren c) den Netzwerkzugang erlauben, sobald die MDM-Lösung festgestellt hat, dass das Gerät verwaltet wird und seine Daten gesichert sind. Warum MDM und IAM sich optimal ergänzen MDM-Lösungen erfassen detailliert die Daten von Endgeräten und bestimmen genau, welche Applikationen und Konfigurationen auf ihnen erlaubt sind. Sie können Geräte- Policies jedoch nicht in Netzwerkzugangsregeln umsetzen. 292

293 Enterasys Mobile IAM nutzt die Geräteinformationen aus dem MDM, um die Netzwerksicherheitsrichtlinien auf alle mobilen Geräte anzuwenden: Positive Regeln: Stuft MDM ein Gerät als sicher ein, gewährt IAM diesem Gerät Netzwerkzugang. Andernfalls kann IAM das Gerät in eine Sicherheitszone verschieben, in der es keinen Schaden anrichten kann. Negative Regeln: Ist ein Gerät dem MDM nicht bekannt, wird es als unsicher oder als Gast eingestuft. Es wird auf eine Registrierungsseite in einer Sicherheitszone umgeleitet. Zusätzlich realisiert IAM eine globale Sicht des Netzwerks unabhängig vom Betriebssystem über alle Endsysteme in LAN und WLAN hinweg. Der Administrator kann somit jederzeit nachvollziehen, wer und was mit Netzwerk verbunden ist oder war und welche Sicherheitsregeln jedem Gerät zugewiesen wurden. OneFabric Connect API Überblick Enterasys OneFabric Connect ist eine Schnittstelle zur Anwendungsprogrammierung (API), die eine einfache, offene, programmierbare und zentral verwaltete Methode zur Implementierung von Software Defined Networking (SDN) für jedes Netzwerk bietet. Mit der OneFabric Connect API können Geschäftsanwendungen direkt über das OneFabric Control Center kontrolliert werden, das mithilfe von Netsight verwaltet wird. Das Resultat ist eine vollständige SDN-Lösung mit folgenden Funktionen: Zentralisierte Verwaltung und Kontrolle des Netzwerks und von Systemen anderer Hersteller über das OneFabric Control Center Programmierbarkeit der Virtualisierung und Anwendungsintegration mit OneFabric Connect Offene XML/SOAP-basierte API, die über OneFabric Connect bereitgestellt wird Mit der OneFabric Connect API können Unternehmen viele Systeme und Anwendungen über das OneFabric Control Center und Netsight integrieren. Enterasys hat eine Reihe vordefinierter Integrationen entwickelt, die eine programmatische Kontrolle von VM, MDM, Webfilter- und Firewall-Systemen ermöglichen. Darüber hinaus besteht jederzeit die Option für kundenspezifische Integrationen. Kunden können außerdem ihre eigenen Integrationen einfach und problemlos über die offene, XML/SOAP-basierte API entwickeln. 293

294 Anwendungen Die Enterasys OneFabric Connect API erleichtert die Automatisierung einer breiten Palette von Netzwerkfunktionen. Mithilfe der API können Nutzer: Richtlinien für physische und virtuelle Endsysteme überall im Netzwerk festlegen, abfragen und/oder modifizieren Richtlinien für Nutzer im Netzwerk festlegen, erhalten und/oder modifizieren Richtlinien für Nutzer- und Endsystem-Anmeldungen im Netzwerk festlegen, erhalten und/oder modifizieren Informationen über Nutzer und Endsysteme festlegen, erhalten und/oder modifizieren, einschließlich Ort, Gerätetyp, Zeitstempel, Asset-Informationen, Integrität und Sicherheitsstatus eine Liste aller Netzwerkgeräte anlegen und/oder erhalten neue Gastnutzer im Netzwerk anlegen auf Berichtsdaten zugreifen 1 Diese Funktionen lassen sich für die Automatisierung oder Programmierung einer beliebigen Anzahl von Vorgängen in der Anwendungsdomäne nutzen. 294

295 Dazu gehören: Geräteortung erhalten Sie Port- oder AP-Verbindungspunkte von einem Endsystem Bestandsverwaltung erhalten Sie zusätzliche Informationen von einem Endsystem (z. B. Serien- oder Telefonnummern) Virtualisierung und Orchestrierung fügen Sie verwaltete Geräte hinzu, erstellen Sie Netzzugangskonfigurationen, oder legen Sie Zugangskonfigurationen für ein Endsystem fest (QoS, VLAN, BW, Filter usw.) Compliance blockieren Sie bösartige Endsysteme oder wenden Sie spezifische Richtlinien an Hospitality fügen Sie Gastnutzer auf Basis einer bestehenden Richtlinie hinzu Support Anwendungsfälle für die OneFabric Connect API Enterasys entwickelt nicht nur API-Integrationen auf Basis von Kundenspezifikationen, sondern bietet darüber hinaus zusätzlichen Support für Entwickler, die mit der OneFabric Connect API arbeiten. Die wichtigste dieser Supportressourcen ist OneFabric Connect Central. Da OneFabric Connect eine bewährte, implementierte und vollständig offene Plattform ist, wird sie von einer aktiven Entwickler-Community unterstützt. Diese Community wird in OneFabric Connect Central gehostet, dem kostenlosen Online-Forum von Enterasys für alle Fragen rund um OneFabric Connect. Durch ihren Beitritt können Entwickler: Beispielcodes herunterladen mit Technikern und Partnern von Enterasys zusammenarbeiten auf Handbücher und Dokumentationen zugreifen ihre Herausforderungen mit anderen erfahrenen Enterasys-Kunden diskutieren Für weitere Informationen schließen Sie sich OneFabric Connect Central unter an. Weitere Ressourcen finden Sie auf darunter die OneFabric Connect SDN-Broschüre, die OneFabric-Nutzerhandbücher und das 295

296 OneFabric-Datenblatt. Kunden, die die OneFabric Connect API verwenden, können auch von unserem preisgekrönten firmeneigenen Kundenservice profitieren, der mit einem Net Promoter Score von 8.1 aufwarten kann. Vorteile Neue Services, Innovation und Flexibilität eine offene Northbound-API ermöglicht Innovation bei Technologie-/Integrationspartnern und Kunden für ein außergewöhnlich leistungsfähiges Netzwerk. Erstklassige Anwendererfahrung und Skalierbarkeit das Netzwerk erkennt Applikationen und Flows und lässt sich an aktuelle und zukünftige Anforderungen bedarfsgerecht anpassen. Einfache Handhabung vollständig zentralisierte Verwaltung und Kontrolle aller Geräte, Nutzer und Anwendungen über das komplette Netzwerk hinweg Verbesserte Orchestrierung und Effizienz die Speicher-, Rechen- und Netzwerkressourcen sind komplett aufeinander abgestimmt und erlauben so die automatisierte Bereitstellung neuer Services. Netzwerkbasierte Business Intelligence und Kontrolle erkennt nicht nur, welche Geschäftsanwendungen von wem, wo und wann genutzt werden, sondern ermöglicht auch die Optimierung und stärkere Auslastung des bestehenden Netzwerks Warum Enterasys SDN? Patentierte, zentralisierte Architektur Flow-basierte kundenspezifische ASICs, die Millionen von Flows unterstützen Ausgereifte, bewährte und implementierte Lösung Umfangreiche Liste von Partnern, die über die OneFabric Connect API integriert sind 296

297 Kapitel 6 - SMB Switching Enterasys 800-Serie Zuverlässig, kostengünstig, schnell Enterasys Networks Solution Guide 2013/2014 Die Enterasys-800-Serie besteht aus kostengünstigen, zuverlässigen und funktionsreichen, mit wirespeed arbeitenden Enterprise-Class-Switches mit den Geschwindigkeiten 10/100 und 10/100/1000 MBit/s Ethernet. Sie besteht aus zehn Modellen: 10/100-MBit/s-Ethernet-Switches mit 24 oder 48-Ports, jeweils mit oder ohne POE (Power over Ethernet)-Unterstützung 10/100/1000-MBit/s-Ethernet-Switches mit 8, 24 und 48-Ports, jeweils mit oder ohne PoE-Unterstützung. Zu deren gemeinsamen Merkmalen gehören: L2-Switching mit Leitungsgeschwindigkeit und eingebautem statischem Routing PoE gemäß IEEE 802.3at, bietet bis zu 30 Watt Leistung an einem Port Die meisten Modelle ohne PoE arbeiten mit ausgeschalteten Ventilatoren (Quiet Designs) Optional ist für alle Modelle eine redundante Stromversorgung erhältlich Die Enterasys Lifetime Warranty gilt für die gesamte Lebensdauer der Geräte. Um den Managementaufwand zu verringern, lassen sich bis zu acht Switches als ein als einziger virtueller Stack über eine IP-Adresse verwalten. Ein integriertes Netzteil dient als primäre Energiequelle für alle Switches der Serie 800. Eine vollständig redundante Stromversorgung lässt sich mit optional erhältlichen externen Stromversorgungen aufbauen. Alle PoE-Switches unterstützen PoE gemäß IEEE 802.3at. Dabei stehen an jedem Port bis zu 30 Watt zur Verfügung. Mit Dynamic Power Pooling kann die an einem POE-Port nicht genutzte Leistung über einen zentralen Energieverteilungspool anderen Ports bereitgestellt werden. Das bedeutet, dass die 24- und 48-Port-Modelle mit PoE bis zu 375 Watt PoE-Leistung nutzen können. Endbenutzer können sich über IEEE 802.1X, ihre MAC-Adresse oder das Web für die Nutzung der Systeme authentifizieren. Alle Switches bieten als Standard Serviceklassen, Begrenzung der Datenrate Zugangskontroll-Listen (Access Control Lists, ACLs). Die meisten Modelle haben Ventilatoren. Nur der 10/100-MBit/s-Switch mit 24 Ports kommt ohne Lüfter. Die Ventilatoren der meisten Modelle ohne PoE schalten sich aber erst ein, wenn die Temperatur 36 C übersteigt. 297

298 Für die Verwaltung der Switches der Serie 800 gibt es drei Möglichkeiten: eine Befehlszeile (Command Line Interface, CLI), ein Web-Interface oder die Managementsoftware Enterasys NetSight. Die Serie 800hat kommt mit einer lebenslangen Garantie. Sie umfasst die Lieferung eines Ersatzgerät am nächsten Geschäftstag, ein Jahr telefonische Unterstützung, Bugfixes, Firmware-Upgrades und Web-basierten Support bis fünf Jahre nachdem das Gerät nicht mehr vertrieben wird. 298

299 Unterstützte Funktionen Enterasys Networks Solution Guide 2013/2014 Größe der MAC-Adresstabelle: 16,000 Einträge (oder Zeilen?, bitte prüfen!) Switching Services IEEE 802.1AB LLDP (Link Layer Discovery Protocol) ANSI/TIA-1057 LLDP-MED (Link Layer Discovery Protocol End Point Devices) IEEE 802.1D MAC Bridging IEEE 802.1s mehrere Spanning Trees IEEE 802.1t 802.1D Maintenance IEEE 802.1w schnelles Spanning Tree IEEE Ethernet IEEE 802.3ab GE (Gigabit Ethernet) über Twisted Pair IEEE 802.3ad Link-Aggregation 8 Ports pro Portgruppe Bei 8-Port-Modellen 5 Gruppen, bei 24-Port- Modellen 14 Gruppen und bei 48-Port-Modellen 26 Gruppen. IEEE 802.3af PoE (Power over Ethernet) IEEE 802.3at Hochleistungs-PoE (bis 30 Watt pro Port) VLANs 4,094 VLAN IDs Bis zu 4094 statische VLANs Maximal 255 dynamische VLANs IEEE 802.3i 10Base-T IEEE 802.3u 100Base-T, 100Base-FX IEEE 802.3z GE (Gigabit Ethernet) über Glasfaser Alle Ports erkennen Full/Half-Duplex automatisch die Leitungsgeschwindigkeit (Auto-MDIX, Medium Dependent Interface-X) ERPS Ethernet Ring Protection Switching L2 Multicast Control IGMP (Internet Group Management Prodocol)- Snooping v1/v2/v3 MLD (Multicast Listener Discovery)-Snooping Unterstützung von Jumbo-Frames (12,288 Bytes) Schutz vor Endlosschleifen Port-Spiegelung (eins zu eins oder mit Konsolidierung mehrerer Ports auf einen gemeinsamen Spiegelport) Port-Beschreibung Topologieschutz mit Root Guard STP (Spanning Tree Protocol)-Pass-Through-Modus VLAN-Support: GARP (Generic Attribute Registration Protocol) GVRP (Generic VLAN Registration Protocol) IEEE 802.1p Verkehrsklassifikation IEEE 802.1q VLAN Tagging/Trunking Port-, MAC-, Protokoll- und Tag-basiertes VLAN Privates VLAN VLAN-Trunking 299

300 Quality of Service 8 priorisierbare Warteschlangen je Port IEEE 802.3x Datenflusskontrolle Serviceklassen (Class of Service, CoS) Begrenzung der Datenrate, Bandbreitenkontrolle Layer-2/3/4-Klassifizierung Mehrschichtige Paketverarbeitung mit ACLs (Access Control Lists) Gemischte Warteschlangensteuerung striktes und gewichtetes Round-Robin-Verfahren Quell- und Ziel-MAC-Adresse, Quell- und Ziel-IP- Adresse und TCP/UDP (Transmission Control Protocol/User Datagram Protocol)-Portnummer mit ACLs Sicherheitsfeatures Schutz vor dem Abhören von ARP (Address Resolution Protocol) und DHCP (Dynamic Host Configuration Protocol) EAP (Extensible Authentication Protocol) Pass- Through Schutz vor nicht vertrauenswürdigem L2-IP-Verkehr durch IP Source Guard IEEE 802.1X und MAC-basierte Port-Authentisierung Optionale lokale Authentisierungsdatenbank RADIUS (Remote Authentication Dial-In User Service)-Kontoführung des Netzwerkzugangs Unterstützte MIBs (Management Information Base) ANSI/TIA-1057 LLDP-MED (Link Layer Discovery Protocol End Point Devices)- MIB- IEEE 802.1AB LLDP ((Link Layer Discovery Protocol)-MIB IEEE 802.1X MIB Portzugang IEEE 802.3ad MIB LAG (Link Aggregation Group)- MIB RFC 1213 MIB/MIB II RFC 1493, RFC 4188 Bridge-MIB RFC 1643 Ethernet-ähnliche MIB RFC SNMP (Simple Network Management)-Framework MIB RFC 2618 RADIUS-Authentisierungsclient-MIB RFC 2620 RADIUS-Kontoführungsclient-MIB RFC 3580 IEEE 802.1X RADIUS Nutzungsrichtlinien SSHv2 (Secured Shell Version 2) SSL (Secured Socket Layer) Authentisierung mit Trusted Host Vorbeugung gegen Denial of Service (DoS)- und BPDU (Bridge Protocol Data Unit)-Angriffe Authentisierung mehrerer Anwender je Port Web-basierte Port-Authentisierung RFC 2674, RFC p MIB RFC 2674 QBRIDGE-MIB, VLAN-Bridg- MIB RFC 2737 Einheiten-MIB (nur physikalischer Netzwerkzweig) RFC 2819 RMON (Remote Monitoring)-MIB RFC 2863 If (Interface)MIB RFC 2925 Ping & Traceroute MIB RFC 3413 SNMP v3-anwendungs-mib RFC 3414 SNMP v3 anwenderbasierte Sicherheit Modul- (USM, User Based Security Model) MIB RFC 3415 View-basiertes Zugangskontrollmodell für SNMP RFC 3584 SNMP (Simple Network Management Protocol)-Community-MIB 300

301 RFC 3636 MAU (Medium Attachment Units) MIB ersetzt RFC 2668 RFC 4113 MIB for UDP (User Datagram Protocol) RFC 4022 MIB für TCP (Transmission Control Protocol) Management- und andere RFCs CLI (Command Line Interface) mit vier Zugangsebenen Up- und Download der Konfigurationsdatei Download der Firmware gleichzeitige Unterstützung von IPv4/IPv6- Management editierbare, textbasierte Konfigurationsdatei TFTP (Trivial File Transfer Protocol)-Client Befehlsprotokollierung Unterstützung mehrerer Dateikonfigurationen LEDs für System-Stromversorgung und Port-Status NMS (Network Management Server)-Konsole NMS Inventory-Manager Kabeldiagnose Traceroute Netzwerk-Lastverteilung Betrieb, Verwaltung und Wartung (OAM(- Unterstützung RMON (Remote Monitoring) (Statistik, Verlauf, Alarme, Ereignisse) SNMP (Simple Network Management Protocol) v1/v2c/v3 SSHv2 (Secured Shell Version 2) TACACS+ (Terminal Access Controller Access Control System)-Authentisierung Web-basiertes Management SYSLOG für bis zu vier Server Authentisierung, Autorisierung und Kontoführung (AAA)-Management RFC 768 UDP RFC 783 TFTP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP and ARP Redirect RFC 854 Telnet RFC 951, RFC 1542 DHCP/BOOTP Relay RFC 1157 SNMP RFC 1901 Community-basiertes SNMPv2 RFC 1981 Pfad-MTU für IPv6 RFC 2030 SNTP (Simple Network Time Protocol) RFC 2131, RFC 3046 DHCP-Client/Relay RFC 2465 IPv6 MIB RFC 2933 IGMP MIB RFC 3176 sflow RFC 3413 SNMP-Anwendungs-MIB RFC 3414 SNMP nutzerbasierte Sicherheit Modul- (USM) MIB RFC 3415 Sichtbasierte Zugangskontrollmodell für SNMP 301

302 Spezifikationen Enterasys Networks Solution Guide 2013/ H20G H20G4-24P 08H20G H20G4-48P 08G20G2-08 Performance Switching Throughput Mpps Switching Capacity MAC Address Table VLANs Supported PoE Specifications 802.3af Interoperable 9.5 Mpps 9.5 Mpps 13.1 Mpps 13.1 Mpps 14.9 Mpps 12.8 Gbps 12.8 Gbps 17.6 Gbps 17.6 Gbps 20 Gbps 16K 16K 16K 16K 16K N/A Yes N/A Yes N/A 802.3at N/A Yes N/A Yes N/A Interoperable System Power N/A 375 watts per switch up to 30 watts per port Perport switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A 375 watts per switch -up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A Physical Specifications Dimensions (H x W x D), Rack Units 4.4 cm H x 44.1cm W x 20.64cm D 1.73 H x W x D 1U 4.4 cm H x 44.1cm W x 36.8cm D 1.73 H x W x D 1U 4.4 cm H x 44.1cm W x 36.8cm D 1.73 H x W x D 1U 4.4 cm H x 44.1cm W x 36.8cm D 1.73 H x W x D 1U 4.06 cm H x 20.95cm W x 21.59cm D H x W x D 1U Net Weight 2.30 kg (5.10 lb) 5.40 kg (11.9 lb) 4.45 kg (9.80 lb) 6.09 kg (13.4 lb) 1.50 kg (3.30 lb) MTBF 597,684 hours 272,651 hours 407,895 hours 219,440 hours 865,139 hours 302

303 Physical Ports (24) 10/100 ports (4) 1Gb SFP ports (2) 10/100/1000 ports (1) Console port Max: 28 active ports (24) 10/100 PoE ports (4) 1Gb SFP ports (2) 10/100/1000 ports (1) Console port Max: 28 active ports (48) 10/100 ports (4) 1Gb SFP ports (2) 10/100/1000 ports (1) Console port Max: 52 active ports (48) 10/100 PoE ports (4) 1Gb SFP ports (2) 10/100/1000 ports (1) Console port Max: 52 active ports (8) 10/100/1000 ports (2) 1Gb SFP ports (1) Console port Max: 10 active ports Power Power Supplies 1 Internal, 1 optional RPS Normal Input Voltage 1 Internal, 1 optional RPS 1 Internal, 1 optional RPS 1 Internal, 1 optional RPS 1 Internal, 1 optional RPS VAC VAC VAC VAC VAC Input Frequency Hz Hz Hz Hz Hz Input Current 0.5A max 7.65A max 0.8A max 7.65A max 0.4A max Power Consumption Environmental Operating Temperature 19.8W 31.4 W 33.8 W 45.8W 15.9 W 0 to 50 C (32 to 122 F) 0 to 50 C (32 to 122 F) 0 to 50 C (32 to 122 F) 0 to 50 C (32 to 122 F) 0 to 50 C (32 to 122 F) Non-Operating Temperature Heat Dissipation Operating Relative Humidity -40 to 70 C (-40 to 158 F) -40 to 70 C (-40 to 158 F) -40 to 70 C (-40 to 158 F) -40 to 70 C (-40 to 158 F) -40 to 70 C (-40 to 158 F) 66 BTUs/Hr 105 BTUs/Hr 114 BTUs/Hr 153 BTUs/Hr 47 BTUs/Hr 5% to 95% (noncondensing) 5% to 95% (noncondensing) Acoustics Fanless: 0dB Fan Low Speed: 36dB Fan High Speed: 49dB 5% to 95% (noncondensing) Fan Off: 0dB Fan On: 42dB 5% to 95% (noncondensing) Fan Low Speed: 39dB Fan High Speed: 49dB 5% to 95% (noncondensing) Fan Off: 0dB Fan On: 38dB 08G20G2-08P 08G20G G20G4-24P 08G20G G20G4-48P Performance Switching Throughput Mpps Switching Capacity MAC Address Table 14.9 Mpps 41.7 Mpps 41.7 Mpps 77.4 Mpps 77.4 Mpps 20 Gbps 56 Gbps 56 Gbps 104 Gbps 104 Gbps 16K 16K 16K 16K 16K VLANs Supported PoE Specifications 802.3af Interoperable Yes N/A Yes N/A Yes 303

304 802.3at Interoperable System Power Yes N/A Yes N/A Yes 104 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: Enable/disable Priority safety Overload & short circuit protection Physical Specifications Dimensions (H x W x D), Rack Units 4.06 cm H x 20.95cm W x 21.59cm D H x W x D 1U 4.4 cm H x 44.1cm W x 20.64cm D 1.73 H x W x D 1U 4.4 cm H x 44.1cm W x 36.8cm D 1.73 H x W x D 1U 4.4 cm H x 44.1cm W x 36.8cm D 1.73 H x W x D 1U 4.4 cm H x 44.1cm W x 36.8cm D 1.73 H x W x D 1U Net Weight 1.86 kg (4.10 lb) 2.35 kg (5.20 lb) 5.54 kg (12.2 lb) 4.50 kg (9.90 lb) 6.14 kg (13.5 lb) MTBF 536,628 hours 532,023 hours 275,199 hours 369,938 hours 225,591 hours Physical Ports (8) 10/100/1000 ports (2) 1Gb SFP ports (1) Console port Max: 10 active ports (24) 10/100/1000 ports (4) 1Gb SFP ports (1) Console port Max: 28 active ports (24) 10/100/1000 PoE ports (4) 1Gb SFP ports (1) Console port Max: 28 active ports (48) 10/100/1000 ports (4) 1Gb SFP ports (1) Console port Max: 52 active ports (48) 10/100/1000 PoE ports (4) 1Gb SFP ports (1) Console port Max: 52 active ports Power Power Supplies 1 Internal, 1 optional RPS 1 Internal, 1 optional RPS 1 Internal, 1 optional RPS 1 Internal, 1 optional RPS 1 Internal, 1 optional RPS Normal Input VAC VAC VAC VAC VAC Voltage Input Frequency Hz Hz Hz Hz Hz Input Current 2.0A max 0.8A max 7.65A max 1.2A max 7.65A max Power Consumption Environmental Operating Temperature 23.3 W 30.0 W 36.4 W 56.1 W 63.1 W 0 to 50 C (32 to 122 F) 0 to 50 C (32 to 122 F) 0 to 50 C (32 to 122 F) 0 to 50 C (32 to 122 F) 0 to 50 C (32 to 122 F) 304

305 Non-Operating Temperature Heat Dissipation Operating Relative Humidity Acoustics -40 to 70 C (-40 to 158 F) -40 to 70 C (-40 to 158 F) -40 to 70 C (-40 to 158 F) -40 to 70 C (-40 to 158 F) -40 to 70 C (-40 to 158 F) 80 BTUs/Hr 100 BTUs/Hr 124 BTUs/Hr 190 BTUs/Hr 215BTUs/Hr 5% to 95% (noncondensing) Fan Low Speed: 38dB Fan High Speed: 43dB 5% to 95% (noncondensing) Fan Off: 0dB Fan On: 44dB 5% to 95% (noncondensing) Fan Low Speed: 38dB Fan High Speed: 50dB 5% to 95% (noncondensing) Fan Low Speed: 37dB Fan High Speed: 42dB 5% to 95% (noncondensing) Fan Low Speed: 38dB Fan High Speed: 51dB All Models Agency Specifications Vibration IEC , IEC Shock IEC Drop IEC Altitude - operating Safety Electromagnetic Compatibility Operational up to 2,000 m 6,561 feet UL , FDA 21 CFR and , CAN/CSA C22.2, No , EN , EN , EN , IEC , 2006/95/EC (Low Voltage Directive) FCC 47 CFR Part 15 (Class A), ICES-003 (Class A), EN (Class A), EN 55024, EN , EN , AS/NZ CISPR-22 (Class A). VCCI V-3. CNS (BSMI), 2004/108/EC (EMC Directive) Environmental 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 305

306 Bestellnummern Part Number 800-Series 10/100 Switches 08H20G H20G4-24P 08H20G H20G4-48P 800-Series 10/100/1000 Switches 08G20G G20G2-08P 08G20G G20G4-24P 08G20G4-48 Enterasys Networks Solution Guide 2013/2014 Description 24 port 10/ Series Layer 2 switch with Quad 1Gb uplinks 24 port 10/100 PoE (802.3at) 800-Series Layer 2 switch with Quad 1Gb uplinks 48 port 10/ Series Layer 2 switch with Quad 1Gb uplinks 48 port 10/100 PoE (802.3at) 800-Series Layer 2 switch with Quad 1Gb uplinks 8 port 10/100/ Series Layer 2 switch with Dual 1Gb uplinks 8 port 10/100/1000 PoE (802.3at) 800-Series Layer 2 switch with Dual 1Gb uplinks 24 port 10/100/ Series Layer 2 switch with Quad 1Gb uplinks 24 port 10/100/1000 PoE (802.3at) 800-Series Layer 2 switch with Quad 1Gb uplinks 48 port 10/100/ Series Layer 2 switch with Quad 1Gb uplinks 08G20G4-48P 48 port 10/100/1000 PoE (802.3at) 800-Series Layer 2 switch with Quad 1Gb uplinks Optional Redundant Power Supplies 08A-RPS-24 08A-RPS-130P 08A-RPS A-RPS-500P Accessories 08A-CON-CBL Mounting Options for 8 Port Switches D2-LOCKBOX D2-RMT D2-TBL-MNT D2-WALL-MNT Mounting Options for RPS Units STK-RPS-150CH2 STK-RPS-150CH8 Redundant Power Supply for 8 port non-poe 800-Series switch Redundant Power Supply for 8 port 802.3at PoE 800-Series switch Redundant Power Supply for 24 and 48 port non-poe 800-Series switches (optional shelf mounting listed below) Redundant Power Supply for 24 and 48 port 802.3at PoE 800-Series switches Console Cable for 800-Series switch Metal Lockbox for D2/800-8 Ports Rack Mount Kit for D2/800-8 Ports Under Table Mount Kit for D2/800-8 Ports Wall Mount Kit for D2/800-8 Ports 2-slot modular power supply shelf (power supply 08A-RPS-150 sold separately) 8-slot modular power supply shelf (power supply 08A-RPS-150 sold separately) 306

307 Kapitel 7 - Dienstleistungen Enterasys Networks Solution Guide 2013/2014 Unternehmensweite Netze sind für Unternehmen eine effektive und effiziente Kommunikations- und Informationsbasis. Sie bilden sozusagen ihr Nervensystem. Service, Support, und Training der IT-Mitarbeiter werden immer wichtiger, um Netzwerke flexibel genug zu machen, damit sie sich den immer schneller verändernden Anforderungen an Unternehmen schnell genug anpassen können. Ein Netzwerk kann sehr schnell neue Funktionen anbieten, wenn Hard- und Softwareprodukte, Service und Support, Training und Professional Services konzeptionell aufeinander abgestimmt sind. Weil immer mehr Funktionen, kritische Daten, organisations- oder kommunikationsrelevante Anwendungen aufs Netz verlagert werden oder übers Netz arbeiten, ist dessen Verfügbarkeit fürs Funktionieren der Geschäftsabläufe essentiell. Daher zielen sämtliche administrativen Aktivitäten darauf, optimale Netzwerkverfügbarkeit sicherzustellen. Service, Support und Training spielen hierbei eine Schlüsselrolle. Dazu gehören auch Wartungskonzepte, die sich an den individuellen Unternehmensanforderungen orientieren. Grundbausteine wie Telefonsupport, Firmware-Upgrades oder ein Vorabaustausch sollten auf die gesamte Netzwerk- und Security- Infrastruktur abgestimmt sein. So lässt sich sicherstellen, dass das Netz bei Beeinträchtigungen in kürzester Zeit wiederfunktioniert. Enterasys SupportNet: Wartungslösungen Ihr Netzwerk läuft 24x7. Obwohl Ihre Support-Mitarbeiter es unterstützen, braucht Ihr Team einen Gesprächspartner, wenn technische Fragen auftreten. SupportNet ergänzt das firmeninterne Wissen über die Netzwerkressourcen durch tiefgehendes technisches Produktwissen, wie es nur der Hersteller liefern kann. SupportNet bietet Support-Level für jeden Bedarf - vom 24x7 Telefonsupport bis zu zwei Stunden Vor-Ort-Reaktionszeit. Über SupportNet greifen Sie auf unsere Experten zu und bekommen tiefgehende Troubleshooting-Informationen und Antworten auf Ihre technischen Fragen. Unsere Experten beraten Sie bei einem kostenfreien Anruf oder wenn Sie unsere Online- Websupport-Portal besuchen. Erweitern Sie Ihre Gewährleistung durch diese komfortable Supportoption von Enterasys Networks! 307

308 SupportNet - Leistungsumfang Enterasys Networks Solution Guide 2013/ x7 Telefonsupport: Unbegrenzter, jederzeitiger und kostenfreier Zugang zu unserem vollständig internen Support Center Firmware Updates und Upgrades: Laden Sie online wertvolle Firmware-Updates und -Upgrades von unserer Webseite. Software und Secure Network Appliance Support (SNA): Sofortiger Zugang zu neuen Releases garantiert, dass Ihre Applikationssoftware und Sicherheitsanwendungen immer auf dem neuestem Stand sind und mit Hochleistung arbeiten. Web-Support: Nutzen Sie die Vorteile des 24x7-Web-Support, um allgemeine Fragen mit Hilfe unserer Knowledgebase zu klären und in technischen Dokumentationen zu recherchieren. Ersatzteile: Vorabaustausch defekter Produkte innerhalb einer vereinbarten Zeitspanne (Lieferoption 2 Stunden/4 Stunden/gleicher Werktag/nächster Werktag, auch als 7x24-Stunden-Servicelevel erhältlich) von global verteilten Lägern aus. Techniker Vor Ort: Von Enterasys zertifizierte Techniker helfen, wenn nötig, Netzwerkfehler zu diagnostizieren, die Logistik vor Ort zu managen und bei technischen Eskalationen die Verbindung zu Produkt-Ingenieuren herzustellen. Mögliche Servicelevels: nächster Werktag, gleicher Werktag, 2 Stunden oder 4 Stunden rund um die Uhr. Vorteile von SupportNet Unsere Kompetenz 94% aller Anfragen werden von unserem Support Team beim ersten Kontakt gelöst, 97% Kundenzufriedenheit, 100% internes Service Center. Verbesserte Netzwerkverfügbarkeit und Produktivität SupportNet hilft Ihnen, die Auswirkungen eines ungeplanten Ausfalls zu minimieren und die Mitarbeiterproduktivität zu erhöhen. Verringerte Betriebskosten Wahrscheinlich übersteigen die Betriebskosten Ihrer Technikumgebung über den Lebenszyklus der Produkte deren Einkaufspreis. SupportNet senkt die Betriebskosten und sichert eine lange Lebensdauer des Netzes. 308

309 SupportNet Service Level Enterasys Networks Solution Guide 2013/2014 *Service Level variieren je nach Standort. Mehr Information unter ** Zu den SupportNet Services für die Secure Network Appliance (SNA) gehören ein Abo für Software Releases und Updates von Signaturdateien. (NBD= Next Business Day/nächster Werktag; SBD= Same Business Day/gleicher Werktag) Warum SupportNet? Enterasys glaubt, dass anspruchsvoller Service und Support kritisch für die gesamte Netzwerkverfügbarkeit sind. Deshalb komplettiert unser SupportNet-Portfolio mit seinen innovativen und flexiblen Service- und Support-Angeboten Ihre Lösung. SupportNet- Kunden profitieren davon, dass 94% aller Anfragen schon beim Erstkontakt durch unser komplett internes Support-Center-Team gelöst werden. Unsere Support-Center-Techniker haben im Durchschnitt über 13 Jahre technische Erfahrung mit Enterasys-Lösungen gesammelt. 97 % der SupportNet-Kunden sind mit unseren Services zufrieden. Enterasys SupportNet bietet alle Support-Services, die Unternehmen in der Nutzungsphase für hochverfügbare Netze und Services brauchen online, vor Ort und per Telefon. 309

310 Schulungs- und Zertifizierungskonzept Umfassende technische Trainingsprogramme gewährleisten die Flexibilität, die Netzwerke angesichts sich ständig ändernder Anforderungen an Unternehmen brauchen. Damit das IT-Personal Netzwerke wie gewünscht planen, installieren, konfigurieren und supporten kann, muss es entsprechende Trainings- und Zertifizierungsmaßnahmen absolvieren. Das Trainingsprogramm von Enterasys orientiert sich an praxisrelevanten Lernzielen. Wer Enterasys-Trainings besucht hat, ist mit Technologien und allen wichtigen Verfahren des Infrastruktur-Designs, zum Beispiel mit dem Management der Netzwerksicherheit und der Zugangs- und Nutzungsregeln, bestens vertraut. Zertifizierungsprogramm Das mehrstufige Enterasys-Zertifizierungsprogramm ermöglicht nach erfolgreichem Abschluss der entsprechenden technischen Zertifizierungstrainings die Qualifikation zum Enterasys Certified Specialist ECS Enterasys Certified Expert ECE Enterasys Certified Architect ECA Specialist Nach dem Trainingsbesuch und bestandener Prüfung kann ein Schulungsteilnehmer den Zertifizierungstitel Specialist (Enterasys Certified Specialist ECS) in einem oder mehreren der folgenden, in sich abgeschlossenen Technologiebereiche/Themen erlangen. Switching Management Routing Wireless NMS Wireless Advanced Services Policy SIEM Advanced SIEM NAC IP Ipv6 Advanced Routing BYOD Done Right 310

311 Datacenter Manager Expert Schulungsteilnehmer können den Zertifizierungstitel Expert (Enterasys Certified Expert ECE) für die folgenden Technologiegebiete erreichen: Networking Wireless Technologies Network Security Security Information Management Switch Routing Datacenter Manager BYOD Architect Der Architect bildet die höchste technische Zertifizierungsstufe bei Enterasys (Enterasys Certified Architect ECA) und ist in der Kategorie Networking zu erreichen. Wie bei allen Zertifizierungsstufen ist auch der ECA zwei Jahre lang gültig und muss dann erneuert werden (inklusive der nötigen Expert-Zertifizierungen). 311