Вопросы и ответы

Что такое HPE StoreVirtual? Что такое LeftHand?

StoreVirtual – семейство СХД типа SAN, выпускаемых компанией HPE. Существуют 2 линейки СХД StoreVirtual: традиционная SV 4000 и новая SV 3000. Серия 4000 готовится к снятию с производства. Серия 3000 недавно вышла на рынок, и на февраль 2017 года представлена единственной моделью – SV3200.

СХД StoreVirtual работает под управлением специальной операционной системы. В серии SV 4000 данная ОС носила название LeftHand, и иногда под этим названием подразумевают всю СХД SV целиком. В серии SV 3000 ОС имеет уже другое название – StoreVirtual OS.

SV3200 реализовано в виде шасси размером 2U. Спереди находится 25 SFF либо 12 LFF слотов под накопители, а сзади размещаются блоки питания, вентиляторы и контроллеры в отказоустойчивой конфигурации (каждый элемент в количестве 2).

Контроллеры обеспечивают работу всего массива и управление им. Кроме того, именно контроллеры оснащены портами, позволяющие подключить СХД к SAN сети и обеспечить блочный доступ к хранилищу для серверов.

Что такое HPE StoreVirtual? Что такое LeftHand?

Как можно подключить серверы к СХД StoreVirtual 3200?

SV3200 поддерживает подключение по iSCSI 1 и 10 Гбит, а так же по Fibre Channel 8 и 16 Гбит (в рамках одной СХД возможен только один тип подключений).

  • При подключении iSCSI 1 Гбит используется 2 или 4 порта на контроллер, порты медные
  • При подключении iSCSI 10 Гбит используется 2 порта на контроллер, возможны как медные порты, так и оптические SFP+ трансиверы
  • При подключении FC 8/16 Гбит используется 2 порта на контроллер, оптические SFP+ трансиверы SV3200 подключается к серверам через SAN коммутаторы (Ethernet/FC). На февраль 2017 года, прямое подключение от SV3200 непосредственно к серверам не поддерживается.
Какие особенности имеет SV3200? Какие технологии хранения данных в ней реализованы?

Ключевой особенностью StoreVirtual 3200 является возможность объединения нескольких СХД в кластер и построения сетевых RAID конфигураций на базе данного кластера. Сетевой RAID по принципу своей работы аналогичен классическому RAID, только его элементами являются не отдельные диски, а отдельные контроллеры СХД. Каждый том (LUN), находящийся в кластере, может иметь свой собственный уровень сетевого RAID. На февраль 2017 года, поддерживается объединение в кластер до двух SV3200.

Передача данных между разными СХД в рамках кластера и сетевых RAID конфигураций осуществляется за счет синхронной репликации. При наличии адекватного канала связи, можно разместить участвующие в кластере СХД на географически удаленных площадках и получить катастрофоустойчивое решение (которое обеспечивает полную сохранность данных и автоматическое переключение клиентов при аварии на одной из площадок).

Помимо сетевых RAID и синхронной репликации, StoreVirtual 3200 имеет большинство функций современных СХД:

  • Тома с динамическим выделением емкости, занимающие лишь то место, которое реально занято пользовательскими данными. Размер томов увеличивается или уменьшается в зависимости от изменений объемов пользовательских данных (англ. Thin Provisioning, Space Reclamation);
  • Перемещение томов между СХД или кластерами в онлайн-режиме, без остановки работы приложений, использующих данные тома (англ. Peer Motion);
  • Традиционные снимки данных, а также снимки с учетом состояния приложений;
  • Автоматический тиринг;
  • Асинхронная репликация.

Тиринг и репликация требуют дополнительную лицензию Advanced Data Services. Данная лицензия также требуется для построения сетевого RAID между двумя СХД, поскольку он работает именно за счет синхронной репликации.

Дополнительно можно приобрести файловый шлюз StoreVirtual 3000 File Controller, который добавит поддержку файлового доступа по всем основным протоколам (SMB, CIFS, NFS и т.д.) для SV3200. Кроме того, он добавит дедупликацию на уровне элементов файлов и ряд функций для файлового хранилища (классификация, файловые квоты и т.д.).

Чем StoreVirtual 3200 отличается от других SAN СХД производства HPE?

StoreVirtual 3200 – одна из трех основных SAN СХД компании HPE (наряду с MSA и 3PAR).

StoreVirtual 3200 по своим характеристикам и цене ближе к MSA, она так же относится к бюджетному сегменту. Но, с другой стороны, SV3200 имеет ряд функций, которых нет в MSA и которые встречаются в массивах более высокого уровня, таких как 3PAR.

Преимущества SV3200 по сравнению с MSA:

  • имеет меньшую цену (на 6-7% меньше чем даже MSA 1040 при одинаковых конфигурациях)
  • имеет более богатый функционал (присутствует сетевой RAID, Peer Motion, которых нет в MSA)

Недостатки SV3200 по сравнению с MSA:

  • хуже производительность – и при стандартной конфигурации MSA, и тем более при использовании на MSA функции кэширования на SSD, которой нет в SV3200
  • не поддерживается (на февраль 2017 года) прямое подключение SV3200 к серверам, что может потребовать дополнительных затрат на покупку SAN коммутаторов

StoreVirtual 3200 хорошо подойдет:

  • при необходимости синхронной репликации между СХД (резервная площадка, катастрофоустойчивое решение)
  • как более бюджетный аналог MSA для всех основных корпоративных задач (файловая помойка, резервное копирование, телефония, почта, виртуализация и т.д.), особенно если в инфраструктуре заказчика уже имеется SAN сеть с коммутаторами
  StoreVirtual 3200 MSA 1040/2040 3PAR
Цена Наименьшая Дороже чем SV3200 Значительно дороже
Производительность  Самая низкая Выше чем в SV3200 Значительно выше
Прямое подключение к серверам Не поддерживается Поддерживается Не поддерживается
Асинхронная репликация Да, лицензируется дополнительно Да, лицензируется дополнительно Да, лицензируется дополнительно
Синхронная репликация В рамках сетевого RAID, лицензируется дополнительно Нет Да, лицензируется дополнительно
Тиринг 2х уровневый, лицензируется дополнительно 3х уровневый, лицензируется дополнительно (2х уровневый входит по умолчанию в MSA2040) Собственная технология (перемещение данных между CPG), лицензируется дополнительно
Дедупликация Только файловая при использовании файлового контроллера Только файловая при использовании файлового контроллера Да
Чем отличаются СХД MSA 2040 и MSA 2042?

HPE MSA (англ. Modular Smart Array) – семейство SAN СХД начального уровня. В него входят модели MSA 1040 и MSA 2040, а также новая модель MSA 2042, поступившая в продажу летом-осенью 2016 года.

Фактически, MSA 2042 является той же самой MSA 2040, только в определенной комплектации. В состав любой MSA 2042 обязательно входят следующие компоненты:

  1. Стандартное шасси MSA
    На 12 LFF, либо 24 SFF накопителей, с 2 кабелями питания и комплектом направляющих для стойки.
  2. Два контроллера
    Пара контроллеров типа SAS, либо типа SAN (iSCSI/FC), с 4 портами в каждом. В случае контроллеров SAN необходимо будет также выбрать трансиверы, либо DAC кабели, для подключения по требуемому протоколу (iSCSI 1 Гб / iSCSI 10 Гб / FC 8 Гб / FC 16 Гб).
  3. Два SSD накопителя
    Каждый объемом 400 ГБ с интерфейсом SAS 12 Гбит/с. Можно выбрать два SSD типа Mixed Use, либо два SSD типа Mainstream Endurance. Они различаются показателем DWPD (англ. Drive Writes per Day). Данная характеристика обозначает, сколько раз можно перезаписать весь объем накопителя в день без сокращения заявленного срока его службы. У SSD типа Mainstream Endurance DWPD выше.
  4. Лицензия Advanced Data Services
    Открывает все расширенные функции для MSA (трехуровневый тиринг с использованием SSD, асинхронная репликация, 512 аппаратных снимков).

MSA 2042 имеет преимущество в цене по сравнению с аналогичной конфигурацией на MSA 2040, и стоит примерно на 20% меньше.

Чем отличаются СХД MSA 2040 и MSA 2042?

Чем отличаются СХД MSA 2040 и MSA 2042?

Как устроены СХД HPE Nimble Storage?

Массивы HPE Nimble Storage состоят из основного шасси и опциональных полок расширения. Шасси имеет размер 4U и включает 2 контроллера, 2 блока питания и накопители. Полки расширения также имеют размер 4U и включают аналогичные элементы. Полки расширения бывают all-flash (состоящие полностью из SSD), либо гибридные (включающие HDD и SSD под кэш).

Контроллеры основного шасси снабжены двумя встроенными медными портами 10 Гбит, которые по умолчанию настроены для сети управления, но могут использоваться и для клиентских подключений. Также контроллеры имеют 3 слота расширения, в которые можно устанавливать сетевые карты 1/10 Гбит iSCSI и 8/16 Гбит FC. На начало 2018 года, нельзя использовать одновременное подключение по iSCSI и FC (исключение – iSCSI используется для репликации, FC для клиентского доступа). В планах заявлено скорое добавление данной возможности, а также карт 40 Гбит iSCSI и 32 Гбит FC. Контроллеры работают по схеме Active-Passive, то есть один из них является активным, а другой находится в режиме ожидания и берет на себя функции управления в случае отключения первого. Данная схема позволяет легко производить последовательную замену контроллеров при апгрейде. Кроме того, в ней отсутствуют ограничения по загрузке контроллера не более чем на 50%, присущие архитектурам Active-Active.

Как устроены СХД HPE Nimble Storage?

Как устроены СХД HPE Nimble Storage?

Массивы серии AF включают до 48 SSD накопителей. Они установлены парами в специальных модулях (англ. Bank), каждая пара находится в LFF салазках DFC (англ. Dual Flash Carrier). Нижние накопители каждой пары принадлежат к модулю А и образуют первую RAID-группу. Верхние накопители каждой пары принадлежат к модулю В и образуют вторую RAID-группу. Массивы серии AF поддерживают до 2 all-flash полок расширения. Заказчик может приобрести основное шасси с 24 (заполнены только модули А) или 48 SSD.

Как устроены СХД HPE Nimble Storage?

Массивы серий CS (за исключением CS1000H) и SF включают до 6 SSD (в 3 DFC) и 21 LFF HDD накопитель. SSD используются под кэш на чтение, и в основном шасси их может быть 3 (только модули А) либо 6. HDD всегда устанавливаются в количестве 21 и собираются в RAID-группу. Массивы серии CS поддерживают до 6 гибридных полок расширения. Кроме того, вместо 1 из них можно поставить полку all-flash. Массивы серии SF поддерживают до 2 гибридных полок расширения.

Как устроены СХД HPE Nimble Storage?

CS1000H представляет собой наиболее бюджетный вариант, он включает до 4 SSD (в 2 DFC) и до 22 HDD накопителей в основном шасси. В данном массиве можно начать с конфигурации 2 SSD (только модули А) и 11 HDD (верхние), а затем добавить группу 11 нижних HDD и, при необходимости, SSD модулей В.

Как устроены СХД HPE Nimble Storage?

Массивы серий AF и CS поддерживают апгрейд на более старшие модели путем замены контроллеров. С модели уровня 1000 можно последовательно обновиться до модели уровня 5000, с модели уровня 3000 – до уровня 9000. К примеру, можно получить AF7000 из AF3000 следующим образом: AF3000 обновляется до AF5000, затем AF5000 обновляется до AF7000. Модель CS1000H поддерживает обновление только до CS3000.

Кроме того, массивы серий AF и CS можно объединять в кластер с единым управлением и возможностью распределения данных томов между СХД (до 4 СХД). Для оптимальной балансировки ввода/вывода требуется установка специального драйвера на хосты.

Какие модели СХД входят в семейство HPE Nimble Storage?

Семейство HPE Nimble Storage включает три продуктовые линейки, различающиеся по архитектуре и назначению:

  • AF-Series (англ. All-Flash) – массивы, полностью построенные на базе SSD накопителей; позиционируются для наиболее критичных рабочих нагрузок.
  • CS-Series (англ. Converged Storage) – адаптивные массивы, в которых данные хранятся на HDD, а SSD используются в качестве кэша; позиционируются для большинства основных нагрузок.
  • SF-Series (англ. Secondary Flash) – дополнительные массивы, которые по архитектуре аналогичны адаптивным, но имеют сниженную производительность и повышенные коэффициенты дедупликации; позиционируются для резервного копирования и некритичных нагрузок.

В указанные линейки массивов входят следующие модели:

Линейка Модель Производительность* Полезная емкость**
AF-Series AF1000 До 35 000 IOPS До 165 ТБ
AF3000 До 50 000 IOPS До 335 ТБ
AF5000 До 120 000 IOPS До 680 ТБ
AF7000 До 230 000 IOPS До 1,2 ПБ
AF9000 До 300 000 IOPS До 2 ПБ
CS-Series CS1000H До 35 000 IOPS До 1,9 ПБ
CS1000 До 35 000 IOPS До 1,9 ПБ
CS3000 До 50 000 IOPS До 2,3 ПБ
CS5000 До 120 000 IOPS До 2,3 ПБ
CS7000 До 230 000 IOPS До 2,3 ПБ
SF-Series SF-100 До 20 000 IOPS До 800 ТБ
SF-300 До 40 000 IOPS До 1,6 ПБ

*с учетом работающих дедупликации и компрессии

**с учетом RAID, дедупликации и компрессии

Необходимо отметить, что приведенные показатели по IOPS носят маркетинговый характер, они получены в результатах лабораторных тестов при оптимальных условиях. В условиях реальной эксплуатации, в зависимости от профиля нагрузки, массивы серии AF могут иметь лучшую производительность, чем модели того же уровня серии CS.

Чем отличаются стример, автозагрузчик и ленточная библиотека?

Стример или ленточный накопитель — устройство хранения данных, основанное на принципе магнитной записи на ленточный носитель (называется картриджем или кассетой). Стример работает через последовательный доступ к данным, и по своей организации он очень похож на обычный магнитофон. Для записи или чтения информации необходимо загрузить кассету в привод. Поскольку, с одной стороны, кассеты отличаются невысокой стоимостью и большой емкостью, а с другой, стример имеет низкую скорость произвольного доступа (лента должна прокрутиться к нужному месту), данные устройства чаще всего используются для резервного копирования и архивирования информации. Стримеры бывают внутренние (устанавливаются в корпус сервера, как дисковод) и внешние (отдельные устройства). Они могут подключаться через интерфейсы USB, SCSI или SAS. В портфеле решений HPE стримеры представлены семейством StoreEver Ultrium. Они поддерживают кассеты серии LTO-7 емкостью 15 ТБ (с учетом сжатия), а также более ранних серий вплоть до LTO-3 (зависит от модели стримера).

Чем отличаются стример, автозагрузчик и ленточная библиотека?
Стример StoreEver LTO-7 Ultrium 15000

Ленточный автозагрузчик – устройство хранения данных, объединяющее стример и магазин автоматической подачи, в который можно установить несколько кассет. Далее они будут последовательно, в автоматическом режиме загружаться в стример для записи. Ручная замена кассет в пределах магазина не требуется. Автозагрузчик может иметь интерфейс FC, SCSI или SAS. HPE в качестве автозагрузчика предлагает модель StoreEver 1/8 G2, поддерживающую магазин на 8 кассет.

Чем отличаются стример, автозагрузчик и ленточная библиотека?
Автозагрузчик StoreEver 1/8 G2

Ленточная библиотека – система, объединяющая в своем составе до десятков стримеров и позволяющая автоматически управлять записью на десятки и сотни лент. Может иметь внешний интерфейс FC или SAS. Ленточные библиотеки поддерживают очень большие объемы данных, они предназначены для автоматического резервного копирования и архивирования целых ИТ-инфраструктур. В портфеле решений HPE ленточные библиотеки представлены семейством StoreEver MSL (емкость до 8,4 ПБ* на LTO-7 с учетом сжатия, в зависимости от модели), а также моделями премиум-класса T950 (до 300 ПБ на LTO-8 с учетом сжатия) и TFinity ExaScale (до 1,6 ЭБ** на LTO-8 с учетом сжатия).

Чем отличаются стример, автозагрузчик и ленточная библиотека?
Ленточная библиотека StoreEver MSL2024

 

ПБ – петабайт, 1 ПБ равен 1000 ТБ

** ЭБ – эксабайт, 1 ЭБ равен 1000 ПБ

Что такое файловый контроллер (файловый шлюз)?

Файловый шлюз – NAS* устройство, которое может подключаться к блочной SAN** СХД и превращать ее в NAS хранилище, добавляя поддержку файловых служб и протоколов. Подключение файлового шлюза к SAN СХД происходит посредством SAS, iSCSI или FC. Оно может идти непосредственно к массиву, либо через SAN сеть. Далее все клиентские подключения к СХД осуществляются через файловый шлюз по Ethernet LAN.

HPE в качестве файловых шлюзов предлагает решения StoreEasy 3850 Gateway Storage и StoreEasy 3850 Gateway Storage Blade. Первое выполнено в форм-факторе стоечного сервера, второе – в виде блейд-сервера. Данные шлюзы имеют предустановленную ОС Windows Storage Server 2016 и предоставляют все имеющиеся в ней сервисы (SMB, NFS, HTTP/HTTPS, FTP/FTPS, iSCSI, QoS, файловую дедупликацию и т.д.).

Решения StoreEasy 3850 Gateway Storage поддерживают следующие СХД: MSA, StoreVirtual, Nimble Storage, 3PAR, XP.

* NAS – англ. Network Attached Storage, сетевое файловое хранилище

** SAN – англ. Storage Area Network, сеть хранения данных

Какие изменения были сделаны в 5м поколении СХД HPE MSA (MSA 1050/2050/2052)?

HPE MSA – семейство систем хранения данных начального уровня. Летом 2017 года вендор анонсировал 5е поколение СХД MSA и появились модели MSA 2050, MSA 2052 (третья цифра в названии указывает на поколение). Чуть позже была добавлена модель MSA 1050. На начало 2018 года, продолжают также официально поставляться модели MSA 4го поколения (MSA 1040/2040/2042). По сравнению с ними, СХД нового поколения имеют следующие преимущества и особенности:

  1. Максимальная производительность MSA 2050/2052 выше примерно в 2 раза по сравнению с аналогичными конфигурациями на 2040/2042 (согласно тестам HPE, 2040/2042 выдает до 122 тыс. IOPS, 2050/2052 – более 220 тыс. IOPS).
  2. MSA 2052 комплектуется двумя SSD по 800 ГБ (в 2042 входят два по 400 ГБ).
  3. Поддерживается репликация по FC и iSCSI, возможен сценарий «один-ко-многим» (до 4 целевых СХД) и репликация между моделями 4го и 5го поколений (в 4м поколении репликация поддерживается только по iSCSI по схеме «один-к-одному»).
  4. Минимальный интервал репликации уменьшен до 30 минут (в 4м поколении он составляет 1 час).
  5. Добавлена фронтальная защитная панель.
  6. Добавлен графический интерфейс состояния процесса обновления прошивок (доступен через порт HTTP 8081 на каждом контроллере).
  7. Тип хранилища может быть только виртуальный*, классический линейный** не поддерживается.
  8. SFF полки расширения теперь поддерживают 24 накопителя (в 4м поколении поддерживают 25).

Апгрейд с MSA 1040/2040/2042 на соответствующие модели 5го поколения возможен путем замены контроллеров (накопители должны быть SAS 12 Гб, тип хранилища должен быть только виртуальный).

* виртуальный тип хранилища в MSA – англ. MSA Virtual Storage, способ частичной виртуализации емкости хранилища, когда несколько RAID групп объединяются в общий пул, и данные томов (LUN) распределяются по всем накопителям пула

** линейный тип хранилища в MSA – англ. MSA Linear Storage, классический способ организации емкости хранилища, когда накопители объединяются в RAID группы, и на основе отдельных RAID групп создаются тома (LUN)

Какие изменения были сделаны в 5м поколении СХД HPE MSA (MSA 1050/2050/2052)?

В чем основные отличия между коммутаторами серии Cisco Catalyst 2960?

На данный момент существует несколько линеек серии 2960: 2960, 2960-C, 2960-CX, 2960-L, 2960-SF, 2960-S, 2960-Plus, 2960-X и 2960-XR. Актуальными являются линейки 2960-C, 2960-CX, 2960-L, 2960-Plus, 2960-X и 2960-XR. Часть коммутаторов линеек 2960-Plus (WS-C2960+) и 2960-X (WS-C2960X) производится в РФ и имеют индексы WS-C2960R+ и WS-C2960RX соответственно.

Основные отличия между линейками следующие:

  1. Время появления на рынке: 2960 и 2960-C– старые модели коммутаторов, 2960-S, 2960-SF – более новые, затем выпущены 2960-Plus, 2960-X и 2960-XR, затем - 2960-СX и, наконец, 2960-L.
  2. Линейка 2960-Plus сходна по характеристикам с линейкой 2960. Основное отличие увеличенный объём памяти DRAM и Flash для возможности инсталляции будущих релизов IOS.
  3. Коммутаторы 2960-C, 2960-CX, 2960-L (8,16 – портовые модели) выполнены в компактном исполнении. Для установки в стойку необходимо докупать отдельный монтажный комплект.
  4. Производительность коммутационной фабрики устройства:
    1. 2960-С – 10 Гбит/с;
    2. 2960-СX – 12 Гбит/с;
    3. 2960 и 2960-Plus – до 16 Гбит/с;
    4. 2960-S и 2960-SF – до 88 Гбит/с;
    5. 2960-L – в зависимости от модели, 8 портов - 10 Гбит/с, 16 – 18 Гбит/с, 24 – 28 Гбит/с, 48 – 52 Гбит/с;
    6. 2960-X - 50 Гбит/с (LAN Lite) и 108 Гбит/с (LAN Base);
    7. 2960-XR – 108 Гбит/с.
  5. Медные порты доступа:
    1. 2960С, 2960-CX- 10/100 Mbps и 10/100/1000 Mbps;
    2. 2960, 2960-SF и 2960-Plus - 10/100 Mbps;
    3. 2960-L,2960-S, 2960-X и 2960-XR - 10/100/1000 Mbps.
  6. Определённые модели коммутаторов 2960-S, 2960-X и 2960-XR поддерживают трансиверы SFP+ 10 Гбит/с (до двух).
  7. Коммутаторы 2960-S и 2960-SF могут стекироваться между собой, используя технологию FlexStack. Стековый комплект (C2960S-STACK=) покупается отдельно на каждый коммутатор. Данный комплект содержит пол метровый кабель (CAB-STK-E-0.5M). Общая пропускная способность стека – до 40 Гбит/с; в стек могут быть объединены до 4-х коммутаторов. Следует отметить, что стекирование поддерживается только в коммутаторах LAN Base.

    Коммутаторы 2960-X могут стекироваться между собой, используя технологию FlexStack-Plus или FlexStack-Extended. Стековый комплект (C2960X-STACK, C2960X-FIBER-STK или C2960X-HYBRID-STK) покупается отдельно на каждый коммутатор. Например, комплект C2960X-STACK содержит пол метровый кабель (CAB-STK-E-0.5M). При этом C2960X-FIBER-STK и C2960X-HYBRID-STK не комплектуются кабелем/оптическими трансиверами (SFP+). Они покупаются отдельно. Общая пропускная способность стека – до 80 Гбит/с для FlexStack-Plus и до 40 Гбит/с для FlexStack-Extended; в стек могут быть объединены до 8 коммутаторов. Стекирование поддерживается только в коммутаторах LAN Base. Коммутаторы 2960-X могут стекироваться с коммутаторами 2960-S и 2960-SF, стек начинает работать по технологии FlexStack.

    Коммутаторы 2960-XR могут стекироваться только между собой, используя технологию FlexStack-Plus или FlexStack-Extended. Стековые комплекты аналогичным образом покупаются отдельно.

  8. Коммутаторы 2960-CX, 2960-S, 2960-SF, 2960-L, 2960-X и 2960-XR поддерживают PoE+ - 30 Вт на порт. Доступны модели с бюджетом PoE до 740 Вт.
  9. Коммутаторы 2960, 2960-S и 2960-X могут подключаться к Cisco Redundant power system (RPS) 2300. В коммутаторы 2960-XR можно установить второй блок питания.
  10. Коммутаторы 2960-X и 2960-XR поддерживают технологию NetFlow-Lite.
  11. Коммутаторы 2960-XR поддерживают динамические протоколы маршрутизации, а также расширенные функции 3-го уровня модели OSI: RIP, OSPF, PBR, HSRP и пр.

В чем основные отличия между коммутаторами серии Cisco Catalyst 2960?

Стек коммутаторов 2960-X

В чем различие между HPE 3PAR 8450 и 9450? Будет ли 8450 заменен 9450?

HPE 3PAR StoreServ 9450 – новая модель в семействе систем хранения данных 3PAR, анонсированная вендором летом 2017 года. Данная СХД позиционируется как All-Flash, то есть построенная только на SSD накопителях (добавление HDD официально не поддерживается). Она относится к среднему классу (англ. Midrange) и занимает нишу между линейкой начального уровня 8000 и линейкой премиум-класса 20000 R2.

По сравнению с линейкой 8000 и своим ближайшим аналогом 8450 (тоже All-Flash модель), 9450 имеет улучшенную аппаратную платформу, которая позволяет достигать гораздо более высоких показателей производительности и масштабируемости. Согласно исследованиям HPE, 3PAR 9450 может выдавать до 2 миллионов IOPS и иметь до 18 ПБ* полезной емкости (с учетом дедупликации и компрессии). С другой стороны, 8450 обеспечивает более высокую плотность размещения в стойке благодаря компактному основному шасси, которое поддерживает установку накопителей.

Основные отличия 3PAR 8450 и 9450:

8450 9450
Количество процессоров на контроллер 1 2
Количество микросхем ASIC на контроллер 1 2
Количество слотов расширения на контроллер 1 5
Встроенные порты для репликации по IP 1 Гбит/с 10 Гбит/с
Объем кэша на контроллерную пару 192 ГиБ** 448 ГиБ**
Максимальная «сырая»*** емкость 3351 ТиБ**** 6000 ТиБ****
Форм-фактор основного шасси 2U, с накопителями (полки расширения опциональны) 5U, без накопителей (полки расширения обязательны)

На начало 2018 года, HPE не планирует исключать 3PAR 8450 из портфеля решений. Для заказа будут доступны обе модели. Вендор рекомендует выбирать 9450 в тех случаях, где важна производительность, а 8450 – когда необходима плотность размещения.

* ПБ – петабайт, 1 ПБ равен 1000 ТБ

** ГиБ – гибибайт, 1 ГиБ равен 230 байт (1 ГБ равен 109 байт)

*** Без учета RAID, дедупликации и компрессии

**** ТиБ – тебибайт, 1 ТиБ равен 1024 ГиБ

Что такое программно-определяемое хранилище (Software Defined Storage, SDS)?

Программно-определяемое хранилище – способ построения системы хранения данных, при котором на серверной платформе (или нескольких платформах) с локальными накопителями разворачивается специальное ПО, превращающее локальные дисковые емкости в СХД с общим доступом. Данные емкости становятся доступны не только серверу, к которому они физически подключены, но и всем серверам, образующим SDS-группу, а в некоторых случаях – и другим устройствам по стандартным протоколам (iSCSI, FC, SMB и т.д.).

Существуют два основных способа организации подобного хранилища. В первом случае функционал SDS встроен в платформу виртуализации (гипервизор). При таком подходе программно-определяемое хранилище жестко зависит от конкретного гипервизора и работает только в связке с ним. Примерами подобных решений служат VMware vSAN, Microsoft Storage Spaces.

VMware vSAN работает только вместе с платформой виртуализации vSphere. Данное решение позволяет объединить емкости локальных накопителей серверов виртуализации в общий пул, полный доступ к которому имеет каждый узел. Подобная схема логически образует гиперконвергентную систему – на аппаратных серверах работают виртуальные машины (ВМ), используя емкости хранилища тех же самых серверов. Microsoft Storage Spaces помогает организовать как аналогичное гиперконвергентное решение, так и конвергентное, где одни узлы используются для вычислений и работы ВМ, а другие объединены в логическое виртуализованное NAS* хранилище.

Что такое программно-определяемое хранилище (Software Defined Storage, SDS)?

Организация гиперконвергентного решения в VMware vSAN


Что такое программно-определяемое хранилище (Software Defined Storage, SDS)?

Организация конвергентного решения в Microsoft Storage Spaces

При втором способе функционал SDS заключен в специальной ВМ, которая должна быть запущена на сервере или серверах, выделенных под организацию хранилища. Эта ВМ может запускаться на любом аппаратном сервере при условии поддержки ее гипервизором. Наряду с ней на данной вычислительной платформе могут работать и другие ВМ с приложениями заказчика. Примерами подобных решений служат Dell EMC ScaleIO, HPE StoreVirtual VSA. Данные решения позволяют на базе стандартных серверов с локальными накопителями организовать блочную SAN** СХД, доступ к которой могут осуществлять все устройства по протоколу iSCSI.

Что такое программно-определяемое хранилище (Software Defined Storage, SDS)?

Схема работы HPE StoreVirtual VSA

Преимуществами SDS решений являются:

  1. Гибкость в выборе аппаратной платформы и накопителей.
  2. Широкие возможности масштабирования.
  3. Возможность сокращения количества оборудования при гиперконвергентных развертываниях.
  4. Возможность организации сетевых RAID для повышения производительности и/или отказоустойчивости.
  5. Управление хранилищем через те же инструменты, что и виртуализацией (для SDS, функционал которых встроен в платформу виртуализации).

* NAS – англ. Network Attached Storage, сетевое файловое хранилище

** SAN – англ. Storage Area Network, сеть хранения данных

Что такое виртуальная ленточная библиотека? Какие виртуальные библиотеки предлагает компания HPE?

Виртуальная ленточная библиотека (англ. Virtual Tape Library, VTL) – дисковая СХД, эмулирующая ленточную библиотеку. Используется для резервного копирования (РК) ИТ-инфраструктур и приложений, для которых нецелесообразно применять традиционные ленточные устройства по таким причинам, как производительность. Преимущества виртуальных ленточных библиотек перед обычными:

  1. Дисковая СХД характеризуется гораздо более высокой производительностью при записи резервных копий и их последующем восстановлении.
  2. Дисковые массивы, в отличие от лент, в большинстве своем поддерживают дедупликацию, что увеличивает фактическую емкость СХД.
  3. Также VTL могут поддерживать репликацию, что упрощает передачу данных между площадками и консолидацию в главном ЦОД.
  4. Одна VTL может эмулировать сразу несколько библиотек, что позволяет осуществлять одновременное РК разных приложений или производить восстановление одного приложения параллельно с РК другого.

Современные виртуальные библиотеки совместимы с большинством ПО резервного копирования, что обеспечивает дополнительное удобство при организации процесса РК.

В портфеле решений HPE виртуальные ленточные библиотеки представлены семейством StoreOnce. Оно включает ряд аппаратных дисковых массивов, различающихся по максимальной емкости и производительности, а также решение StoreOnce VSA. VSA представляет собой виртуальную машину для VMware ESXi / Microsoft Hyper-V / Linux KVM, которая при развертывании на любом аппаратном сервере превратит его в программно-определяемую систему StoreOnce. Последние версии VSA можно также разворачивать на облачной платформе Microsoft Azure. VSA лицензируется по объему данных, который планируется в ней хранить, при этом лицензия на 1 ТБ доступна бесплатно.

Системы StoreOnce в качестве целевых ресурсов для РК поддерживают эмуляцию ленточных библиотек с подключением по iSCSI / FC, создание общих папок SMB / NFS, а также специальных ресурсов StoreOnce Catalyst. Протокол Catalyst, разработанный компанией HPE, позволяет (при условии поддержки ПО РК) осуществлять дедупликацию по выбору администратора на источнике, на локальном либо облачном StoreOnce. Это обеспечивает дополнительную гибкость решения и, в частности, помогает уменьшить нагрузку на сетевые каналы связи.

Что такое виртуальная ленточная библиотека? Какие виртуальные библиотеки предлагает компания HPE?

HPE StoreOnce 3540

Какие модели входят в линейку СХД HPE 3PAR 8000? В чем различия между ними?

HPE 3PAR StoreServ – семейство систем хранения данных, отличающихся уникальной аппаратной архитектурой. К ее особенностям относятся низкоуровневая виртуализация хранилища, когда данные любого тома распределяются по всем накопителям, использование специальных вычислительных микросхем ASIC, и принцип работы контроллеров Full Mesh, когда все они обслуживают каждый том. Указанные решения позволяют достичь весьма высоких показателей производительности и надежности, близких к показателям систем премиум-класса (англ. High-End). Они реализованы во всех массивах 3PAR, от самого младшего до самого старшего. Кроме того, все СХД имеют одну и ту же операционную систему (3PAR OS) и единый интерфейс управления (3PAR StoreServ Management Console).

К семейству относятся 3 линейки – линейка начального уровня 3PAR 8000, линейка среднего класса 3PAR 9000 и линейка премиум-класса 3PAR 20000 R2. В линейку 9000 входит только одна модель – 3PAR 9450. В каждую из оставшихся линеек входят 4 модели.

К линейке 3PAR 8000 относятся следующие модели:

  • 3PAR 8200
  • 3PAR 8400
  • 3PAR 8440
  • 3PAR 8450 All-Flash*

Основными различиями между данными моделями является максимальное количество контроллеров (2 или 4), а также максимальное количество HDD/SSD накопителей и полок расширения. Более подробное описание различий приведено в таблице:

8200 8400 8440 8450
Количество контроллеров в системе 2 2 или 4 2 или 4 2 или 4
Тип процессоров 2,2 ГГц 6 ядер 2,2 ГГц 6 ядер 2,4 ГГц 10 ядер 2,4 ГГц 10 ядер
Количество процессоров в системе 2 2 или 4 (зависит от кол-ва контроллеров) 2 или 4 (зависит от кол-ва контроллеров) 2 или 4 (зависит от кол-ва контроллеров)
Количество микросхем ASIC в системе 2 2 или 4 (зависит от кол-ва контроллеров) 2 или 4 (зависит от кол-ва контроллеров) 2 или 4 (зависит от кол-ва контроллеров)
Объем кэш-памяти контроллеров в системе 64 ГиБ** 64 или 128 ГиБ (зависит от кол-ва контроллеров) 192 или 384 ГиБ (зависит от кол-ва контроллеров) 192 или 384 ГиБ (зависит от кол-ва контроллеров)
Количество слотов расширения в системе 2 2 или 4 (зависит от кол-ва контроллеров) 2 или 4 (зависит от кол-ва контроллеров) 2 или 4 (зависит от кол-ва контроллеров)
Встроенные порты FC 16 Гбит в системе 4 4 или 8 (зависит от кол-ва контроллеров) 4 или 8 (зависит от кол-ва контроллеров) 4 или 8 (зависит от кол-ва контроллеров)
Встроенные порты 1 Гбит для репликации в системе 2 2 или 4 (зависит от кол-ва контроллеров) 2 или 4 (зависит от кол-ва контроллеров) 2 или 4 (зависит от кол-ва контроллеров)
Максимальное количество HDD 240 576 960 не поддерживаются
Максимальное количество SSD 120 240 480 480
Максимальное количество полок расширения 9 22 38 18
Максимальная «сырая»*** емкость 1000 ТиБ**** 2400 ТиБ 4000 ТиБ 3351 ТиБ
Позиционирование наиболее бюджетная модель поддержка 4 контроллеров поддержка 4 контроллеров и наибольшая емкость поддержка 4 контроллеров и All-Flash

 

Какие модели входят в линейку СХД HPE 3PAR 8000? В чем различия между ними?

HPE 3PAR StoreServ 8450


* Построенная только на SSD (HDD официально не поддерживаются)

** ГиБ – гибибайт, 1 ГиБ равен 230 байт (1 ГБ равен 109 байт)

*** Без учета RAID, дедупликации и компрессии

**** ТиБ – тебибайт, 1 ТиБ равен 1024 ГиБ

Какова линейка коммутаторов Cisco Catalyst 1000?

Cisco Catalyst 1000 – новые гигабитные коммутаторы для сетей предприятий (Enterprise). Позиционируются на уровень доступа при построении небольших и средних сетей.

Коммутаторы предоставляют расширенные функции L2, базовые функции L3. Доступны модели с поддержкой PoE+.

Ключевые характеристики:

  • операционная система – классический Cisco IOS с единственной набором фич LAN Base,
  • управление – Cisco CLI или Web-доступ,
  • стекировение – горизонтальный стек для обеспечения управления через единый адрес,
  • доступны модели с 8, 16, 24 и 48 портами 1 Гбит/с,
  • uplink порты – 2 или 4 SFP/SFP+,
  • поддержка PoE+.
L2 функции RSTP, MSTP, PVRST+,  Link state tracking, DHCP, DTP, LACP, PAgP, IGMP snooping, storm control,  Voice VLAN, VTP, SPAN
Функции маршрутизации Static routing, RIP
Безопасность 802.1X, AAA, ACL, TACACS+ и RADIUS authentication, BPDU Guard, IP Source Guard, Spanning Tree Root Guard, IGMP filtering
QoS AutoQoS, policing, Trust boundary, до 8 исходящих очередей, SRR, WTD
Анализ трафика sFlow
Cisco DNA Center

Базовая автоматизация (SWIM, инвентаризация, топология,

Template based provisioning) и возможности Assurance

Как устроены СХД HPE 3PAR 8000?

Массивы HPE 3PAR StoreServ линейки 8000 состоят из основного шасси и полок расширения. Основное шасси имеет размер 2U, включает 24 накопителя SFF, 2 блока питания и 2 контроллера. В моделях 3PAR 8400, 8440, 8450 поддерживается установка 4 контроллеров на массив – соответственно, можно использовать 2 основных шасси. Полки расширения являются опциональными. Они могут содержать 24 SFF (размер 2U) или 24 LFF (размер 4U) накопителя. Полки подключаются к основному шасси по SAS.

Каждый контроллер по умолчанию имеет 2 оптических FC 16 Гбит порта, 1 медный 1 Гбит порт для управления и 1 медный 1 Гбит порт для репликации по IP. Также каждый контроллер имеет 1 слот расширения PCIe. В него можно добавлять сетевые адаптеры – FC 16 Гбит, iSCSI/FCoE 10 Гбит, Ethernet 1 Гбит и 10 Гбит для файлового доступа, а также комбинированные (по 2 порта на каждый протокол) FC/Ethernet и iSCSI/Ethernet.

 

Как устроены СХД HPE 3PAR 8000?

HPE 3PAR StoreServ линейки 8000 – основное шасси, вид спереди


Как устроены СХД HPE 3PAR 8000?

HPE 3PAR StoreServ линейки 8000 – основное шасси, вид сзади


Во всех массивах 3PAR реализована технология низкоуровневой виртуализации хранилища. Емкость каждого накопителя в СХД разделяется на блочные элементы (англ. Chunklets) равного объема (1 ГиБ*), идущих последовательно друг за другом в пределах данного накопителя. Затем блочные элементы с разных накопителей объединяются в группы, аналогичные RAID группам с заданным уровнем (5, 6, 10), в которых единицей выступает не накопитель, а блочный элемент. Данные группы носят название логических дисков. Далее для нескольких логических дисков задается набор политик CPG (англ. Common Provisioning Group), который определяет, на каких накопителях и в рамках какой RAID группы будет располагаться виртуальный том. Виртуальные тома – это и есть те тома (LUN), которые предоставляются серверам по SAN**. Резервные накопители в 3PAR отсутствуют – под данную задачу также выделяется дополнительная распределенная по всему хранилищу емкость из блочных элементов. Технология виртуализации позволяет достичь отказоустойчивости на уровне не только накопителя, но и целой полки расширения благодаря тому, что блочные элементы, входящие в один LUN, распределяются по всем полкам в пределах массива.

 

Как устроены СХД HPE 3PAR 8000?

HPE 3PAR StoreServ – схема виртуализации хранилища


Кроме того, в контроллерах всех массивов 3PAR, наряду с процессорами, присутствуют специальные микросхемы ASIC. Они несут ряд вычислительных задач, в частности выполняют расчет RAID и дедупликацию. Это позволяет разгрузить ЦПУ и значительно повысить общую производительность массивов. Сами контроллеры функционируют по схеме Full-Mesh – каждый из них обслуживает все тома, а в 4-контроллерных конфигурациях каждый контроллер связан с каждым другим. Это позволяет, при отказе какого-либо контроллера, сохранить данные из кэша на запись (они копируются на оставшиеся контроллеры) и избежать значительной потери производительности.

 

Как устроены СХД HPE 3PAR 8000?

HPE 3PAR StoreServ – схема соединений контроллеров Full-Mesh


Все массивы 3PAR работают под управлением одной операционной системы (3PAR OS), имеют единый интерфейс администрирования (3PAR StoreServ Management Console) и общий набор программных функций. Также данные СХД связаны с платформой облачной аналитики StoreFront Remote, которая позволяет отслеживать состояние работы массивов и производительность, планировать расход емкости, определять неверные настройки и необходимость обновления прошивок и ПО.

* ГиБ – гибибайт, 1 ГиБ равен 230 байт (1 ГБ равен 109 байт)

** SAN – англ. Storage Area Network, сеть хранения данных

Как лицензируются программные функции в СХД HPE 3PAR?

Все технологии и программные функции, доступные в массивах HPE 3PAR StoreServ*, с точки зрения лицензирования объединены в 2 больших набора – All Inclusive Single System Software и All Inclusive Multi-System Software.

Набор All Inclusive Single System Software включает следующие технологии и функции:

  • 3PAR OS со всеми функциями;
  • Консоль администрирования StoreServ Management Console;
  • Virtual Copy;
  • Dynamic Optimization;
  • Adaptive Optimization;
  • Priority Optimization;
  • Virtual Domains;
  • Virtual Lock;
  • File Persona;
  • Smart SAN;
  • Online Import;
  • System Reporter;
  • Virtual Service Processor (не включен в 3PAR 20000);
  • Recovery Manager Central (RMC);
  • Расширения RMC для создания консистентных (с сохранением данных приложений из оперативной памяти) снимков для VMware vSphere, Microsoft Hyper-V, SQL Server и Exchange, а также СУБД Oracle;
  • ПО для запуска на вычислительных узлах (хостах).

Набор All Inclusive Multi-System Software включает следующие технологии и функции:

  • Remote Copy;
  • Peer Persistence;
  • Cluster Extension (CLX);
  • Объединение нескольких массивов в федерацию с поддержкой Peer Motion.

Набор All Inclusive Single System Software поставляется по умолчанию с любым массивом 3PAR и не требует дополнительного приобретения каких-либо лицензий. Набор All Inclusive Multi-System Software является опциональным и требует приобретения одной лицензии на массив. Кроме того, функционал шифрования с накопителями Self-Encrypting Drives не входит в указанные наборы функций и должен лицензироваться отдельно (также одна лицензия на массив).

здесь и далее имеются в виду текущие линейки массивов 3PAR – 8000, 9000 и 20000.

Что такое Service Processor в СХД HPE 3PAR?

Service Processor (SP) – решение, обеспечивающее удаленный мониторинг и удаленный доступ к массиву 3PAR для службы технической поддержки HPE. SP является связующим звеном между массивом заказчика и сервисным центром HPE. Доступ происходит по защищенному HTTPS каналу. Он необходим в случаях удаленной диагностики, решения проблем и обновления ПО специалистом поддержки. SP требуется для каждого массива HPE 3PAR StoreServ линейки 8000.

SP может поставляться в одном из двух вариантов – как виртуальная машина для VMware ESXi или Microsoft Hyper-V (Virtual SP), либо как аппаратный сервер размером 1U (Physical SP). Лицензия на Virtual SP включается в набор функций All Inclusive Single System Software, который входит в поставку каждого массива 3PAR. Данный вариант выбирается по умолчанию при заказе массива. Physical SP должен приобретаться дополнительно и доступен в конфигурациях с одним либо двумя блоками питания.

Какие решения по хранению данных компании HPE поддерживают прямое подключение к серверам?

На начало 2018 года, из поставляемых HPE систем хранения прямое (без необходимости в SAN-коммутаторах*) подключение к серверам поддерживают следующие модели:

  • СХД MSA 1040, 2040, 2042, 1050, 2050, 2052.
  • СХД 3PAR StoreServ линеек 8000, 9000 и 20000 (только по FC с некоторыми моделями адаптеров главной шины).
  • DAS** решения D2700, D3600, D3610, D3700, D3710, D6020.

* SAN (англ. Storage Area Network) – сеть хранения данных.

** DAS (англ. Direct Attached Storage) – полки с накопителями без собственных контроллеров, подключаемые к контроллеру сервера или СХД и принадлежащие только данному серверу/СХД. Существует также зонированный DAS, когда полка подключается к нескольким серверам, но каждому принадлежит только конкретная группа накопителей, без общего доступа.

Чем отличаются коммутаторы Cisco Catalyst 3650 и 3850?

Чем отличаются коммутаторы Cisco Catalyst 3650 и 3850?

Основные характеристики:

  1. Элементная база
    Архитектура коммутаторов 3650 и 3850 построена на новой универсальной элементной базе (Unified Access Data Plane). Это позволяет на базе коммутатора запускать различные сервисы.
  2. Производительность коммутационной фабрики 3650 и 3850:
    • до 176 Gbps для 3650*
    • до 1280 Gbps для 3850*
    * Производительность варьируется в зависимости от модели коммутатора
  3. Основные порты в коммутаторах 3650 - 10/100/1000 Мбит/с. Коммутаторы 3850 доступны в следующих вариантах основных портов:
    • медные порты 10/100/1000 Мбит/с (24, 48);
    • порты SFP (12, 24);
    • порты SFP+ (12, 24, 48);
    • медные порты Multigigabit 100Mbps/1/2.5/5/10 Gbps (24, 48).
  4. Технология стекирования
    3650 и 3850 поддерживают стек по шине данных:
    • 3650 - Cisco StackWise-160 (160 Гбит/с пропускная способность стека, стековый комплект покупается отдельно)
    • 3850 - Cisco StackWise-480 (480 Гбит/с пропускная способность стека, стековый комплект встроен в коммутатор)
    В стек могут быть объединены до 9 коммутаторов.
    Коммутаторы 3850 поддерживают стек по питанию (StackPower). В стек могут быть объединены до 4-х устройств. Коммутатор 3850 с 48-ю портами SPF+ (WS-C3850-48XS) не имеет поддержки стека.
  5. Uplink порты
    Uplink порты в коммутаторах 3650 фиксированы и зависят от конкретной модели. Бывают модели со следующими Uplink портами: до 4-х SFP, 2 SFP+ и 2 SFP, 4 SFP+.
    В коммутаторах 3850 Uplink порты представлены в виде модулей. Доступны следующие варианты:
    • C3850-NM-4-1G — для установки до 4-х SFP
    • C3850-NM-2-10G — для установки 2-х SFP+ и 2-х SFP
    • C3850-NM-4-10G — для установки 2-х SFP+
    • C3850-NM-8-10G — для установки 8-ми SFP+
    • C3850-NM-2-40G — для установки 2-x QSFP+ (40 Гбит/с)
    Необходимо заменить, что данные модули поддерживаются не во всех моделях линейки коммутаторов 3850.
  6. Блоки питания
    Оба коммутатора поддерживают установку двух блоков питания.
  7. Лицензирование - для серий коммутаторов 3650 и 3850 существует три набора функций:
    • LAN Base — расширенные функции L2, статическая маршрутизация;
    • IP Base — расширенные функции L2 и базовая маршрутизация (статическая маршрутизация, RIP, stub EIGRP, OSPF for routed access), беспроводные сервисы;
    • IP Services — расширенные функции L2 и L3, беспроводные сервисы.
  8. Поддержка сервисов беспроводной сети
    Коммутаторы 3650 и 3850 могут работать как контроллер беспроводной сети в двух режимах (Mobility agent - MA и Mobility controller - MC):
    • 3650 – до 25 точек доступа на стек
    • 3850 – до 50 точек доступа на стек
    Точки доступа должны быть подключены напрямую в коммутатор.
  9. Поддержка протокола Flexible NetFlow (FNF) для получения данных по трафику на всех портах коммутатора.
Какова линейка коммутаторов Cisco Catalyst 9000?

Cisco Catalyst 9000 – коммутаторы нового поколения (next generation) для сетей предприятий (Enterprise). Позиционируются для обеспечения унифицированного проводного и беспроводного доступа, интернета вещей (IoT) и облаков.

Коммутаторы построены на базе многоядерных x86 ЦПУ и программируемых ASIC’ов второго и третьего поколения Cisco Unified Access Data Plane (UADP 2.0 и 3.0). Присутствует возможность установки SSD-диска. В качестве операционной системы используется Cisco IOS XE. Всё это обеспечивает поддержку программно-определяемых сетей, богатого функционала и широких возможностей по интеграции новых сервисов. Cisco Catalyst 9000 являются основой для архитектуры Cisco Software-Defined Access (SD-Access).

Коммутаторы Cisco Catalyst 9000 поддерживают следующие технологии:

  • стекирование на базе технологии Cisco StackWise (StackWise-80/160/320/480 или StackWise Virtual), Cisco StackPower,
  • сегментация трафика на базе VRF, LISP, VXLAN, MPLS*,
  • высокая отказоустойчивость (NSF/SSO),
  • поддержка PoE+ и UPoE,
  • программируемость: NETCONF, RESTCONF, YANG, Python,
  • поддержка со стороны Cisco DNA Center, APIC-EM, ISE,
  • расширенные функции безопасности: MACsec AES-256, Encrypted Traffic Analytics (ETA) – анализ зашифрованного трафика на наличие в нём вредоносного кода,
  • функции мониторинга и анализа трафика: Flexible NetFlow (FNF) и NBAR2,
  • трансляция адресов NAT и PAT (доступно на Catalyst 9500 и 9600).
* На коммутаторах 9200L/9200 поддержки технологий MPLS и ETA нет, технология MACsec поддерживается с длиной ключа AES-128.
Платформа Позиционирование
Cisco Catalyst 9200L/9200 Фиксированный, уровень доступа
Cisco Catalyst 9300L/9300 Фиксированный, уровень доступа
Cisco Catalyst 9400 Модульный, уровень доступа
Cisco Catalyst 9500 Фиксированный, уровни ядра и агрегации
Cisco Catalyst 9600 Модульный, уровни ядра и агрегации
Cisco Catalyst 9200L/9200 (фиксированной конфигурации):
  • количество фиксированных портов: 24 или 48,
  • тип фиксированных портов: медные 10/100/1000,
  • поддержка PoE+,
  • фиксированные Uplink-порты для 9200L и NM-модуль для 9200: 4x1G, 4x10G (SFP/SFP+),
  • поддержка StackWise-80 (9200L) и StackWise-160 (9200),
  • SD-Access: 9200L – 1 virtual network (VN), 9200 – 4 VN.

Cisco Catalyst 9300L/9300 (фиксированной конфигурации):

  • количество фиксированных портов: 24 или 48,
  • тип фиксированных портов: медные 10/100/1000 или Multigigabit,
  • поддержка PoE+ или UPoE,
  • фиксированные Uplink-порты для 9300L и NM-модуль для 9300: 4x1G, 8x10G (SFP/SFP+) или 2x40G (QSFP+),
  • поддержка StackWise-320 (9300L) и StackWise-480 (9300) и StackPower (9300),
  • встроенный контроллер беспроводной сети: 50 ТД на 9300L и 200 ТД на 9300,
  • SD-Access: 9300L – 64 VN, 9300 – 256 VN.

Cisco Catalyst 9400 (модульный):

  • шасси: 4, 7 или 10 слотов,
  • отказоустойчивость за счёт установки двух супервизоров,
  • до 240 Gbps на линейную карту, до 1.44 Tbps на все слоты,
  • линейные карты с поддержкой PoE+ и UPOE,
  • линейные карты c портами RJ-45 (100/1000 и mGig), SFP/SFP+,
  • Uplink-порты на супервизорах: 8x10G (SFP/SFP+), 2x25G (SFP28), 2x40G (QSFP+),
  • поддержка StackWise Virtual.

Cisco Catalyst 9500 (фиксированной конфигурации):

  • тип фиксированных портов: 1G/10G (SFP/SFP+), 25G (SFP28), 40G (QSFP), 100G (QSFP28),
  • Uplink-порты (NM-модуль): 8x10G (SFP/SFP+) или 2x40G (QSFP+),
  • поддержка StackWise Virtual.

Cisco Catalyst 9600 (модульной конфигурации):

  • шасси: 6 слотов,
  • возможна установка двух супервизоров,
  • 2.4 Tbps на линейную карту, до 9.6 Tbps на все слоты для супервизора C9600-SUP-1,
  • линейные карты: SFP+, SFP28, QSFP+, QSFP28,
  • поддержка StackWise Virtual.

Какой коммутатор покупать, 2960X или 9200L/9200?

Cisco позиционирует коммутаторы 9200L/9200 как замена линейке 2960X/2960XR. Они сравнимы по своей базовой функциональности, а также ценовой политике.

Коммутаторы Catalyst 9200/9200L во всех отношениях имеют более современную аппаратную платформу, чем Catalyst 2960X/2960XR.

Аппаратная часть:

Catalyst 9200 Series Catalyst 9200L Series Catalyst 2960X Series Catalyst 2960XR Series
DRAM (DDR3) 4 GB 2 GB 512 MB 512 MB
Flash 4 GB 4 GB 128 MB 256 MB
Stacking (module) StackWise-160 StackWise-80 FlexStack-Plus/
Extended module
FlexStack-Plus/
Extended module
Пропускная способность стека 160 Gbps 80 Gbps 80 Gbps 80 Gbps
Количество коммутаторов в стеке 8 8 8 8
Модули питания 2 2 1 2
Максимальная мощность PoE 1440W 1440W 740W 740W
Модульные uplinks + - - -
Uplinks Модульные:
4x 1G SFP
4x 10G SFP+
Фиксированные:
4x1G SFP
4x10G SFP+
   
Фиксированные:
4x1G SFP
2x10G SFP+
2x 10/100/1000BT

Фиксированные:
4x1G SFP
2x10G SFP+

Catalyst 9200/9200L в своей работе использует операционную систему Cisco IOS-XE. Это обеспечивает поддержку таких технологий, как SD-Access, TrustSec, MACsec, чего раньше не было на коммутаторах Catalyst 2960X/2960XR.

Программное обеспечение:

Catalyst 9200 Catalyst 9200L Catalyst 2960X  Catalyst 2960XR 
OS IOS-XE IOS-XE IOS IOS
Поддержка VRF +* +* - -
RIP + + + +
IS-IS +* +* - -
EIGRP +* +* + (EIGRP stub)  + (EIGRP stub) 
OSPF +* +* + (OSPF stub)  + (OSPF stub) 
VRRP + + - +
HSRP +* +* - +
SD-Access + + - -
IEEE 802.1X + + + +
MACsec-128 + + - -
Cisco TrustSec + + + +
Security Group Access Control List (SGACL) + + - -
* Необходима лицензия Network Advantage для полноценного функционала.

Таким образом при выборе между 2960X или 9200L предпочтение лучше отдавать новым коммутаторам.


В чём различие между коммутаторами Cisco Nexus 9300-EX, 9300-FX/FX2 и 9300-GX?

Все эти коммутаторы построены на базе семейства ASIC Cisco Cloud Scale. Отличие идёт на уровне непосредственно типа ASIC’а: пропускной способности, размеров буферов и функциональности.

Nexus 9300-EX (чип - 1.8Tb) Nexus 9300-FX (чип - 1.8Tb) Nexus 9300-FX2 (чип - 3.6Tb) Nexus 9300-GX (чип - 6.4Tb)

1. Основной функционал коммутаторов Cisco Nexus 9K: VXLAN EVPN, ACI, Tetration Analytics и пр.

1. Функционал Nexus 9300-EX

2. Шифрование MACSec и CloudSec

3. Fiber Channel (FC 32G)

4. Телеметрия трафика - Flow Table Events (FTE)

1. Функционал Nexus 9300-FX

2. Расширенная телеметрия трафика - Streaming Statistics Export (SSX)

1. Функционал Nexus 9300-FX2

2. Порты 400GE

Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960-X?

Это две разные аппаратные платформы.

Аппаратной частью:

  • возможностью подключения Cisco Redundant power system (RPS) 2300;
  • поддержкой всего перечня SFP трансиверов (в т.ч. GLC-BX-D/U);
  • поддержкой до 2-х портов 10 GE SFP+ (для ряда моделей);
  • поддержкой PoE/PoE+ (для ряда моделей);
  • возможностью стекирования - FlexStack Plus и FlexStack-Extended.

Программной частью:

  • поддержкой статической маршрутизации (до 16 статических маршрутов);
  • поддержка Policy-based Routing (PBR);
  • поддержка динамической маршрутизации (IOS 15.2(6)E и выше): RIPv1/v2, OSPF for Routed Access (в том числе OSPFv3), PIM;
  • поддержкой расширенных функций безопасности: возможность применять ACL на порт, IPSG, DAI, NAC;
  • поддержкой до 255 VLAN для LAN Base и 64 для LAN Lite;
  • поддержкой RSPAN;
  • поддержкой расширенных функций QoS (ingress policing, AutoQoS и пр.).

Переход с LAN Lite на LAN Base и обратно невозможен.

Какой набор функций поддерживается на Cisco Catalyst 2960-L?

Для коммутаторов 2960-L существует только вариант Lan Lite.

Это линейка исключительно L2-коммутаторов, без поддержки маршрутизации. Однако, для данных коммутаторов присущи и некоторые более продвинутые функции Lan Base, такие как:

  • Port Access Lists (pACL);
  • Функции безопасности: 802.1x, port security, DHCP snooping, dynamic ARP inspection (DAI);
  • Продвинутый QoS. Появилась возможность перемаркировки CoS на основании IP-адресов и номеров портов из IP-заголовка. Также появилась поддержка Weighted Round Robin (WRR), Weighted Tail Drop (WTD).
Чем отличается IP Lite для 2960-XR от IP Base для остальных моделей 2960?

IP Lite поддерживается только на коммутаторах 2960-XR. IP Lite включает все функции IP Base 2960-X.

Кроме этого он поддерживает дополнительные функции:

  • Enhanced Interior Gateway Routing Protocol (EIGRP) stub
  • RIPng, EIGRPv3 stub, PIMv6 stub
  • Private VLAN (PVLAN)

Таким образом 2960-XR с IP Lite по функционалу напоминает коммутаторы 3000 (3650, 3850 и пр.) с IP Base.

Как лицензируются коммутаторы серии Cisco Catalyst 3650, 3560X/3750X и 3850?

Существует три набора функций:

  • LAN Base — расширенные функции L2, статическая маршрутизация;
  • IP Base — расширенные функции L2 и базовая маршрутизация (статическая маршрутизация, RIP, stub EIGRP, OSPF for Routed Access);
  • IP Services — расширенные функции L2 и L3.

Сравнительная таблица программного обеспечения:

Версия ПО  Функционал
LAN Base Все функции L2 коммутации;
Статическая маршрутизация;
IGMP;
Базовая поддержка Security: port ACL, 802.1x, DHCP snooping, DAI, IPSG;
Базовая поддержка QoS: Ingress policing, AutoQoS, Trust Boundary, DSCP mapping.
IP Base Все функции L2 коммутации;
Статическая маршрутизация, RIP, stub EIGRP, stub PIM, OSPF for Routed Access;
Протоколы семейства FHRP: HSRP, VRRP, GLBP;
Policy-based routing (PBR);
Полная поддержка PIM;
Полная поддержка Security (PVLAN, TrustSec и пр.);
Полная поддержка QoS;
StackPower и EEM;
Mobility controller (только для 3650/3850);
Flexible NetFlow (только для 3650/3850).
IP Services Все функции L2 коммутации;
Статическая и динамическая маршрутизация (EIGRP, OSPF, BGP, VRF-lite и т.д.);
Полная поддержка Security;
Полная поддержка QoS;
StackPower, EEM, IPSLA;
Mobility controller (только для 3650/3850);
Flexible NetFlow (только для 3650/3850).
Какова схема лицензирования коммутаторов Cisco Catalyst 9000?

Доступно два основных пакета:

  • Network Essentials
  • Network Advantage

Оба пакета являются постоянными лицензиями и не требуют продлений.

Network Essentials предоставляет базовую функциональность. Ближайшим аналогом является IP Base для коммутаторов серии Catalyst 3000.

Network Advantage предоставляет расширенную функциональность. Ближайшим аналогом является IP Services для коммутаторов серии Catalyst 3000.

Пакет Функциональность
Network Essentials

Основные технологии коммутации и маршрутизации: STP, trunking, PVLAN, static routing, PBR, Routed Access OSPF (до 1000 маршрутов), EIGRP stub, RIP, VRRP, MACsec-128, SSO и пр.

Программирование: NETCONF/YANG, PnP, ZTP/Open PnP

Телеметрия и мониторинг: sampled NetFlow, SPAN, RSPAN

Network Advantage

Расширенные технологии коммутации и маршрутизации: BGP, EIGRP, Full OSPF, IP SLA, HSRP, CBWFQ и пр.

Сегментация: VRF, VXLAN, LISP, SGT, MPLS, mVPN

Стекирование: Stackwise Virtual

Отказоустойчивость: Nonstop Forwarding (NSF), Graceful Insertion and Removal (GIR), Fast Software Upgrade (FSU)

Безопасность: MACsec-256

Интернет вещей: COAP, PTP

При начальном заказе оборудования к основному пакету обязательно приобретается подписка DNA (на 3, 5 или 7 лет):

  • DNA Essentials для пакета Network Essentials
  • DNA Advantage или DNA Premier для пакета Network Advantage

Подписка DNA обеспечивает:

  • доступность технологий программно-определяемых сетей, расширенного мониторинга и безопасности,
  • обновление программного обеспечения (IOS XE),
  • возможность обращения в Cisco TAC для получения технической поддержки.
DNA Essentials DNA Advantage DNA Premier
Full Flexible NetFlow, EEM Да Да Да
ERSPAN, AVC (NBAR2), app hosting (in containers/VMs), Wireshark - Да Да
Encrypted Traffic Analytics (ETA) - Да Да
Автоматизация настройки и обслуживания на базе DNA Center Да Да Да
Управление обновлениями на базе DNA Center - Да Да
SD-Access - Да Да
Базовый мониторинг на базе DNA Center Да Да Да
Всесторонний мониторинг и аналитика на базе DNA Center (network assurance and analytics) - Да Да
Подписки ISE и Stealthwatch - - Да

Более детальную информацию, какая функциональность доступна с той или иной подпиской, можно найти на сайте вендора по каждому семейству (раздел Packaging):

В качестве схемы лицензирования используется Smart Licensing.

Какова схема лицензирования коммутаторов Cisco Nexus 9300/9500?

Для коммутаторов Cisco Nexus 9000 доступно два варианта лицензирования: лицензионный пакет или лицензирование функциональности.

Лицензионный пакет может продаваться как постоянная лицензия, так и в виде подписки.

Лицензионный пакет Включённый функционал*
Essentials

Базовые функции ACI (ecosystem security, fabric management, intent-based networking, multi-pod и virtualization)

Функции управления в фабрике (DCNM LAN и PTP)

Функции фабрики (Catena, iCAM, ITD, IP fabric for media non-blocking multicast, and smart channel)

Коммутация и маршрутизация (BGP, EIGRP, GRE, IS-IS, MSDP, OSPF, PBR, PIM, SSM, VRF и VXLAN BGP EVPN)

Телеметрия (NetFlow и Cisco Tetration Analytics™)

Advantage

Все функции включённые в пакет Essentials

Функции ACI (Multi-Site and physical remote leaf)

Расширенные функции фабрики (Pervasive Load Balancing и Tenant Routed Multicast)

DCI overlay (Inter AS option B, Layer 3 EVPN over segment routing, MPLS Layer 3 VPN и VXLAN EVPN Multi-Site)

Premier Все функции пакетов Essentials и Advantage.
NDB add-on license Nexus Data Broker
Security add-on license MACsec
Storage add-on license FCoE, поддержка FC на всех 48 портах и DCNM SAN

* поддерживаемый функционал может варьироваться в зависимости от платформы и версии ПО.

Лицензирование функциональности предполагает покупку лицензий на конкретный набор функций. Например, для поддержки работы протоколов динамической маршрутизации требуется Enterprise Services Package. С более подробным списком можно ознакомиться здесь.

Какие коммутаторы Cisco производятся в России?

Локальное производство (завод в Твери) налажено для следующих моделей коммутаторов:

2960 Plus 2960-X 3850
WS-C2960R+24TC-S WS-C2960RX-48FPS-L WS-C3850R-48T-S
WS-C2960R+24PC-L WS-C2960RX-48LPS-L WS-C3850R-48T-E
WS-C2960R+24PC-S WS-C2960RX-48FPD-L WS-C3850R-48T-L
WS-C2960R+48TC-L WS-C2960RX-48LPD-L WS-C3850R-24T-S
WS-C2960R+48TC-S WS-C2960RX-48TS-L WS-C3850R-24T-E
WS-C2960R+48PST-L WS-C2960RX-24TS-L WS-C3850R-24T-L
WS-C2960R+48PST-S WS-C2960RX-24PS-L WS-C3850R-48U-S
    WS-C3850R-48U-E
    WS-C3850R-48U-L
    WS-C3850R-48P-S
    WS-C3850R-48P-E
    WS-C3850R-48P-L

Технически модели ничем не отличаются от обычных (без дополнительной литеры R), на них устанавливается стандартное ПО.

Какие варианты соединения на скорости более 1 Гбит/с доступны на оборудовании Cisco для технологии Ethernet?

10 Гбит/с по медному или оптическому кабелю

На данный момент подключение на скорости 10 Гбит/с возможно по витой паре, специализированному медному кабелю и оптическому каналу.

Подключение по витой паре - стандарт 10GBASE-T. Используется витая пара категории 6 (до 55 метров), 6a и 7 (до 100 метров). Такой тип подключения поддерживается на определённых моделях коммутаторов Cisco Catalyst и Nexus.

Для подключения каналов связи на скорости 10 Гбит/с по специализированному медному кабелю или оптическому каналу используются три типа трансиверов: XENPAK, X2, SFP+. Самый новый — SFP+. Трансиверы SFP+ обеспечивают передачу данных на скорости 10 Гбит/с по оптическим линиям связи (одномод и многомод), по специализированному медному (CU) или оптическому (AOC) кабелю. Для подключения устройств на небольших расстояниях (до 10м) используется готовый комплект с трансиверами с обеих сторон и напаянным в заводских условиях кабелем (так называемый DAC-кабель). Это самый дешевый вариант соединения устройств на скорости 10 Гбит/с. Например, партномера для заказа кабеля 10м — Cisco SFP-10G-AOC10M или Cisco SFP-H10GB-ACU10M.

           Какие варианты соединения на скорости более 1 Гбит/с доступны на оборудовании Cisco для технологии Ethernet?           

Трансиверы типа Twinax с медным кабелем (слева) и AOC с интегрированным оптическим кабелем.

Трансиверы XENPAK и X2 — это первые трансиверы для 10 GE. Трансиверы XENPAK и X2 обеспечивают передачу данных на скорости 10 Gbps по оптическим линиям связи (одномод и многомод) и по специализированному медному проводу (CU). Но в отличие от SFP+ готового комплекта для передачи по медному проводу нет. Т.е. надо покупать отдельно трансиверы XENPAK-10GB-CX4 или X2-10GB-CX4 и отдельно провод CX4.

Какие варианты соединения на скорости более 1 Гбит/с доступны на оборудовании Cisco для технологии Ethernet?

В X2 трансивер можно установить TwinGig и получить два порта SFP.

Все три типа трансиверов могут работать друг с другом. Единственно должны совпадать технологические параметры лазера или диода.

Multigigabit Ethernet

На текущий момент на рынке доступен стандарт IEEE 802.3bz, который позволяет передавать данные на скорости 2,5 и 5 Гбит/с по обычному медному кабелю 5e и 6 категории (витая пара). Также активно прорабатывается стандарт NBase-T, позволяющий передавать данные на скорости до 10 Гбит/с.

На оборудовании Cisco поддерживается технология Multigigabit Ethernet (mGig). Она позволяет передавать данные на скоростях 1, 2.5, 5 и 10 Гбит/с по витой паре (5е до 5 Гбит/с, 6/6e/7 до 10 Гбит/с). Multigigabit Ethernet доступен на коммутаторах Catalyst 3000, 4500E, 9000 и точках доступа Cisco Aironet 3800. Важной особенностью технологии является её совместимость со стандартными скоростями. К порту коммутатора mGig мы может подключать устройства, которые не поддерживают подключение на скорости 100 Мбти/с (100base-T), 1 Гбит/с (1000base-T) и 10 Гбит/с (10Gbase-T).

Более 10 Гбит/с (по оптике)

Оборудование Cisco поддерживает технологии передачи данных на скоростях:

  • 25 Гбит/с (оптические трансиверы SFP28),
  • 40 Гбит/с (оптические трансиверы QSFP),
  • 100 Гбит/с (оптические трансиверы QSFP28, QSFP-100G, CPAK и CFP модули).

Доступны варианты с трансиверами и DAC-кабелями.

Можно ли установить в оборудование Cisco SFP (SFP+) трансиверы других производителей?

Такая возможность есть. Однако в этом случае достаточно сложно гарантировать работоспособность решения, так как никаких официальных документов по совместимости неродных трансиверов нет.

Как подключить сервер к коммутатору Cisco на скорости 10 Гбит/с?

Если сервер производства компании Cisco (т.е. Cisco UCS), самый дешевый и простой вариант – использовать twinax-кабели (расстояние до 10 метров).

Если сервер производства другой компании, например, HPE, использовать twinax-кабели может не получится, так как совместимость никто из вендоров не гарантирует. В этом случае соединить устройства можно по меди (если и сервер, и коммутатор поддерживают порты 10GBASE-T) или по оптике. В случае оптического соединения необходимо будет приобрести трансиверы одинакового типа (например, 10G-SR) для каждого устройства отдельно. А также приобрести необходимый оптический патч-корд. К примеру, SFP+ имеют разъём типа LC, а трансивер типа 10G-SR работает по многомодовому волокну. В этом случае нам потребуется оптический многомодовый патч-корд с разъемами LC-LC.

Какие преимущества предоставляет стекирование?

Технология стекирования обеспечивает:

  • единую точку управления всеми коммутаторами в стеке (management-plane), что упрощает администрирование устройств,
  • агрегацию каналов, подключённых к разным сетевым устройствам (Multi-Chassis Link Aggregation - MC-LAG), за счёт единого control-plane.

MC-LAG в свою очередь позволяет:

  • минимизировать использование в сети протоколов семейства Spanning Tree Protocols (STP),
  • использовать агрегированную полосу пропускания,
  • обеспечивать отказоустойчивое подключении устройств (ниже стоящих коммутаторов, сервер и пр.).
Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?

На оборудовании Cisco в зависимости от платформы используются следующие основные технологии стекирования коммутаторов Cisco Catalyst:

  • StackWise;
  • StackWise Plus;
  • StackWise-80;
  • StackWise-160;
  • StackWise-320;
  • StackWise-480;
  • StackWise Virtual;
  • FlexStack;
  • FlexStack Plus;
  • FlexStack Extended;
  • Virtual Switching System (VSS).

Технология StackWise позволяет объединить в стек до 9 коммутаторов 3750 и 3750G. Для соединения используется специализированный стековый кабель, который идёт в комплекте с каждым коммутатором. При этом длина кабеля в комплекте всего 50 см, чего не достаточно для объединения большого количества коммутаторов распределённых по коммутационной стойке.

Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?

Стек представляет собой два кольца с пропускной способностью 16 Гбит/с каждое. Кольцо замыкается на коммутационную фабрику каждого коммутатора. Из-за этого пакет, попав на порт любого коммутатора стека, обязательно проходит через всё кольцо, даже если исходящий порт находится на том же коммутаторе, что и входящий. Такой алгоритм работы называется source stripped. Таким образом, объединяя коммутаторы в стек по технологии StackWise, общая пропускная способность стека не превысит 32 Гбит/с.

Технология StackWise Plus отличается то технологии StackWise тем, что в коммутаторах 3750E и 3750X добавлена выделенная коммутационная фабрика для стековых колец. Это позволяет делать локальную коммутацию пакетов без их появления в стековом кольце. Также это позволило использовать алгоритм destination stripped, при котором пакет сразу же удаляется из стекового кольца, как только он достиг коммутатора, на котором находятся исходящий порт. Данные новшества позволили увеличить общую пропускную способность стека до 64 Гбит/с.

Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?

Допускается использование в одном стеке любых коммутаторов серии 3750. В этом случае коммутаторы 3750E и 3750X, использующие технологию StackWise Plus будут работать по технологии StackWise. При этом коммутация пакетов между локальными портами будет осуществляться только внутри коммутатора 3750E или 3750X без появления в стековом кольце.

Технология StackWise-80 позволяет объединить в стек коммутаторы серии Cisco Catalyst 9200L. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-80 можно объединить до 8 коммутаторов. Пропускная способность стека – 80 Гбит/с. Стековый комплект для коммутаторов 9200L покупается отдельно.

Технология StackWise-160 позволяет объединить в стек коммутаторы серии Cisco Catalyst 3650 и 9200. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-160 можно объединить до 9 коммутаторов 3650 и до 8 коммутаторов 9200. Пропускная способность стека – 160 Гбит/с. Стековый комплект для коммутаторов 3650/9200 покупается отдельно. Между собой коммутаторы 3650 и 9200 не стекируются.

Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?

Технология StackWise-320 позволяет объединить в стек коммутаторы серии Cisco Catalyst 9300L. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-320 можно объединить до 8 коммутаторов. Пропускная способность стека – 320 Гбит/с. Стековый комплект для коммутаторов 9300L покупается отдельно.

Технология StackWise-480 позволяет объединить в стек коммутаторы Cisco Catalyst серии 3850 и 9300. Со старыми версиями (StackWise и StackWise Plus) данная технология не совместима, хотя частично алгоритмы работы заимствованы у технологии StackWise Plus. На данный момент в стек StackWise-480 можно объединить до 9 коммутаторов 3850 и до 8 коммутаторов 9300. Пропускная способность стека – 480 Гбит/с. Необходимо заменить, что добавлять коммутаторы в стек можно «на ходу», т.е. без отключения существующих. Так же в стеке StackWise-480 более совершенно организована синхронизация текущего состояния основного коммутатора с резервными, реализован полноценный SSO (позволяет передавать трафик в момент аварийного переключения).

Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?

Технология StackWise Virtual позволяет объединить в стек до двух коммутаторов Cisco Catalyst 3850-48-XS или 9500. С другими версиями StackWise данная технология не совместима. В качестве стековой шины используются обычные порты Ethernet (10 Гбит/с или 40 Гбит/с); до 4х портов. StackWise Virtual поддерживает SSO/NSF (переключение с сохранением состояния и передачей пакетов в момент переключения). Схема работы StackWise Virtual похожа на схему работы технологии VSS.

Технология FlexStack позволяет объединить в стек до 4-х коммутаторов 2960s. Для объединения коммутаторов используется специализированный кабель с пропускной способностью 10 Гбит/с (full duplex). Максимальная длинна кабеля – 3 метра. Стековый кабель работает на скорости 10 Гбит/с в каждую сторону (full duplex). Стековый модуль имеет два разъёма для подключения стекового кабеля. Поэтому Cisco Systems указывает, что общая пропускная способность стека, собранного по технологии FlexStack, составляет 40 Гбит/с.

Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?

Архитектура стека FlexStack отличается от StackWise Plus тем, что передача пакетов между коммутаторами стека происходит hop-by-hop, т.е. каждый коммутатор для каждого пакета определяет, куда его отправить (на обычный порт или на стековый порт). Такое взаимодействие напоминает работу нескольких коммутаторов, подключённых друг к другу по протоколу Ethernet. Отличие в том, что связь между коммутатора стека обеспечивает протокол FlexStack.

Технология FlexStack Plus является наследником технологии FlexStack. FlexStack Plus увеличивает пропускную способность между коммутаторами стека в два раза по сравнению с FlexStack. Теперь пропускная способность составляет 40 Гбит/с при использовании одного интерфейса стекового модуля на каждом коммутаторе, и 80 Гбит/с, при объединении в кольцо (по два стековых порта на каждом коммутаторе). Технология FlexStack Plus позволяет объединять до восьми коммутаторов 2960-X или 2960-XR в стек. Максимальная длина стекового кабеля – 3 метра.

Технология FlexStack Plus обратно совместима с FlexStack. В один стек можно объединять 2960-S и 2960-Х, но при этом будет работать FlexStack: не более четырёх коммутаторов в стеке, пропускная способность стека до 40 Мбит/с. Коммутаторы 2960-XR нельзя объединять в стек ни с 2960-S, ни с 2960-Х. Эта линейка коммутаторов стекируется исключительно между собой.

Технология FlexStack Extended следующее развитии FlexStack. Позволяет объединять в стек территориально разнесённые коммутаторы 2960-Х или 2960-ХR. Это обеспечивается тем, что FlexStack Extended может использовать для стекирования оптические линии. Стековый модуль FlexStack Extended имеет разъём(ы) SFP+ (в C2960X-HYBRID-STK – один, в C2960X-FIBER-STK - два). Используются стандартные SFP+ трансиверы или DAC-кабели. Правда из-за этого пропускная способность снизилась до 40 Гбит/с (при объединении в кольцо). Максимальное количество коммутаторов осталось прежним – 8 штук.

Технология Virtual Switching System (VSS) позволяет объединить в стек два коммутатора серии 4500, 6500 или 6800. Если быть более точными, VSS — это технология виртуализации коммутаторов. Главным отличием является то, что в качестве среды для связи коммутаторов между собой используется Ethernet. Таким образом, коммутаторы можно разнести между собой на расстояние до 40 км. Оба коммутатора являются активными и обеспечивают передачу пакетов. При этом управление происходит на одном из устройств. Другими словами, уровень обработка данных (data plane) и коммутационная фабрика (switch fabric) активны на обоих устройствах. А вот уровень управления (control plane) только на одном. При этом постоянно происходит репликация управляющих данных с одного коммутатора на другой, что обеспечивает быстрое время восстановления в случае отказа. Общая производительность системы в этом случае увеличивается до 1600 Гбит/с для коммутаторов серии 4500 и до 4000 Гбит/с для коммутаторов серии 6500 с супервизором Supervisor Engine 2T. Пропускная способность между коммутаторами может быть до 80 Гбит/с при агрегировании 8 каналов 10 Гбит/с. При агрегировании портов 40 Гбит/с пропускная способность может быть выше.

Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?



Сравнительная таблица технологий стекирования/кластеризации:

Технология Серия коммутаторов  Количество коммутаторов в стеке/кластере  Максимальная длина стекового кабеля Пропускная способность стека/кластера
FlexStack 2960-S, 2960-SF, 2960-X, 2960-XR 4 до 3х метров 40 Гбит/с
FlexStack Plus 2960-X, 2960-XR 8 до 3х метров 80 Гбит/с
FlexStack Extended 2960-X, 2960-XR 8 до 70 км 40 Гбит/с
StackWise 3750, 3750G, 3750-E, 3750-X 9 до 3х метров 32 Гбит/с
StackWise Plus 3750-E, 3750-X 9 до 3х метров 64 Гбит/с
StackWise-80 9200L 8 до 3х метров 80 Гбит/с
 StackWise-160 3650, 9200 9 (3650), 8 (9200) до 3х метров 160 Гбит/с
StackWise-320 9300L 8 до 3х метров 320 Гбит/с
StackWise-480 3850, 9300 9 (3850), 8 (9300) до 3х метров 480 Гбит/с
StackWise Virtual 3850-48-XS, 9500 2 до 70 км до 2 Тбит/с
Virtual Switching System (VSS) 4500, 6500, 6800 2 до 70 км до 4 Тбит/с
Поддерживается ли стекирование в коммутаторах Cisco Nexus?

Нет, не поддерживается.

Стекирование предполагает общий control-plane и management-plane. А это возможная точка отказа. Хоть аппаратные ресурсы коммутаторов независимы, существуют сбои (не связанные с железом), при которых стек коммутатор может перестать корректно функционировать. Например, в случае, если contrl-plane «зависнет» из-за утечки оперативной памяти.

Коммутаторы Nexus позиционируются как решение для сред (в первую очередь ЦОД'ов), где отказоустойчивость стоит на одном из первых мест. Поэтому на этих устройствах стекирование отсутствует.

Для реализации функций MC-LAG используется технология vPC. В этом случае каждый коммутатор Nexus имеет свой независимый control-plane/management-plane. При этом мы можем агрегировать каналы, распределённые между двумя коммутаторам. Такая схема даёт большую надёжность, так как даже если и произойдёт сбой в работе vPC, он будет менее фатален на инфраструктуры.

Отсутствие стекирования в плане управления компенсируется за счёт:

  • Использования выносных расширителей Nexus (Fabric Extender - FEX). Это специализированные коммутаторы, в которых функции control-plane/management-plane вынесены на основной (родительский) коммутатор.
  • Возможности синхронизации конфигурации между двумя коммутаторами (Configuration Synchronization). В этом случае control-plane/management-plane остаются независимыми.
Можно ли агрегировать порты (объединять в один логический канал) подключённые к двум разным коммутаторам Cisco?

Это возможно, если коммутаторы, к которым производится подключение, объединены в стек или кластер. Например, это могут быть коммутаторы Cisco Catalyst серий 2960-S, 2960-SF, 2960-X, 2960-XR, 3750X, 3850, 4500-X, 4500-E, 6500, 6800, 9300 и 9500. Также агрегация каналов возможна при использовании технологии vPC доступной на коммутаторах семейства Nexus. В этом случае коммутаторы не объединяются в стек, но благодаря vPC порты на разных коммутаторах Nexus можно объединить в одну группу. Кроме vPC на коммутаторах Nexus поддерживается технология vPC+. Она позволяет агрегировать порты подключённые к коммутаторам Nexus в рамках Cisco FabricPath.

Как обеспечить резервное питание для оборудования Cisco?

Большая часть оборудования Cisco среднего и верхнего сегмента позволяет установить два блока питания с резервированием и возможностью горячей замены. Это серии маршрутизаторов 3800/3900, 4400, 7200, 7600, ASR 1000 и другие. Коммутаторы 2960-XR, 3560-X, 3750-X, 3850, 4500, 6500, nexus 5000, nexus 7000. ASA 5580, а также ASA серии 5500-X начиная с 5525-X.

Маршрутизатора 2811, 2821, 2851 и 3825, а также серии коммутаторов Catalyst Express 500, 2950, 2960, 2960-S, 2960+, 2960X, 3560-E, 3750-E поддерживают систему резервирования питания Cisco RPS 2300. Маршрутизаторы при этом должны быть оснащены RPS коннектором. Когда встроенный блок питания перестает питать устройство, система RPS 2300 начинает функционировать как внешний резервный блок питания.

Автоматическое обратное переключение после устранения неисправности, а также продвинутые функции управления системой RPS доступны только при использовании ее с коммутаторами серий 3560-E и 3750-E. RPS 2300 способен поддерживать резервное питание для одного или двух маршрутизаторов/коммутаторов одновременно. Всего можно подключить до 6-ти устройств.

Кроме того, коммутаторы 3750-X и 3850 можно объединить в с стек по питанию Cisco StackPower. В этом случае выход из строя даже двух блоков питания на одном коммутаторе не приведет к его отключению. Важно отметить, что данная система полностью совместима с технологией PoE и позволяет перераспределить питание, если на одном коммутаторе будут перегружены его собственные блоки питания. Объединить в кольцо можно до четырех коммутаторов 3750-X.

До 9-ти коммутаторов 3750-X и/или 3560-X позволяет объединить система XPS 2200. Эта система объединяет мощности всех блоков питания в единый общий пул, так же как и в предыдущем случае. Второй режим работы – из общего пула исключается мощность самого мощного блока питания. Хотя система XPS 2200 позволяет установить 2 блока питания (также как и RPS 2300), их установка является опциональной.

Что такое RPS 2300 и XPS 2200?

RPS 2300 – устройство, которое работает, как «а ля» второй блок питания для коммутаторов (2960, 3560, 3750 и т.д.) и маршрутизаторов (2811, 2821, 2851, 3825), только внешний.

К одному шасси RPS 2300 можно подключить до 6 устройств. В шасси RPS2300 можно поставить один или два блока питания.

Например, мы подключили 6 коммутаторов Cisco к RPS 2300 с одним блоком питания. В нормальном состоянии все коммутаторы работают, используя свой собственный блок питания. Но если он откажет (например, сгорит), то коммутатор продолжит работать от блока питания, установленного в RPS 2300. Если откажут блоки питания в двух или более коммутаторах, RPS 2300 с одним блоком питания сможет обеспечить работу только одного устройства. Соответственно RPS 2300 с двумя блоками питания сможет обеспечить работу двух устройств.

RPS 2300 не поддерживает коммутаторы 3560X и 3750X.

XPS 2200 является аналогом RPS 2300 для коммутаторов 3560X и 3750X. Ключевым отличием является то, что данное устройство поддерживает умное распределение питания. В XPS 2200 можно подключить до 9-ти коммутаторов 3560X или 3750X. XPS 2200 так же как и RPS 2300 позволяет поставить два дополнительных блока питания. Однако XPS 2200 способен работать вовсе без них, питаясь от блоков питания, установленных в коммутаторах. Всего XPS 2200 поддерживает 3 режима:

  • Режим общей нагрузки (аналогично кольцу StackPower из 4х коммутаторов 3750X).
  • Режим отказоустойчивости – когда в бюджет питания не включаются ватты самого мощного блока питания, при этом можно задать приоритеты для коммутаторов в случае нескольких сбоев.
  • Режим RPS – используется коммутаторами 3560X, которые не поддерживают другие режимы. Аналогичен RPS 2300 по логике работы, может использоваться в комбинации с другими режимами, если требуется одновременно питать коммутаторы разных серий - 3750X и 3560X.

XPS 2200 не имеет порта Ethernet или консольного порта. Данные передаются через кабели питания XPS, которыми система подключается к коммутаторам, поэтому она может быть настроена из консоли любого коммутатора.

Что такое RPS 2300 и XPS 2200?

RPS 2300

Что такое RPS 2300 и XPS 2200?

XPS 2200

Что такое RPS 2300 и XPS 2200?

Схема подключения коммутаторов к RPS/XPS

Какие технологии передачи питания по Ethernet поддерживаются на оборудовании Cisco?

На данный момент в зависимости от платформы поддерживается пять технологий:

  • Inline Power (поддержка на старых коммутаторах Cisco);
  • Power over Ethernet (PoE);
  • Power over Ethernet Plus (PoE+);
  • Universal Power Over Ethernet (UPOE);
  • Universal Power Over Ethernet Plus (UPOE+).
Технические характеристики Inline Power PoE PoE+ UPOE UPOE+
Минимальная категория кабеля Cat5 Cat5e Cat5e Cat5e Ca6a
Стандарт IEEE Нет стандарта    802.3af    802.3at    Нет стандарта    Нет стандарта   
Максимальная мощность на порт 7 Вт 15.4 Вт 30 Вт 60 Вт 90 Вт
Максимальная мощность на оконечное устройство (с учётом потерь) 6.49 Вт 12.95 Вт 25.5 Вт 51 Вт 71.3 Вт
Количество используемых пар для передачи питания 2 2 2 4 4
Можно ли монтировать в стойку маршрутизаторы Cisco 880/890/900/1100/4000?
  • Cisco 880 – нельзя;
  • Cisco 891 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-890-RM-19);
  • Cisco 900 – можно для моделей C921-4P/C931-4P/C921-4PLTEXX, комплект для монтажа в стойку приобретается отдельно (ACS-900-RM-19);
  • Cisco 1100 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-1100-RM-19);
  • Cisco 4000 – можно, «уши» идут в комплекте.
Что такое маршрутизаторы Cisco ISR 4000 Series?

Маршрутизаторы Cisco ISR 4000 Series были выпущены на замену серии маршрутизаторов Cisco ISR G2 2900, 3900 (на данные модели объявлен EoS).

Основные отличия новых маршрутизаторов:

  • Более производительные (за счёт многоядерной архитектуры); производительность не деградирует при включении сервисов (NAT, ZFW и пр.);
  • Возможность увеличения производительности ключом активации. Например, было 50Мбит/с, ввели ключ, получили 100 Мбит/с;
  • Виртуализация приложений – можно запускать различные приложения (например, WAAS, Snort и пр.) на базе маршрутизатора без потери в производительности и дополнительных модулей;
  • Платформа оптимизирована для использования технологи iWAN (Intelligent WAN);
  • Маршрутизаторы поддерживают новые форм-факторы модулей. Например, вместо EHWIC используется NIM;
  • Модульное программное обеспечение Universal IOS XE.

Схема соответствия между новыми маршрутизаторами ISR 4000 Series и маршрутизаторами ISR G2:

Что такое маршрутизаторы Cisco ISR 4000 Series?

Схема лицензирования новых маршрутизаторов полностью совпадает со схемой лицензирования маршрутизаторов ISR G2 2900/3900.

Какой функционал отсутствует в IOS XE для Cisco ISR 4000?

На маршрутизаторах Cisco ISR 4000 на данный момент (май 2019) не удастся настроить доступные ранее (на ISR G1/G2):

  • SSL VPN (в том числе для подключения через клиент Anyconnect);
  • VXML скрипты, например, для реализации функций авто-секретаря;
  • функции межсетевого экранирования на базе технологии CBAC. При этом есть поддержка ZBF.
Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?

Данная схема лицензирования обычно используется при управлении маршрутизатором Cisco такими решениями, как Cisco DNA Center или же vManage (SD-WAN).

Cisco DNA Center – контролер, отвечающий за централизованное управление, автоматизацию, аналитику и безопасность внутри корпоративной сети. vManage – контролер, отвечающий за централизованное управление в рамках архитектуры SD-WAN.

Доступно три вида подписок: Cisco DNA Essentials, Cisco DNA Advantage и Cisco DNA Premier.

Функциональность для каждого вида подписки зависит от того, какое решение будет использоваться для управления маршрутизатором: Cisco DNA Center или vManage (SD-WAN).

Кроме подписки обязательно лицензируется требуемая общая пропускная способность маршрутизатора – лицензия bandwidth.

Например, если маршрутизатор подключен к двум провайдерам на скорости 50 Мбит/с и 100 Мбит/с, нам потребуется лицензия bandwidth на 50*2+100*2=300 Мбит/с

Управление через Cisco DNA Center:

Управление через Cisco DNA Center
Нажмите, чтобы увеличить изображение

Пакеты Network Essentials/Network Advantage входят в подписки Cisco DNA Essentials/Cisco DNA Advantage. Данные пакеты являются бессрочными.

Важно заметить, что маршрутизатор не обязательно подключать к Cisco DNA Center. В этом случае на маршрутизаторе будут доступны технологии из пакетов Network Essentials/Network Advantage, а также ряд технологий из подписочной части, к-е работают без Cisco DNA Center. Например, AVC или Flexible Netflow.

Управление через Cisco vManage (SD-WAN):

Управление через Cisco DNA Center
Нажмите, чтобы увеличить изображение

Подписка Cisco DNA Premier

Cisco DNA Premier кроме функционала Cisco DNA Advantage включает в себя:

  • Cisco Umbrella Insights
  • Cisco Threat Grid

Интерактивная схема лицензирования доступна на сайте Cisco.

Какова схема лицензирования программного обеспечения IOS для маршрутизаторов серии ISR 900?

Схема лицензирования IOS для ISR 900 следующая:

Какова схема лицензирования программного обеспечения IOS для маршрутизаторов серии ISR 900?

IP Base – базовые функции маршрутизации (Routing protocols, ACL, NAT, QoS и пр.); в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.
SEC – включает функции безопасности: межсетевой экран и VPN (IPsec, DMVPN и пр.). Скорость шифрования до 150 Мбит/с для ISR 920 и до 250 Мбит/с для ISR 930. 
APP – лицензия Application Experience, активирует поддержку следующих функций: L2TPv3, MPLS, PfRv3, NBAR2, AVC, IPSLA Initiator, LISP, VPLS, Ethernet over MPLS.

Замечания:

  • Существует специальный IOS с убранными функциями шифрования вообще. В его название идет аббревиатура NPE – Non Payload Encryption;
  • Для IOS NPE не подходит стандартная лицензия Security. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию Security NPE (SEC-NPE).

Маршрутизаторы ISR 900 не поддерживаются в архитектурах SD-Access и SD-WAN.

Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 1000?

До версии Cisco IOS XE 17.2.1 для маршрутизаторов Cisco ISR 1000 существовало два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN). Начиная с версии 17.2.1 образ операционной системы единый.

Лицензирование маршрутизатора может быть реализовано двумя схемами:

  • классическая схема лицензирования,
  • схема лицензирования на основе подписок DNA.

Классическая схема лицензирования

Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 1000?

IP Base – базовые функции маршрутизации (Routing protocols, ACL, NAT, QoS и пр.); в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.
SEC – включает функции безопасности: межсетевой экран и VPN (IPsec, DMVPN и пр.). Скорость шифрования до 50 Мбит/с. 
APP – лицензия Application Experience, активирует поддержку следующих функций: L2TPv3, MPLS, PfRv3, NBAR2, AVC, IPSLA Initiator, LISP, VPLS, Ethernet over MPLS.
IPSec Performance (VPERF) – увеличивает скорость шифрования до 150 Мбит/с для ISR 1100-4P и 250 Мбит/с для ISR 1100-8P; покупается вместе с лицензией SEC.
HSEC - лицензия HSEC полностью снимает ограничения на шифрование; покупается вместе с лицензией SEC.

Замечания:
  • Существует специальный IOS с убранными функциями шифрования вообще. В его название идет аббревиатура NPE – Non Payload Encryption;
  • Для IOS NPE не подходит стандартная лицензия Security. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию Security NPE (SEC-NPE).

Схема лицензирования на основе подписок DNA

Данная схема лицензирования используется при подключении сетевого оборудования к решению Cisco DNA Center или же vManage. Более подробно она рассмотрена в вопросе «Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?».

Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 4000?

До версии Cisco IOS XE 17.2.1 для маршрутизаторов Cisco ISR 4000 существовало два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN). Начиная с версии 17.2.1 образ операционной системы единый.

Лицензирование маршрутизатора может быть реализовано двумя схемами:

  • классическая схема лицензирования,
  • схема лицензирования на основе подписок DNA.
Классическая схема включает следующие лицензии:

Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 4000?

IP Base – только функции маршрутизации; в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.

SEC (Security) – включает функции безопасности: межсетевой экран и VPN (IPSec, DMVPN и пр.).

UC (Unified Communications) – функций передачи голоса (кроме ISR 4221).

AppX – лицензия Application Experience включает поддержку следующих технологий:

  • WaaS (Wide Area Application Services) - оптимизация каналов связи между офисами.
  • AVC (Application Visibility and Control) совместно с NBAR2 - распознавание приложений.
  • Cisco Performance Routing (PfRv3) - интеллектуальное распределение трафика приложений по существующим каналам связи.
  • Overlay-технологии: LISP, OTV, VPLS, EoMPLS.
  • Другие технологии: IP SLA, L2TPv3, MPLS, Akamai Connect.

Используется один универсальный образ ПО IOS XE. Каждый тип функционала IOS открывается отдельной лицензией. IP Base идет в базовой поставке.

Замечания:

  • Существует специальный IOS с убранными функциями шифрования. В его названии идет аббревиатура NPE – Non Payload Encryption;
  • Для IOS NPE не подходит стандартная лицензия SEC. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию SEC-NPE. Все остальные лицензии (UC и AppX) могут быть использованы для IOS NPE без ограничений.
  • HSEC позволяет снять ограничение SEC лицензии: 250 Мбит/с шифрования и 1000 туннелей (для версии 16.8.1 и выше).
  • Часть функций, например, CUCMe, CUBE, SSL VPN и пр. лицензируются отдельно.
  • Для маршрутизаторов существует бандл AX. Этот бандл включает в себя лицензии AppX и SEC.
  • Для ISR 4000 существуют лицензии Performance и Booster Performance, которые программно увеличивают производительность устройства.

Схема лицензирования на основе подписок DNA

Данная схема лицензирования используется при подключении сетевого оборудования к решению Cisco DNA Center или же vManage. Более подробно она рассмотрена в вопросе «Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?».

Поддерживает ли маршрутизатор Cisco с лицензией IP Base функционал IP SLA?

Нет. Для работы IP SLA технически необходима одна из лицензий SEC, SECNPE, UC или AppX. Официально использовать IP SLA можно только при наличии лицензии AppX.

Какова производительность маршрутизаторов Cisco ISR G2?

Средняя производительность маршрутизаторов Cisco ISR G2 с включенными сервисами представлена на диаграмме:

Какова производительность маршрутизаторов Cisco ISR G2?

Какова производительность маршрутизаторов Cisco ISR 1000?

Производительность маршрутизаторов ISR 1000 без шифрования – до 1 Гбит/с. 

Производительность маршрутизаторов ISR 1000 с шифрованием:

  С лицензией SEC С лицензиями
SEC + HSEC + IPSecPerformance (VPERF)
С лицензиями
SEC + HSEC
Четырёх портовые модели (-4P) 50 Мбит/с 150 Мбит/с более 150 Мбит/с*
Восьми портовые модели (-8P) 50 Мбит/с 250 Мбит/с более 250 Мбит/с*

* теоретический максимум – 1 Гбит/с

Какова производительность маршрутизаторов Cisco ISR 4000?

Пропускная способность маршрутизаторов Cisco ISR 4000 представлена на диаграмме. Включение различных сервисов на маршрутизаторах ISR 4000 не приводит к существенной деградации пропускной способности в связи с новой архитектурой (операционная система IOS XE, многоядерные процессоры и пр.).

Какова производительность маршрутизаторов Cisco ISR 4000?

Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960 следующих серий: 2960, 2960-S, 2960-SF, 2960-Plus?

Для всей линейки коммутаторов 2960 LAN Lite и LAN Base – это две разные аппаратные платформы.

Аппаратной частью:

  • возможностью подключения Cisco Redundant power system (RPS) 2300 (для ряда моделей);
  • поддержкой до 4-х портов SFP (для ряда моделей);
  • поддержкой всего перечня SFP трансиверов (в т.ч. GLC-BX-D/U);
  • поддержкой до 2-х портов 10 GE SFP+ (для ряда моделей 2960-S);
  • поддержкой PoE/PoE+ (для ряда моделей 2960-S/SF);
  • возможностью стекирования - FlexStack (для моделей 2960-S/SF).

Программной частью:

  • поддержкой статической маршрутизации (до 16 статических маршрутов);
  • поддержкой расширенных функций безопасности: возможность применять ACL на порт, IPSG, DAI, NAC;
  • поддержкой до 255 VLAN для LAN Base и 64 для LAN Lite;
  • поддержкой RSPAN;
  • поддержкой расширенных функций QoS (ingress policing, AutoQoS и пр.).

Переход с LAN Lite на LAN Base и обратно невозможен.

В чем основные отличия между коммутаторами 3560V2, 3560G, 3560E и 3560X?

Большая часть линеек коммутаторов Cisco 3560 сняты c продаж (для 3560X дата окончания продаж 30 октября 2016). Из линейки 3560 остались только компактные коммутаторы 3560-CX. В качестве замены рекомендуется рассматривать коммутаторы Cisco 3650.

Основные отличия:

  1. Производительность коммутационной фабрики устройства:
    • 3560V2 – до 32 Gbps;
    • 3560G – до 32 Gbps;
    • 3560E – до 160 Gbps;
    • 3560X – до 160 Gbps.
  2. Коммутаторы 3560V2 имеют основные порты 10/100 Мбит/с.
  3. Коммутаторы 3560G, 3560E и 3560X имеют основные порты 10/100/1000 Мбит/с.
  4. Коммутаторы 3560E поддерживают трансиверы X2 10 Гбит/с (до двух).
  5. Коммутаторы 3560X поддерживают трансиверы SFP+ 10 Гбит/с (до двух). Для установки таких трансиверов необходимо приобрести отдельный модуль (C3KX-NM-10G=).
  6. Для подключения к коммутатору SPF или SFP+ трансиверов необходимо докупать отдельно модули:
    • C3KX-NM-1G — для установки до четырёх SFP;
    • C3KX-NM-10G — для установки двух SFP и двух SFP/SFP+ (не поддерживается GLC-T);
    • C3KX-NM-10GT — два порта 10 Гбит/с по меди;
    • C3KX-SM-10G — сервисный модуль с двумя портами SFP+ и поддержкой Netflow и MACsec шифрованием.
    В коммутатор можно установить один такой модуль.
  7. В коммутатор 3560X можно установить два блока питания. По умолчанию идет один.
  8. На коммутаторах 3560X следующая схема лицензирования программного обеспечения. Существует три набора функций LAN Base, IP Base и IP Services.

В чем основные отличия между коммутаторами 3560V2, 3560G, 3560E и 3560X?

Коммутаторы Cisco 3560X

В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?

Все линейки коммутаторов Cisco 3750 сняты c продаж (для 3750X дата окончания продаж 30 октября 2016). В качестве замены рекомендуется рассматривать коммутаторы Cisco 3850.

Данная серия отличается от серии 3560 тем, что она поддерживает стекирование (как по шине передачи данных, так и по питанию).

В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?

Cisco 3750X, объединённые в стек

Основные отличия:

1. Производительность коммутационной фабрики устройства:

  • 3750V2 – до 32 Gbps;
  • 3750G – до 32 Gbps;
  • 3750E – до 160 Gbps;
  • 3750X – до 160 Gbps.

2. Коммутаторы 3750V2 имеют основные порты 10/100 Мбит/с.

3. Коммутаторы 3750G, 3750E и 3750X имеют основные порты 10/100/1000 Мбит/с.

4. Коммутаторы 3750E и 3750X поддерживают более совершенную (производительную) технологию стекирования Cisco StackWise Plus:

  • Стековая шина для 3750V2/3750G (Cisco StackWise) – 32 Гбит/с;
  • Стековая шина для 3750E/3750X (Cisco StackWise Plus) – 64 Гбит/с;
  • У коммутаторов 3750E и 3750X более совершенные алгоритмы работы стека:

В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?

5. В стек можно объединять разные модели коммутаторов, например, 3750E и 3750X. Объединяться в стек могут до 9 коммутаторов. Следует отметить, что если в один стек объединить коммутаторы 3750V2/3750G и 3750E/3750X стек будет работать на скорости 32 Гбит/с. Для коммутаторов 3750X объединение в один стек коммутаторов с ПО LAN Base и IP Base/IP Services не возможно.

6. Коммутаторы 3750E поддерживают трансиверы X2 10 Гбит/с (до двух).

В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?

X2 трансивер

7. Коммутаторы 3750X поддерживают трансиверы SFP+ 10 Гбит/с (до двух). Для установки таких трансиверов необходимо приобрести отдельный модуль (C3KX-NM-10G=).

8. Для подключения к коммутатору SPF или SFP+ трансиверов необходимо докупать отдельно модули:

  • C3KX-NM-1G — для установки до 4-х SFP
  • C3KX-NM-10G — для установки 2-х SFP+
  • C3KX-NM-10GT — два порта 10 Гбит/с по меде
  • C3KX-SM-10G — сервисный модуль с двумя портами SFP+ и поддержкой Netflow и MACsec шифрованием.

В коммутатор можно установить один такой модуль.

В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?

Модуль 4 SFP (C3KX-NM-1G=)

9. В коммутатор 3750X можно установить два блока питания. По умолчанию идет один.

В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?

Блоки питания для 3750X

10. Коммутаторы 3750X поддерживают стекирование по питанию. Встроенными средствами можно объединить в стек по питанию StackPower до 4-х коммутаторов. До 9-ти коммутаторов позволяет объединить система XPS 2200. Существует два режима работы: отказоустойчивый и общее использование питания. В обоих режимах мощности всех блоков питания объединяются и распределяются между всеми коммутаторами. «Свободные» ватты формируют общий бюджет питания. Основное отличие режимов в том, что в отказоустойчивом режиме в общий бюджет питания не включаются ватты самого мощного блока питания. Эта мощность резервируется и используется после сбоя одного из блоков питания, позволяя сети продолжить работу без прерывания. В режиме общего распределения может оказаться так, что общий бюджет израсходован, например, на подключение дополнительных PoE устройств, и в случае отказа одного из блоков питания, мощностей его компенсировать уже не будет. Для создания такого стека используются кабели CAB-SPWR-30CM (для коммутаторов IP Base/IP Services идёт в комплекте) или CAB-SPWR-150CM.Поддержка StackPower для коммутаторов LAN Base появилась начиная с релиза 15.0(2)SE и выше.

В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?

Стекирование питания для 3750X

11. На коммутаторах 3750V2, 3750G и 3750E схема лицензирования включает два набора функций: IP Base и IP Services. На коммутаторах 3750X схема лицензирования включает три набора функций: LAN Base, IP Base и IP Services.

Что означает «Standard Image» (IP Base) и «Enhanced Image» (IP Services) в описании коммутаторов серии 3560 и 3750. В чем разница?

Enhanced Image более продвинутый в качестве набора функций. В Enhanced Image в отличие от Standard Image есть следующее:

  • Поддержка динамических протоколов маршрутизации OSPF, EIGRP, BGPv4;
  • Policy-based Routing (PBR) — возможность гибкой настройки локальных правил маршрутизации трафика;
  • Private VLAN (PVLAN) — поддержка функции частных VLAN-ов, которая позволяет сегментировать доступ между хостами в рамках одного VLAN;
  • Поддержка динамических протоколов маршрутизации multicast-трафика PIM и DVMRP.

Для серий коммутаторов 3560E/3750E схема лицензирования совпадает со схемой для ISR G2. Т.е. существует универсальный IOS, а функционал (IP Base или IP Services) открывается по средствам активации лицензий.

В чем особенности технологий организации оперативной памяти UDIMM, RDIMM, LRDIMM и NVDIMM?

В настоящее время, имеют распространение следующие технологии организации оперативной памяти:

UDIMM (англ. Unbuffered DIMM) – небуферизованная память. Обычные планки ОЗУ, которые устанавливаются в персональных компьютерах и некоторых серверах начального уровня. Поддерживается установка до двух планок памяти на канал. Как правило, память типа UDIMM поддерживает технологию автоматической коррекции ошибок ECC, а объем одной планки составляет не более 16 ГБ.

RDIMM (англ. Registered DIMM) – регистровая память. Планки ОЗУ, широко применяющиеся в серверах. Снабжены специальным регистром, который буферизует управляющие и адресные команды контроллера памяти. Благодаря этому, снижается нагрузка на контроллер и появляется возможность использовать более объемные планки памяти и в большем количестве в рамках одного сервера. Объем планки типа RDIMM может достигать 32 ГБ.

LRDIMM (англ. Load-Reduced DIMM) – память со сниженной нагрузкой. Еще один тип ОЗУ с механизмом буферизации. В отличие от RDIMM, здесь в буфер отправляются не только управляющие и адресные команды, но и собственно данные. Эта технология позволяет значительно снизить нагрузку на контроллер памяти и использовать планки емкостью до 128 ГБ. Кроме того, в отличие от RDIMM, при использовании более двух планок LRDIMM на канал не снижается скорость работы памяти.

NVDIMM (англ. Non-Volatile DIMM) – энергонезависимая память. Технология организации ОЗУ с возможностью сохранения загруженных в память данных при штатном либо аварийном завершении работы системы. Память типа NVDIMM может использовать емкости флэш-накопителей (например, SSD) в качестве энергонезависимого хранилища, либо иметь специальный резервный модуль энергонезависимой флэш-памяти, в который будут переписываться данные при завершении работы.

Комбинировать память UDIMM, RDIMM и LRDIMM в рамках одного сервера не допускается. Требования к NVDIMM могут быть разными у разных производителей. Компания HPE в рамках новой серии Persistent Memory анонсировала планки NVDIMM на 8 ГБ для серверов DL360 Gen.9 и DL380 Gen.9. Для одного сервера допускается установка до 16 планок NVDIMM и имеется возможность совмещать их с RDIMM. При использовании HPE NVDIMM требуются процессоры Intel Xeon E5-2600 v4, наличие батареи поддержки кэш-памяти HPE Smart Storage Battery (в качестве источника питания при перезаписи данных в энергонезависимый модуль) и как минимум одной планки RDIMM.

Какие архитектуры построения беспроводной сети на базе оборудования Cisco существуют?

Какие архитектуры построения беспроводной сети на базе оборудования Cisco существуют?

У Cisco есть несколько вариантов по построению беспроводных сетей, в зависимости от масштаба, производительности, требуемых функций и типа управления сетью.

Автономный (Autonomous)

Данный вариант предполагает установку автономных (независимых друг от друга) точек доступа. Каждая точка настраивается и управляется отдельно. Трафик беспроводной сети коммутируется локально на каждой точке.

Централизованный (Centralized)

В данном варианте весь функционал по настройке и мониторингу находится на контроллере беспроводной сети. Весь трафик беспроводной сети проходит через контроллер, что позволяет обеспечить максимальную управляемость и функционал. Это стандартный режим работы сети для внедрения в одной локации.

Контроллер на точке доступа (Mobility Express)

В качестве альтернативы централизованному варианту, для небольших офисов можно использовать режим Mobility Express. В данном варианте, в качестве контроллера выступает точка (или кластер из нескольких точек) доступа 1540, 1560, 1815, 1830, 1850, 2800, 3800. Подключаться к такому «контроллеру» могут все актуальные точки доступа (x600, x700, x800 и др.). Для быстрой настройки сети используется специальный веб-мастер или мобильное приложение. Трафик на точках доступа коммутируется локально (частный случай FlexConnect). Поддерживается до 100 точек доступа и 2000 клиентов. Лицензии не требуются.

Гибкое подключение (FlexConnect)

Данный режим используется в основном для подключения точек доступа в удаленных офисах компании. Управление и мониторинг точек в данном режиме осуществляется централизованно на контроллере (установленном, как правило, в центральном офисе). C точки зрения аутентификации клиентов и коммутации трафика FlexConnect является наиболее гибким вариантом: можно подключать пользователей и коммутировать трафик как локально на точке, используя ресурсы в удаленном офисе, так и на контроллере в центральном офисе.

Стоит отметить, что режим FlexConnect имеет ряд ограничений по сравнению с режимом Centralized, что продолжает делает актуальным использование режима Centralized в определённых случаях.

Конвергентный доступ (Converged Access)

В данном варианте для подключения точек доступа обязательно используются коммутаторы 4500E, 3850, 3650. Точки доступа обязательно должны быть подключены к коммутатору(-ам) напрямую. Для настройки и мониторинга сети может использоваться как один из указанных коммутаторов (или стек), так и выделенный контроллер, например, 5760. Подход Converged Access является наиболее современным и обеспечивает единые политики доступа для беспроводной и проводной сети, высокую скорость коммутации трафика, сохраняя при этом централизованное управление и мониторинг сетью. Все политики качества обслуживания (QoS), доступа (ACL), анализа трафика (AVC) применяются непосредственно на порту коммутатора, к которому подключена точка доступа. Таким образом, больше нет необходимости пропускать весь трафик через контроллер беспроводной сети, для получения полноценного мониторинга и управляемости, что позволяет стоить высокопроизводительные беспроводные сети с большим количеством подключений.

Что такое репликация? В чем отличия синхронной и асинхронной репликации?

Репликация – процесс передачи данных с одного устройства хранения на другие с целью создания резервной копии этих данных, обеспечения сценариев высокой доступности или катастрофоустойчивости. Существует 2 типа репликации: синхронная и асинхронная.

  Синхронная репликация Асинхронная репликация
Принцип действия
  1. Сервер отправляет данные на основную СХД.
  2. Основная СХД записывает к себе данные и параллельно отправляет эти же данные на резервную СХД.
  3. Резервная СХД записывает данные к себе и отправляет подтверждение об этом основной СХД.
  4. Основная СХД подтверждает серверу, что данные записаны.
  1. Сервер отправляет данные на основную СХД.
  2. Основная СХД записывает к себе данные.
  3. Основная СХД подтверждает серверу, что данные записаны.
  4. Основная СХД отправляет эти данные на резервную СХД, причем не обязательно сразу, а возможно по какому-то регламенту, например, накопив данные за весь день, отправляет их ночью.
Достоинства Основная СХД подтверждает серверу, что данные записаны, только после того, как запишет данные себе и получит подтверждение о записи от резервной СХД. Данные пишутся синхронно на обе СХД, что дает гарантию 100% сохранения данных при выходе из строя основной СХД. Не обязательны дорогостоящие быстрые каналы связи.
Недостатки Высокие требования к ширине (рекомендуется 10Gb) и длине канала для минимизации задержки при записи на резервную СХД и, соответственно, высокая стоимость организации такого решения. Основная СХД подтверждает серверу, что данные записаны, после того как запишет данные только себе, что не дает 100% гарантии сохранения всех данных при выходе из строя основной СХД.

В системах хранения компании HPE имеются следующие решения по репликации:

  • Remote Snap – асинхронная репликация в MSA.
  • Remote Copy – асинхронная репликация в StoreVirtual.
  • Remote Copy Software – комплексное решение в 3PAR, включающее асинхронную и синхронную репликацию с несколькими режимами работы.
Что такое RPO и RTO?

При организации репликации для систем хранения обычно оперируют двумя показателями.

Recovery Point Objective (RPO) – допустимый объем возможных потерь данных в случае сбоя (потерю данных за какой промежуток времени мы можем допустить). Измеряется в секундах.

Recovery Time Objective (RTO) – допустимое время простоя системы в случае сбоя. Измеряется в секундах.

В случае с синхронной репликацией значение RPO стремится к 0, но зато предъявляются более высокие требования к каналам связи.

В случае с асинхронной репликацией значение RPO будет не 0. В системах хранения HPE, как правило, значение варьируется от 5 минут до 24 часов.

Что такое тиринг? Что такое MSA Virtual Tier Affinity?

Тиринг (англ. Tiering) – это технология, с помощью которой СХД может самостоятельно перераспределять данные по накопителям на основе частоты их использования. Редко используемые данные перемещаются на более медленные накопители, а часто используемые – на более быстрые.

Тиринг дает возможность сэкономить на дорогих HDD или SSD, позволяя приобрести их в небольшом количестве и использовать более дешевые и объемные NLSAS/SATA для хранения основных данных, которые не используются в текущий момент. Согласно статистическим показателям, до 70% данных располагается на медленных дисках при использовании тиринга.

Как правило, в СХД выделяется 3 уровня или «тира» (от англ. Tier):

  • Tier1 – самая производительная группа SSD накопителей;
  • Tier2 – быстрые диски SAS Enterprise на высокопроизводительном массиве RAID10;
  • Tier3 – самая низкопроизводительная группа дисков SATA/SAS (Midline или Nearline) в RAID5/6.

Что такое тиринг? Что такое MSA Virtual Tier Affinity?

На большинстве современных СХД тиринг работает в автоматическом режиме. Система самостоятельно анализирует частоту обращений к различным блокам данных того или иного LUN и перемещает их между уровнями хранения. Данный режим называется sub-LUN tiering. У HPE в некоторых СХД для него принято название Adaptive Optimization. Некоторое время назад был распространен ручной режим тиринга, когда система могла осуществить перенос только всего LUN и только по команде администратора. Этот функционал у HPE носит название Dynamic Optimization.

Сегодня тиринг реализован на всех основных SAN СХД компании HPE: MSA, StoreVirtual, 3PAR. Для его активации может потребоваться приобретение дополнительной лицензии.

Virtual Tier Affinity – дополнительное улучшение для тиринга в массивах HPE MSA, приоритизация данных на уровне LUN (механизм «Quality of Service»). Администратор может выставить для каждого LUN высокий, либо низкий приоритет. В первом случае данные LUN быстрее станут попадать на самый производительный уровень хранения и дольше там находиться. Во втором случае данные по умолчанию будут записываться на архивный (наименее производительный) уровень и быстрее туда опускаться в случае последующего поднятия.

Что такое дедупликация? В чем ее отличие от компрессии (сжатия данных)?

Дедупликация – это технология, которая позволяет находить и исключать одинаковые (дублирующиеся) данные в рамках системы хранения с целью экономии дисковых объемов. С включенной дедупликацией одинаковые данные не будут записываться на накопители при последующих циклах записи, а будет записываться лишь ссылка на те данные, что уже записаны. Дедупликация бывает файловая и аппаратная.

В случае с файловой дедупликацией, операционная система отслеживает полностью идентичные файлы и хранит только одну копию этих файлов. Например, когда сотрудник внутри организации делает рассылку с вложением, на почтовом сервере Exchange это вложение сохраняется в единственном экземпляре. Получатели данного письма при открытии вложения просто перейдут по ссылке на этот файл.

Аппаратная дедупликация работает не на уровне идентичных файлов, а на уровне блоков данных. В этом случае, проверкой блоков занимается не операционная система, а контроллер системы хранения.

В системах хранения HPE дедупликация реализована для следующих моделей:

  • 3PAR StoreServ, StoreOnce – аппаратная дедупликация;
  • StoreEasy – программная дедупликация средствами Windows Storage Server.

Компрессия (сжатие данных) – еще одна технология, позволяющая экономить объемы хранилища путем уменьшения размеров хранимых данных. В отличие от дедупликации, она не исключает копии, а посредством различных алгоритмов уменьшает размер (производит сжатие) имеющихся данных.

Как и дедупликация, компрессия бывает файловая и аппаратная.

При файловой компрессии, операционная система или специальное ПО пытается найти избыточные фрагменты в составе каждого файла и удалить их, что приведет к уменьшению его общего размера. Например, для текстового файла могут быть убраны ненужные пробелы в конце, а повторяющиеся слова или символы заменены особым, более компактным кодированием. Для изображений удаляются избыточные пиксели, в аудиофайлах исключаются малозаметные для слуха звуковые эффекты.

При аппаратной компрессии происходит сжатие блоков данных по специальным алгоритмам. Аппаратную компрессию выполняет контроллер системы хранения.

Процесс компрессии может происходить с потерями (англ. lossy), либо без потерь (англ. lossless). В первом случае исходные данные уже не могут быть полноценно восстановлены из сжатых данных. Такие результаты допустимы при сжатии изображений или аудио, где небольшое снижение качества является приемлемым. Во втором случае возможность восстановления предусматривается, что является предпочтительным для корпоративных СХД, хранящих важные данные.

Как правило, в системах хранения, поддерживающих и дедупликацию и компрессию, для оптимального использования вычислительных ресурсов вначале выполняется дедупликация, а затем – компрессия, которая затрагивает только оставшиеся данные и не применяется к тем данным, которые все равно будут удалены дедупликацией.

В системах хранения HPE реализация аппаратной компрессии в ближайшем будущем предполагается для 3PAR StoreServ.

Что такое inline и post-processing режимы дедупликации и компрессии? Что показывает коэффициент дедупликации/компрессии?

Дедупликация и компрессия могут происходить в режиме реального времени (англ. inline), либо в режиме последующей обработки (англ. post-process). В первом случае данные подвергаются обработке, еще находясь в памяти, и уже затем записываются на накопители. Этот метод обеспечивает экономию места и меньшую нагрузку на дисковую подсистему, однако нагрузка на вычислительные ресурсы является существенной. Во втором случае данные записываются на накопители без изменений, а затем подвергаются дедупликации или компрессии согласно установленному расписанию. Это обеспечивает экономию вычислительных ресурсов и в некоторых случаях ускоряет первоначальную запись данных, однако требует больше места на дисках.

Важно отметить, что эффективность дедупликации и компрессии напрямую зависит от состава и структуры конкретных данных, к которым планируется применять указанные технологии. К примеру, для компрессии хорошо подходят транзакционные БД, где в рамках каждого экземпляра базы часто встречаются повторяющиеся последовательности данных. Дедупликация результативна в средах виртуализации и VDI, в которых попадается множество очень похожих файлов виртуальных машин. В некоторых же случаях, положительного эффекта от дедупликации и компрессии может не быть вовсе или он будет минимальным.

Количественным показателем эффективности указанных технологий в каждом конкретном случае является коэффициент дедупликации или компрессии, который записывается в формате A:B. Данное выражение показывает отношение объема, который должен был быть занят на СХД без учета действия технологий (значение A), к тому объему, который оказался реально занят после применения дедупликации или компрессии (значение B). Например, при коэффициенте дедупликации 2:1 данные, имеющие объем 2 ТБ, после применения технологии займут на СХД в 2 раза меньше места – лишь 1 ТБ.

Что такое сетевой RAID (на примере HPE StoreVirtual 3200)?

Сетевой RAID по принципу своей работы аналогичен классическому RAID, только его элементами являются не отдельные диски, а отдельные контроллеры. Тома (LUN) обслуживаются всеми участвующими контроллерами, при этом уровень сетевого RAID мы можем задавать на уровне конкретного тома. К примеру, в рамках одного кластера для первого тома мы можем настроить сетевой RAID 10, а для второго – сетевой RAID 0. После этого, блоки данных в указанных томах будут записываться и распределяться соответственно уровню сетевого RAID.

В настоящее время, для SV3200 доступны следующие уровни сетевого RAID: 0, 10. Уровень 0 представляет собой обычное чередование записываемых блоков данных между контроллерами, и может быть реализован как в кластере, так и для единственной SV3200 (для двух ее контролеров). В случае сетевого RAID 10 при записи данных происходит чередование записываемых блоков между двумя контроллерами одной, а затем зеркалирование записанных данных на другую СХД. Данные уровни в сетевом RAID работают точно так же, как и в обычном (см. рисунок).

Что такое сетевой RAID (на примере HPE StoreVirtual 3200)?

Какие новые технологии реализованы в серверах HPE ProLiant Gen.10?

В 10м поколении серверов ProLiant HPE реализовал новые, не использовавшиеся ранее технологии. Это позволило улучшить показатели производительности, надежности и безопасности серверов.

Из основных усовершенствований стоит выделить:

  1. Набор технологий HPE Intelligent System Tuning, позволяющий повысить производительность процессоров Intel Xeon и оптимизировать настройку BIOS. Включает следующие технологии:
    • Jitter Smoothing – уменьшение перепадов и выравнивание частоты процессора в режиме Turbo Boost. Позволяет уменьшить задержки обращения к памяти, что вызывает дополнительный прирост производительности в некоторых требовательных приложениях (например, Java). Требует лицензию iLO Advanced или выше.Какие новые технологии реализованы в серверах HPE ProLiant Gen.10?
    • Core Boosting – дополнительное повышение частоты активных ядер в режиме Turbo Boost. Позволяет оставаться на том же уровне производительности, используя меньшее число ядер. В схемах лицензирования по количеству ядер (например, в СУБД), может обеспечить экономию лицензий. Требует лицензию iLO Advanced или выше, работает только на определенных процессорах.Какие новые технологии реализованы в серверах HPE ProLiant Gen.10?
    • Workload Matching – использование предопределенных профилей настроек BIOS для распространенных серверных задач (виртуализация, СУБД, обработка графики и т.д.). Позволяет уменьшить число ошибок и повысить эффективность настройки BIOS (по сравнению с заданием каждого отдельного параметра вручную). По данным HPE, использование этой технологии увеличивает производительность системы до 9%.
  2. Функция отказоустойчивости оперативной памяти HPE Fast Fault Tolerance. Данная функция ведет мониторинг сбоев и определяет местоположение ошибок. При обнаружении ошибки, соответствующая область памяти изолируется, и на время ее исправления скорость работы снижается только для этой области. Остальные области продолжают работу на своей обычной скорости. Использование Fast Fault Tolerance вместе со стандартными технологиями обеспечения высокой доступности памяти (исправление ошибок, резервирование ранков, зеркалирование и т.д.) снижает время среднегодового простоя серверов на 85% (по данным HPE).
  3. Усовершенствования подсистемы хранения:
    • Увеличенное количество отсеков под накопители во многих серверах Gen.10.
    • Использование внутренней корзины под LFF накопители в DL380 Gen.10.
    • Поддержка увеличенного числа NVMe накопителей и внутренних M.2 накопителей на многих серверах Gen.10.
  4. Новая версия контроллера удаленного управления iLO5:
    • В 2 раза более производительный по сравнению с iLO4 (по данным HPE).
    • Технология аппаратного ключа HPE Silicon Root of Trust:
      • Автоматическая проверка целостности и подлинности прошивок iLO и остальных компонентов сервера (BIOS, контроллеров, адаптеров и т.д.) в процессе работы. Исключает возможность злонамеренной подмены и модификации прошивок. Сторонние комплектующие при попытке установки их в сервер не пройдут проверку и с высокой вероятностью не будут распознаны. Для проверки iLO и BIOS требуется лицензия iLO Advanced Premium Security Edition.
      • Безопасная загрузка сервера с функцией автоматического восстановления прошивок iLO из репозитория в случае неполадки или взлома. Требуется лицензия iLO Advanced Premium Security Edition.
      • Безопасное (без возможности восстановления) удаление пользовательских данных и настроек с контроллера iLO. Требуется лицензия iLO Advanced Premium Security Edition.
      • Защита канала управления с использованием высочайшей коммерчески доступной стойкости шифрования. В зависимости от используемого алгоритма, может потребоваться лицензия iLO Advanced Premium Security Edition.
    • Сервисный порт iLO. Выделенный USB порт для iLO, к которому можно подключить ноутбук (через адаптер USB-Ethernet) с целью диагностики и управления. Также можно скопировать журналы Active Health System на USB флэш накопитель.
    • Соответствие iLO REST API интерфейсу Redfish API – стандарту управления серверами, пришедшему на смену IPMI. Администратор получает возможность использовать сторонние средства, поддерживающие этот интерфейс, для мониторинга и управления серверами HPE.
Что такое Nimble Storage InfoSight? Каковы особенности ее работы?

Что такое Nimble Storage InfoSight? Каковы особенности ее работы?

HPE Nimble Storage – семейство систем хранения данных. Отличительные черты этих СХД – частичное (наряду с HDD), либо полное (all-flash) использование SSD накопителей во всех моделях, а также очень высокий уровень надежности. HPE заявляет о доступности Nimble Storage в 99,9999%, что достигается благодаря применению платформы облачной аналитики InfoSight. Относительно недавно была добавлена поддержка линейки продуктов HPE 3PAR в InfoSight.

Данная технология позволяет СХД непрерывно в автоматическом режиме собирать большое количество данных как о собственном состоянии, так и об окружающей инфраструктуре (подключенные сети, серверы, платформы виртуализации). Затем эти показатели отправляются в облачную систему, где с помощью сложных аналитических алгоритмов выявляются текущие проблемы и делаются прогнозы о будущем состоянии инфраструктуры. На основе данных выводов заказчику предоставляются автоматические исправления и рекомендации для администратора СХД. Например, при обнаружении у одного из клиентов проблемы в совместимости микропрограммы контроллеров СХД с приложениями гипервизора система автоматически заблокирует возможность установки данной версии прошивки на СХД у других клиентов, а тем у кого уже установлена схожая конфигурация будет предложен критический апдейт системы.

Такой подход помогает предотвращать сбои до их возникновения, причем во многих случаях без вмешательства администратора. По данным вендора, при использовании InfoSight 86% проблем разрешаются без участия ИТ-службы. Сюда входят инциденты как с самой СХД, так и с окружающей инфраструктурой. Причем по данным HPE, более половины проблем, как правило, не связаны с СХД.

InfoSight позволяет значительно сократить время на поиск проблемных узлов инфраструктуры в случае деградации производительности. Система в удобном графическом виде показывает текущее время отклика и статистику задержек за определенный период по проблемной ВМ не только относительно самой СХД, но и сети передачи данных SAN, а также приложений гипервизора. Отклонение каких-либо показателей в кратчайшие сроки позволит определить «узкое место» инфраструктуры. Не нужно переключаться между несколькими системами мониторинга, все показатели доступны в едином портале, так как InfoSight интегрируется с VmWare VCenter.

Благодаря оценке статистической информации сразу по большому количеству СХД, система позволяет провести более точный сайзинг инфраструктуры, чем это бы делалось в любом оффлайн-сайзере. Тем самым становится возможно более точно строить планы апргрейда, сократив, возможно излишние затраты на покупку ненужных компонентов.

Что такое Nimble Storage InfoSight? Каковы особенности ее работы?

Облачная система InfoSight является единой для заказчиков Nimble Storage по всему миру. Она использует общие базы и машинное обучение на основе уже имеющихся данных для постоянного совершенствования своих прогнозов. Собранные данные хранятся на вычислительных мощностях InfoSight в США.

В процессе диагностики собирается только служебная информация, собственные данные заказчика не затрагиваются.

Информация передается по защищенному SSL каналу. Некоторые примеры передаваемых данных:

  • Серийный номер массива.
  • Базовая информация о работоспособности (health check).
  • Системные журналы событий.
  • Параметры настроек системы.
  • Статистика работы системы.

Иногда, для устранения определенных проблем требуется снятие содержимого памяти контроллера (core data dump). В полученный снимок могут попасть некоторые пользовательские данные. В такой ситуации заказчик по своему желанию может разрешить передачу снимка в поддержку Nimble Storage. Передача не является обязательной, однако без нее возможности специалистов поддержки по работе над проблемой будут ограничены.

В случае своего согласия, заказчик оформляет письменное разрешение, отправляет его в поддержку Nimble и инициирует передачу снимка. Передача происходит по SSL каналу. HPE обязуется принять все необходимые технические меры для защиты конфиденциальности полученных данных заказчика, такие как контроль и аудит доступа персонала к данным, закрытие внешнего доступа через ACL, антивирусная защита, физическая защита серверных комнат и т.д.

Подключение СХД Nimble Storage к InfoSight осуществляется через сеть управления. Заказчик должен будет открыть следующие порты для исходящего трафика (никаких входящих соединений не требуется):

  • 443/HTTPS – отправка диагностической информации, оповещений, доступ к обновлениям NimbleOS.
  • 2222/SSH – установление защищенного канала через VPN и SSH для специалиста поддержки при устранении проблем.
  • Также рекомендуется разрешить ICMP PING для оптимизации установления соединений.

Что такое Nimble Storage InfoSight? Каковы особенности ее работы?

Что такое HPE SmartCache?

Технология HPE SmartCache позволяет использовать SSD накопители в качестве дополнительной кэш-памяти. Данное решение применяется в среде DAS (внутренние накопители сервера, либо локально подключенные DAS полки).

SmartCache работает как на чтение, так и на запись. При операциях чтения часто запрашиваемые данные помещаются в кэш из SSD накопителей. Операции записи происходят вначале на SSD-кэш, а затем данные перемещаются на HDD. Благодаря тому, что SSD по сравнению с HDD имеют значительно более высокую производительность, увеличивается скорость работы приложений (по данным HPE – до 4 раз).

SmartCache доступна с контроллерами Smart Array P-класса, которые имеют кэш типа FBWC емкостью не менее 1 Гбайт. Технология может использоваться на серверах 8го и более новых поколений. Настройка производится через средство управления контроллерами Smart Array – HPE Smart Storage Administrator.

SmartCache имеет собственную лицензию, при этом для некоторых контроллеров (например, P816i-a SR Gen.10) она включается по умолчанию, а для других требуется приобретать ее отдельно.

Какие технологии реализованы в СХД HPE Nimble Storage?
  1. QoS (англ. Quality of Service) по IOPS и/или пропускной способности. Данная технология позволяет установить нижние и верхние ограничения для отдельных томов по указанным параметрам производительности.
  2. Гарантированная задержка менее 1 мс. Можно включать для отдельных томов.
  3. Снимки (снапшоты) и копии (клоны) томов с «тонким» выделением емкости. При создании снимка или копии проставляются только ссылки на исходный том, а фактическая емкость не выделяется. Затем, по мере изменения основного тома, измененные данные записываются на накопители рядом с исходными, на которые ведут ссылки от снимка/копии. Снимки также являются консистентными, т.е. сохраняют данные приложений из оперативной памяти.
  4. Шифрование и безопасное удаление данных томов. Шифрование работает на SSD и HDD, сжатие данных сохраняется. Возможно сохранение шифрования при репликации.
  5. Кэш чтения на SSD в моделях серий CS и SF.
  6. Сжатие и дедупликация в режиме реального времени. Сжатие применяется после дедупликации. Возможно включать и отключать данные функции на уровне отдельных томов. Используется алгоритм сжатия LZ4 и дедупликация с переменным блоком, с возможностью автонастройки оптимального размера блока для известных приложений.
  7. Асинхронная репликация с поддержкой сжатия и шифрования. Ожидается скорое добавление синхронной репликации и механизма переключения между площадками без прерывания работы.
  8. Использование файловой системы CASL (англ. Cache Accelerated Sequential Layout). В данной файловой системе запись всегда происходит полным блоком на все накопители в RAID группе. В фоновом режиме работает процесс очистки, который устраняет пустые блоки, образованные при удалении данных, путем объединения оставшихся блоков. Эта технология обеспечивает высокую и предсказуемую скорость записи, хорошую производительность дедупликации и сжатия.
  9. Какие технологии реализованы в СХД HPE Nimble Storage?
    Схема работы файловой системы Nimble Storage

  10. Triple+ Parity RAID в моделях серии AF. Собственная технология RAID с использованием тройной четности, резервного блока данных и внутренней четности накопителя. В RAID группу входят 24 накопителя (до 2 RAID-групп на массив). Технология позволяет выдержать одновременный отказ любых 3 накопителей, либо последовательный (по завершении перестроения RAID) отказ 4 накопителей (благодаря резервному блоку). Кроме того, внутренняя четность помогает восстановить 1 неисправный сектор в рамках каждого накопителя при операциях чтения.
  11. Какие технологии реализованы в СХД HPE Nimble Storage?
    Схема работы Triple+ Parity RAID

Чем различаются интерфейсы SAS и SATA?

В настоящее время, для подключения накопителей в персональных компьютерах, серверах и системах хранения наиболее часто используются 2 интерфейса: SAS и SATA. SAS (англ. Serial Attached SCSI) является преемником параллельной технологии SCSI (англ. Small Computer System Interface). SATA (англ. Serial ATA) – преемник параллельного интерфейса ATA (англ. Advanced Technology Attachment).

В отличие от своих предшественников, протоколы SAS и SATA предусматривают последовательную передачу данных, то есть вся информация передается единым потоком (в параллельных технологиях задействуется множество потоков). Последовательная передача данных позволяет достичь гораздо более высоких скоростей, чем параллельная. Кроме того, в протоколах SAS и SATA используется тип соединения «точка-точка» между контроллером и оконечным устройством, то есть каждый накопитель имеет полную полосу пропускания. В случае SCSI полоса пропускания общая, и она делится между всеми подключенными устройствами.

SAS по сравнению с SATA предоставляет более высокую пропускную способность и расширенную функциональность, а потому накопители на его основе чаще используются в серверах и системах хранения корпоративного класса. SATA, с другой стороны, имеет более низкую стоимость и применяется в большинстве персональных компьютеров, серверов и систем хранения начального уровня. Основные различия между протоколами:

  SATA SAS
Пропускная способность 6 Гбит/с (SATA III) 12 Гбит/с (SAS-3) )
Набор команд ATA SCSI
Порты 1 полудуплексный* 2 полнодуплексных*
Глубина очереди До 32 команд До 254 команд
Длина кабелей До 1 м (2 м для eSATA**) До 10 м
Возможности расширения До 15 устройств на 1 порт с использованием SATA мультипликатора Более 65 тыс. устройств на 1 порт с использованием SAS расширителей
Обратная совместимость SATA контроллер не поддерживает SAS накопители SAS контроллер поддерживает SATA накопители
Дополнительные функции Нет Технология Multipath I/O, позволяющая подключать накопитель по 2 каналам (через 2 порта) и осуществлять резервирование путей / балансировку нагрузки
Технология проверки контрольных сумм T.10 при записи данных
Технология зонинга T.10, позволяющая разбить домен SAS на зоны для удобства настройки и управления (по аналогии с VLAN)

* полудуплексный режим работы – возможность в определенный момент времени вести только прием, либо только передачу; полнодуплексный – возможность вести прием и передачу одновременно

** eSATA – англ. External SATA, интерфейс SATA для подключения внешних устройств

Какие технологии и программные функции реализованы в СХД HPE 3PAR?

Общий обзор технологий и программных функций массивов HPE 3PAR StoreServ:

  1. Набор технологий уменьшения занимаемой емкости Adaptive Data Reduction. Применяется к входящим данным до их записи на накопители. Включает следующие технологии:
    • Zero Detect – удаление в потоке записываемых данных последовательностей нулей, не представляющих фактической ценности (например, при инициализации виртуальных машин).
    • Дедупликация страниц памяти. Метаданные дедупликации обрабатываются в микросхемах ASIC.
    • Компрессия страниц памяти. Перед ее применением процессор контроллера анализирует, насколько эффективно могут быть сжаты данные, и сжимает только те, которые хорошо поддаются компрессии.
    • Data Packing – объединение сжатых страниц в блоки по 16 КиБ* для сохранения эффективности компрессии.
  2. Технология построения файлового хранилища File Persona Software. Поддерживает широкий выбор функций и протоколов, включая SMB, NFS, FTP/FTPS.
  3. Набор технологий организации тиринга, обеспечения качества обслуживания (англ. Quality of Service, QoS) и осуществления миграций томов (LUN) Data Optimization Software Suite. Включает следующие технологии:
    • Adaptive Optimization – автоматический перенос блоков данных между разными типами накопителей в соответствии с требованиями политик.
    • Dynamic Optimization – перенос целого тома (LUN) по команде администратора.
    • Priority Optimization – определение минимальных и/или максимальных допустимых значений по IOPS, пропускной способности и задержке для тома (LUN) или группы томов.
    • Peer Motion – осуществление миграций томов (LUN) между разными массивами 3PAR в режиме реального времени без прерывания работы приложений.
  4. Набор технологий репликации, организации катастрофоустойчивых решений и снятия мгновенных снимков Replication Software Suite. Включает следующие технологии:
    • Virtual Copy – снятие снимков (снапшотов) без первоначального выделения емкости. Снимок начинает занимать фактическую емкость только по мере изменения основного тома. Повторяющиеся изменения не записываются.
    • Remote Copy – асинхронная и синхронная репликация.
    • Peer Persistence – организация катастрофоустойчивого решения с географически распределенным вычислительным кластером, когда потеря СХД на одной из площадок не приведет к потере доступа узлов к тому (LUN).
  5. Набор средств мониторинга работы массива Reporting Software Suite. Включает следующие инструменты:
    • System Reporter – отчеты о производительности и использовании емкости в виде наглядных графиков и диаграмм.
    • 3PARinfo – утилита командной строки, используемая на сервере, подключенном к массиву, для отображения информации о предоставлении томов (LUN).
  6. Набор технологий разграничения прав доступа Security Software Suite. Включает следующие технологии:
    • Virtual Domains – разграничение доступа пользователей, групп или приложений к хранилищу посредством создания виртуальных доменов.
    • Virtual Lock – защита томов (LUN) и снимков от удаления пользователем или администратором на заданный период времени.
  7. Функция шифрования данных на накопителях Data at Rest Encryption. Используются специальные HDD/SSD с поддержкой шифрования (англ. Self-Encrypting Drives, SED). Шифровать можно только массив целиком, т.е. для использования данной функции все накопители должны быть SED.
  8. Средство миграции данных Online Import. Позволяет в режиме реального времени производить миграцию томов с массивов HPE EVA, EMC CX4 или EMC VNX на HPE 3PAR.
  9. Средство конфигурации Smart SAN for 3PAR. Позволяет автоматизировать настройку оборудования в SAN, задание параметров и политик. Работает с массивами HPE 3PAR, коммутаторами HPE StoreFabric B-series, адаптерами главной шины (HBA) FC 16 Гбит серий HPE Q и E.
  10. Средство резервного копирования Recovery Manager Central (RMC). Реализовано в виде виртуальной машины для VMware ESXi. Позволяет производить резервное копирование данных напрямую с массива HPE 3PAR на дисковую библиотеку HPE StoreOnce. Устраняет необходимость в стороннем ПО резервного копирования.
  11. ПО для запуска на вычислительных узлах (хостах):
    • Host Explorer – запускается как агент на сервере, собирает служебные и конфигурационные данные и отправляет их на 3PAR, устраняя необходимость ввода вручную.
    • Multipath I/O – реализует технологию множественных путей для некоторых серверных ОС. Позволяет серверу подключаться к массиву 3PAR по нескольким путям, распределять между ними нагрузку и обеспечивать высокую доступность.
    • Cluster Extension Software (CLX) – позволяет строить распределенные катастрофоустойчивые вычислительные кластеры на базе средств кластеризации Windows и репликации 3PAR Remote Copy.
    • Policy Server – устанавливается на отдельном сервере, позволяет задавать политики разрешения/запрета сервисных подключений к массиву 3PAR и подключений от массива во внешний Интернет. Также позволяет вести аудит отправки диагностических данных в службу поддержки HPE и действий в рамках разрешенных сервисных подключений.
  12. Дополнительные функции 3PAR OS:
    • 3PAR OS Administration Tools – средства управления 3PAR OS, включающие графический интерфейс InForm Management Console и интерфейс командной строки с поддержкой сценариев (скриптов) InForm Command Line Interface.
    • 3PAR Web Services API – программный интерфейс для возможности объединения средств управления 3PAR с уже имеющимися у заказчика системами администрирования.
    • Autonomic Groups – группы управления, позволяющие объединить объекты в системе 3PAR (такие как виртуальные домены) для упрощения настройки, сбора статистики и других действий.
    • Autonomic Rebalance – автоматическое перераспределение томов (LUN) для оптимального использования емкости при добавлении новых накопителей в массив.
    • Access Guard – настройка прав доступа на уровне тома (LUN) для конкретных узлов или через конкретные порты.
    • 3PAR LDAP – поддержка протокола доступа к службе каталогов LDAP (англ. Lightweight Directory Access Protocol). Позволяет связать систему учетных данных консоли управления 3PAR с развернутой в организации службой каталогов. Это упрощает процедуры аутентификации и авторизации (для доступа к консоли могут использоваться доменные учетные данные) и обеспечивает централизацию управления учетными записями.
    • RAID MP (Multi-Parity) – ускоренное создание и перестроение RAID 6. Служебные расчеты производятся микросхемами ASIC.
    • Full Copy – создание мгновенных копий (клонов) томов (LUN).
    • Scheduler – автоматизация процедур создания и удаления снимков Virtual Copy.
    • Adaptive Flash Cache – использование SSD накопителей в качестве дополнительной кэш-памяти.
    • Persistent Cache – защита содержимого кэша на запись в конфигурациях с 4 и более контроллерами. При отказе контроллера данные из его кэша моментально копируются в кэш других контроллеров. Это позволяет избежать существенного падения производительности.
    • Persistent Ports – смена портов, через которые идут подключения от серверов, в режиме реального времени без потери соединения с томом (LUN) и без остановки работы массива при обновлении ПО на контроллерах. Также автоматическая смена портов происходит в случае отсоединения кабеля или отказа коммутатора (на начало 2018 г., только для FC подключений).
    • Persistent Checksum – проверка целостности записываемых данных по технологии контрольных сумм стандарта T10.
    • Thin Technologies – набор технологий, обеспечивающих «тонкое»** выделение емкости, преобразование обычных томов в «тонкие» и возвращение использованного «тонкими» томами места в пул свободной емкости при удалении данных.

* КиБ – кибибайт, 1 КиБ равен 1024 байт

** Емкость динамически выделяется только под фактически записываемые данные

Каким образом реализован функционал репликации в СХД HPE 3PAR? Что такое RCFC, RCIP, FCIP, SLD?

Функционал репликации в массивах HPE 3PAR StoreServ носит название Remote Copy (RC). Поддерживаются следующие режимы репликации:

  • Синхронный (RPO=0);
  • Асинхронный периодический (минимальный RPO около 5 мин);
  • Асинхронный потоковый (RPO около 10 сек).

При асинхронном периодическом режиме для репликации используются мгновенные снимки (снапшоты) томов (LUN), создаваемые через заданный интервал времени. На удаленный массив передаются только новые блоки данных, содержащиеся в снимке по сравнению с предыдущим снимком. При асинхронном потоковом режиме новые блоки накапливаются в локальном массиве в течение небольшого периода времени и затем реплицируются на удаленный массив.

С точки зрения среды передачи для репликации поддерживаются следующие варианты:

  • Remote Copy over Fibre Channel (RCFC) – для репликации используются FC порты массива, данные передаются по FC каналу.
  • Remote Copy over Internet Protocol (RCIP) — для репликации используются встроенные IP порты массива (1 Гбит или 10 Гбит, в зависимости от модели массива), данные передаются по IP каналу.
  • Remote Copy over FCIP (Fibre Channel over IP) — для репликации используются FC порты массива, данные передаются по IP каналу. FCIP предполагает применение дополнительных устройств-преобразователей протоколов FC-IP.

С точки зрения схем, по которым происходит репликация (топологий) поддерживаются следующие варианты:

  • Один-к-одному – репликация выполняется только между двумя массивами.
  • Многие-ко-многим – N массивов могут реплицировать данные на другие M массивов. Репликация может происходить в обе стороны. Разные наборы томов (LUN) должны реплицироваться на разные массивы.

    Каким образом реализован функционал репликации в СХД HPE 3PAR? Что такое RCFC, RCIP, FCIP, SLD?

    Схема репликации Многие-ко-многим для 4 массивов. Каждый массив реплицирует данные на 4 других массива.

  • Synchronous Long Distance (SLD) – репликация одного и того же набора томов (LUN) может происходить с одного массива одновременно на два других массива. При этом на один массив выполняется синхронная репликация, а на другой – асинхронная периодическая, благодаря чему он может быть расположен на значительном расстоянии от первых двух. Кроме того, между двумя удаленными массивами также настроена асинхронная периодическая репликация, которая в штатном режиме находится в пассивном состоянии. При отказе основного массива она автоматически активируется, что позволяет скопировать недостающие данные со второго массива (на который шла синхронная репликация от основного) на третий. Данное решение устраняет недостаток синхронной репликации по обычной схеме «один-к-одному», когда из-за требований к каналу связи нельзя значительно отдалить массивы друг от друга, что создает риск их общей потери при масштабной катастрофе. Схема SLD благодаря наличию третьего удаленного массива позволяет обеспечить нулевой RPO при последовательном отказе первых двух массивов, либо небольшой RPO (в районе 5 мин) при их одновременном отказе.

    Каким образом реализован функционал репликации в СХД HPE 3PAR? Что такое RCFC, RCIP, FCIP, SLD?

    Схема репликации SLD

Репликация по указанным схемам может происходить между любыми моделями массивов 3PAR. Например, в рамках одной топологии можно использовать 3PAR 8200, 8450, 20850.

Каким образом реализован функционал репликации в СХД HPE 3PAR? Что такое RCFC, RCIP, FCIP, SLD?

В чем смысл технологии Network Partitioning (NPAR)?

Технология NPAR реализована на некоторых сетевых адаптерах для серверов HPE. Она позволяет разделить пропускную способность порта адаптера на 4 независимые партиции (физические PCI функции). Каждой физической функции назначается собственная полоса пропускания так, чтобы суммарная пропускная способность четырех партиций не превышала пропускную способность того порта, на котором они настроены. К примеру, для порта 10 Гбит/с можно создать партиции 5 Гбит/с, 2 Гбит/с, 1 Гбит/с и 2 Гбит/с.

В чем смысл технологии Network Partitioning (NPAR)?

Для ОС сервера и для подключенного сетевого оборудования каждая физическая функция представляется как отдельный физический порт. Технология NPAR обеспечивает более эффективное использование пропускной способности адаптеров, позволяя задействовать имеющуюся полосу пропускания для большего количества задач. В частности, это актуально в средах VMware, где рекомендуется использовать несколько физических портов под разные типы трафика (Service Console, VMkernel, VM Network).

Что такое NVMe? В чем его отличие от SATA и SAS?

NVMe (англ. Non-Volatile Memory Express) – протокол передачи данных для SSD накопителей, подразумевающий непосредственное подключение накопителя к шине PCIe*. Данный стандарт был разработан с целью преодоления ограничений, присущих интерфейсам SATA и SAS, которые ориентированы на работу с HDD и зачастую не позволяют раскрыть потенциал производительности SSD. Вследствие недостаточной пропускной способности и глубины очереди традиционные интерфейсы могут стать «узким местом» и причиной задержек между мощными вычислительными ресурсами и построенной на SSD подсистемой хранения.

Пропускная способность интерфейса NVMe зависит от количества используемых линий PCIe. Максимально может использоваться 16 линий, и при полосе пропускания 1 Гбит на линию для PCIe 3.0 пропускная способность интерфейса будет составлять 16 Гбит (против 6 Гбит для SATA и 12 Гбит для SAS). Кроме того, NVMe предусматривает одновременную организацию нескольких (до 65 000) очередей с глубиной до 65 000 команд (в отличие от SATA и SAS, где очередь только одна с 32 и 254 командами соответственно).

SSD накопители, работающие по протоколу NVMe, имеют несколько возможных форм-факторов и способов подключения. Во-первых, они могут быть выполнены в формате PCIe карты расширения и устанавливаться в стандартный слот PCIe.

 

Что такое NVMe? В чем его отличие от SATA и SAS?

NVMe SSD накопитель в формате карты расширения PCIe

Во-вторых, они могут иметь формат карты M.2 и устанавливаться в специальный слот M.2.

 

Что такое NVMe? В чем его отличие от SATA и SAS?

NVMe SSD накопитель в формате M.2


Что такое NVMe? В чем его отличие от SATA и SAS?

Разъем под M.2 NVMe SSD

В-третьих, они могут иметь форм-фактор SFF накопителя, устанавливаться в SFF корзину для накопителей и подключаться к райзер-плате PCIe (данный формат называется U.2).

 

Что такое NVMe? В чем его отличие от SATA и SAS?

NVMe SSD накопитель размером SFF в формате U.2

* PCIe (англ. Peripheral Component Interconnect Express) – высокоскоростная шина с последовательной передачей данных, используемая для подключения компонентов расширения к материнской плате.

Что такое Storage Class Memory? Что такое HPE 3PAR 3D Cache?

Storage Class Memory (память класса хранилища) – семейство технологий энергонезависимой памяти. К Storage Class Memory (SCM) относятся такие технологии, как магниторезистивная оперативная память (англ. Magnetoresistive Random-Access Memory, MRAM), резистивная память с произвольным доступом (англ. Resistive RAM, ReRAM), память на основе фазового перехода (англ. Phase Change Memory, PCM), 3D XPoint от Intel и Micron.

По производительности SCM в несколько раз превосходит стандартные SSD накопители и приближается к оперативной памяти (DRAM). Принципы ее архитектуры отличаются от принятых в классических SSD (NAND), благодаря чему SCM обеспечивает гораздо более низкие задержки и высокую износостойкость. Стоимость SCM решений выше, чем у обычных NAND SSD, но ниже, чем у оперативной памяти DRAM. Предполагается, что SCM устройства смогут устанавливаться в слоты для оперативной памяти DDR4, либо в слоты расширения PCIe и M.2. Во втором случае они будут работать по протоколу NVMe.

В настоящее время, различные производители работают над развитием и продвижением технологий SCM. Примерами конкретных реализаций служат мемристоры HPE, накопители Intel Optane (на основе технологии 3D XPoint), Micron QuantX (на основе технологии 3D XPoint) и Samsung Z-SSD.

Что такое Storage Class Memory? Что такое HPE 3PAR 3D Cache?

Intel Optane SSD

SCM решения могут использоваться для размещения наиболее критичных нагрузок в серверах, а также в качестве самого быстрого или кэширующего уровня в системах хранения. Последний подход был реализован HPE в СХД 3PAR StoreServ путем установки в контроллеры массива SSD Intel Optane. По результатам внутренних тестов вендора, это привело к снижению задержек на 50% и увеличению производительности в IOPS на 80% (использовалась двухконтроллерная модель 3PAR 20450 с восемью SSD 15,36 ТБ и одним Intel Optane в каждом контроллере). Данное решение получило название 3PAR 3D Cache. Ожидается, что коммерчески доступным оно станет после того, как Intel наладит производство и поставку SSD Optane в широких масштабах.

Какие основные преимущества дает использование контроллера беспроводной сети?

Контроллер беспроводной сети позволяет организовать централизованное управление точками доступа, в том числе, установленных в филиалах. Это позволяет:

  1. Упростить эксплуатацию беспроводной сети: очень просто добавлять новые точки доступа, вносить изменения, мониторить, выявлять неисправности. Все происходит из единой консоли. Не надо по десть раз настраивать одну и ту же функцию на всех точках доступа.
  2. Получить бесшовный роуминг — при переходе беспроводного абонента с одной точки доступа на другу связь не рвется.
  3. Отказоустойчивость за счет перераспределения мощности сигнала на точках доступа (механизм автоматического управления радио средой).
  4. Предотвращение влияния точек доступа друг на друга (механизм автоматического управления радио средой).
  5. Поиск нелегальных точек доступа в сети.
  6. Возможность на базе такого решения внедрения расширенных сервисов, например, определения местоположения беспроводного абонента.
  7. Гостевые сервисы.

Какие основные преимущества дает использование контроллера беспроводной сети?

Контроллер беспроводной сети Cisco WLC 3504

Контроллер беспроводной сети может быть выполнен в виде:

  • отдельного устройства (например, 2500, 3500, 5500, 7500 и пр.);
  • модуля в коммутатор 6500 (WiSM2);
  • виртуальной машины (vWLC), в том числе на базе модуля в маршрутизатор;
  • встроенного функционала в коммутатор (3650 и 3850);
  • на точке доступа (x800).
В чем ключевые особенности и преимущества использования стандарта 802.11ac? В чем отличие 802.11ac wave 1 от 802.11ac wave 2?

Стандарт 802.11ac работает в диапазоне 5ГГц, совместим со стандартом 802.11a/n. Теоретически, стандарт позволяет обеспечить скорость подключения до 6.7 Гбит/с.

Такое кардинальное увеличение скорости обеспечивается в основном за счет:

  • увеличения ширины канала – до 160 Мгц (вместо 40 в 802.11n);
  • увеличение числа пространственных потоков для передачи информации – до 8 (вместо 4 в 802.11n);
  • улучшенная модуляция, позволяющая передать больше информации в единицу времени (256QAM вместо 64QAM в 802.11n).

Также есть несколько ключевых улучшений в работе стандарта по сравнению с предшественниками. Это, например, формирование диаграммы направленности (Beamforming, аналог Cisco ClientLink), а также использование режима MU-MIMO. В классическом режиме MIMO (или SU-MIMO, поддерживается в 802.11n) точка доступа может использовать множественный прием-передачу (несколько антенн) и пространственное мультиплексирование (несколько независимых потоков данных) только для одного клиента в один момент времени. MU-MIMO позволяет обеспечить одновременную передачу нескольких потоков разным клиентам.

Все эти улучшения, а также использование более «широкого»(больше частот – больше каналов) и наименее «загруженного» диапазона 5 ГГц (в сравнении с 2.4 ГГц) делает стандарт 802.11ac наиболее перспективным для дальнейшего использования в современных беспроводных WiFi сетях.

Технически довольно сложно обеспечить переход на устройства нового стандарта с полным функционалом (да и не всегда удается реализовать все теоретические возможности стандарта), поэтому реализация обеспечивается в несколько этапов (или волн). Для устройств wave 1 (2013 год) характерно использование каналов до 80 Мгц, модуляции 256QAM, до 3х потоков SU-MIMO, что позволяет обеспечить скорость подключения до 1.3 Гбит/с. Для устройств wave 2 (2015 год) характерно увеличение ширины канала до 160 Мгц, использование MU-MIMO и до 4х пространственных потоков, что позволяет обеспечить скорость подключения до 3.47 Гбит/с.

Для оборудования Cisco, устройствами wave 1, например, являются точки доступа 1700/2700/3600(с доп. модулем)/3700/1570. Wave 2 устройствами являются точки доступа Cisco 1800/2800/3800.

Что такое Wi-Fi 6? В чем его отличие от других стандартов?

Что такое Wi-Fi 6? В чем его отличие от других стандартов?

Wi-Fi 6 – это программа сертификации устройств на соответствие новому стандарту беспроводной связи 802.11ax. То есть надпись на коробке «Wi-Fi 6 Certified» говорит о том, что устройство протестировано и поддерживает ключевые функции стандарта 802.11ax (те, что прописаны в сертификации). Сам стандарт должен быть опубликован в конце 2019 года. Новое цифровое обозначение более удобно для отображения «поколений» устройств. Для обозначения соответствия другим (предыдущим) стандартам-поколениям придумана аналогичная нумерация: 802.11n – Wi-Fi 4, 802.11ac – Wi-Fi 5. Например, по значку в интерфейсе можно сразу определить какое поколение Wi-Fi используется на устройстве.

Что такое Wi-Fi 6? В чем его отличие от других стандартов?

Далее мы используем обозначения сертификации (например, Wi-Fi 6) и стандарта (например,802.11ax) как синонимы, хотя это не совсем верно (устройства Wi-Fi 6 могут не поддерживать какие-то функции стандарта 802.11ax).

Стандарт 802.11ax похож на 802.11ac, но поддерживает несколько технологий и улучшений, в основном направленных на улучшение качества работы сети, её эффективность за счет одновременной работы с несколькими абонентами, более эффективного использования эфира.

Поддержка OFDMA (множественный доступ с ортогональным частотным разделением). Позволяет использовать полосу пропускания для передачи нескольким пользователям (разделив её на поднесущие для разных пользователей). Ранее канал передачи использовался только одним пользователем (OFDM). Режим MU-MIMO обеспечивал передачу нескольких потоков разным пользователям одновременно, то есть тоже решал задачу одновременной передачи информации, но другим способом. В Wi-Fi 6 обе технологии будут работать совместно.

Что такое Wi-Fi 6? В чем его отличие от других стандартов?

Модуляция 1024-QAM. Позволяет передать больше информации в единицу времени (то есть увеличивает пропускную способность сети).

Что такое Wi-Fi 6? В чем его отличие от других стандартов?

BSS Coloring. Позволяет более эффективно использовать среду передачи (передавать трафик одновременно с другими «соседними» точками доступа на канале).

TWT (target wakeup time). Экономия энергии для устройств IoT за счёт нового механизма «пробуждения» устройств. 

2.4 ГГц. В отличие от 802.11ac (Wi-Fi 5), который работает только в диапазоне 5ГГц, 802.11ax (Wi-Fi 6) поддерживает диапазон 2.4 ГГц. Стандарт полностью совместим с предыдущими стандартами – 802.11a/g/n/ac.

Важно. На сегодняшний день (июнь 2019) клиентских устройств с поддержкой Wi-Fi 6 нет, как нет и итоговой версии самого стандарта. Поэтому массовый переход на новый стандарт планируется не ранее чем через 2-3 года.

Вкратце, отличия  Wi-Fi 4, 5, 6 друг от друга по ключевым параметрам представлены в таблице.

Параметр Wi-Fi 4 Wi-Fi 5 Wi-Fi 6
Ширина канала (МГц) 20, 40 20, 40, 80, 80 + 80, 160 20, 40, 80, 80 + 80, 160
Частота 2.4 и 5 ГГц 5 ГГц 2.4 и 5 ГГц
Максимальная скорость подключения 150 Мбит\с 3.5 Гбит\с 9.6 Гбит\с
Модуляция 64-QAM 256-QAM 1024-QAM
Пространственные потоки 1 4 8
Стандарт IEEE 802.11n IEEE 802.11ac IEEE 802.11ax
В чем основные преимущества использования технологий CleanAir и ClientLink на оборудовании Cisco?

Технология Cisco CleanAir является программно-аппаратной реализацией. Ключевая особенность этой технологии состоит в способности обнаруживать и локализовать источники помех, способные повлиять на работоспособность беспроводной сети. В отличие от других систем обнаружения помех, технология CleanAir позволяет обнаруживать именно помехи, влияющие на работу WiFi, отделяя их от других сетевых помех. Таким образом точки доступа с поддержкой технологии CleanAir обеспечивают более надежную беспроводную связь, и могут быть использованы в условиях с более высокой вероятностью радиочастотной интерференции, то есть в условиях, где радиоканалы сильно загружены и имеется много источников помех (Bluetooth-устройства, микроволновые печи и т.д.).

При обнаружении помехи на определенной частоте, система автоматически переключает каналы. Технология Cisco CleanAir использует сбор и анализ данных для точного обнаружения и распознавания более 20 типов помех, меняя каналы только в тех случаях, когда она определяет, что помехи достаточно сильны, чтобы повлиять на работу сети. При смене каналов CleanAir сначала анализирует всю структуру сетевых каналов и только потом выбирает предпочтительный вариант смены каналов. Кроме того, технология увеличивает уровень безопасности беспроводной сети. Могут быть локализованы радиоустройства злоумышленников, работающих на нестандартных частотах, также, могут быть отслежены угрозы типа «отказ в обслуживании».

Технология Cisco ClientLink (текущая версия 4.0) позволяет повысить производительность всех мобильных устройств стандарта 802.11a/g/n/ac, работающих в одном, двух или трех пространственных потоках (от старших моделей ноутбуков, смартфонов и планшетных компьютеров до специфических отраслевых устройств и устаревшего беспроводного оборудования). Технология оптимизирует сигнал, транслируемый от точки к клиенту за счет проведения дополнительных вычислений и мониторинга сигнала для каждого клиента на приеме. В частности, точка доступа запоминает с какими характеристика пришёл сигнал на каждую из антенн от клиента (фаза и амплитуда) и далее использует полученные данные для формирования сигнала в обратную сторону, т.е. к клиенту (происходит формирование диаграммы направленности). В результате увеличивается площадь покрытия сети и решается проблема надежного подключения относительно "медленных" устройств, таких как планшетные компьютеры, в среде со слабым уровнем беспроводных сигналов. Также одним из ключевых плюсов использования технологии и её распространения является отсутствие каких-либо требований или дополнительных настроек на клиенте. То есть она работает для всех.

Как оборудование Cisco помогает бороться с помехами в беспроводной сети?

Указанный ниже функционал действует для диапазонов 2.4 и 5 ГГц, однако приведены примеры для 2.4 ГГц, как наиболее используемого и загруженного(в т.ч. не WiFi устройствами) диапазона. На качество работы беспроводной сети могут влиять различные устройства: другие точки доступа, устройства Bluetooth, микроволновые печи и пр.

Как известно, для диапазона 2,4 ГГц существует всего три непересекающихся канала. Таким образом, при большой плотности установки точек доступа велика вероятность взаимного влияния друг на друга. Также, диапазон 2.4 ГГц часто «загружен» другими точками доступа.

Оптимизировать работу сети позволяют встроенные средства мониторинга и управления радиоресурсами (RRM, Radio Resource Management) на контроллере. Механизм позволяет осуществлять управление мощностью точек доступа, распределение каналов, мониторинг загрузки каналов, и др, и автоматически регулировать параметры радио на точках доступа, в зависимости от изменений среды.

Мониторинг работы соседних сетей осуществляется с помощью технологии обнаружения «вражеских» точек доступа (Rogue Detection). В зависимости от степени «легитимности» устройства, его можно оставить или попробовать изолировать.

Интерференция.

Устройства Bluetooth работают на тех же частотах, что и беспроводные сети. На рисунке представлена спектрограмма для диапазона 2.4 ГГц реально действующей сети, на которой видно мозаичное заполнение всех каналов помехами от устройств Bluetooth. Таким помехи приводят к существенному падению скорости передачи трафика при небольшом удалении от точки доступа.

Как оборудование Cisco помогает бороться с помехами в беспроводной сети?

Спектрограмма для диапазона 2,4 ГГц.

Технология CleanAir позволяет обнаружить соседние источники интерференции, определить их тип и минимизировать их влияние на беспроводную сеть.

Также, любая точка с поддержкой CleanAir может выступать в качестве анализатора спектра, при использовании ПО Cisco Spectrum Expert.

В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой?
В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой? В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой? В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой?
Точки доступа Cisco Catalyst 9100

Точки доступа Catalyst 9115, 9117, 9120,9130 – первая линия точек доступа с поддержкой стандарта Wi-Fi 6. Точки доступа являются частью архитектуры Cisco DNA (серия устройств 9000), однако могут использоваться и без контроллера DNA.

Точки доступа поддерживаются на всех актуальных контроллерах (3504, 5520, 8540, vWLC, 9800). Планируется поддержка Mobility Express.

Все точки имеют гибкий режим работы питания и поддерживают стандарты PoE (802.3af) (в ограниченном режиме) и выше. Разъем для подключения блока питания отсутствует.

Модели Catalyst 9115 Catalyst 9117 Catalyst 9120 Catalyst 9130
Стандарты 802.11a/b/g/n/ac/ax 802.11a/b/g/n/ac/ax 802.11a/b/g/n/ac/ax 802.11a/b/g/n/ac/ax
Антенны Встроенные, внешние Встроенные Встроенные, внешние Встроенные, внешние
OFDMA + + + +
MIMO MU-MIMO 4x4:4
(4 пространственных потока)
2.4 ГГц MU-MIMO 4x4:4
5 ГГц MU-MIMO 8x8:8
MU-MIMO 4x4:4 2.4 ГГц MU-MIMO 4x4:4
5 ГГц
1xMU-MIMO 8x8:8 или
2xMU-MIMO 4x4:4
Bluetooth Low Energy (BLE) + + + +
Cisco RF ASIC* - - + +
Flexible Radio** - - + +
Embedded Wireless Controller + + + +
Uplink mGig (multigigabit) 2.5 Гбит/с mGig 5 Гбит/с mGig 2.5 Гбит/с mGig 5 Гбит/с
Питание PoE+ 802.3at
PoE 802.3af
PoE 802.3bt
PoE+ 802.3at
PoE 802.3af
PoE 802.3bt
PoE+ 802.3at
PoE 802.3af
PoE 802.3bt
PoE+ 802.3at
PoE 802.3af
Блок питания - - - -
Температурный режим 0-50C – встроенные антенны
-20-50C – внешние антенны
0-50C – встроенные антенны 0-50C – встроенные антенны
-20-50C – внешние антенны
0-50C – встроенные антенны
-20-50C – внешние антенны

*чип (Cisco RF ASIC) для работы CleanAir и доп. функций мониторинга сети
**Flexible Radio Assignment (FRA) - возможность одновременной работы двух радиомодулей в диапазоне 5 ГГц

В чем отличие точек доступа x700 и x800?

Основным отличием серии х800 является поддержка стандарта 802.11ac wave2, работающем в диапазоне 5ГГц. Точки доступа поддерживают технологию многопользовательской одновременной передачи (MU-MIMO), а также каналы шириной до 160 МГц (в 2800/3800/4800 серии).

Точки доступа 1815/1830/1850/2800/3800/4800 поддерживают технологию Cisco Mobility Express – интегрированный в точку доступа контроллер, с подключением до 50 (1815/1830/1850) или до 100 (2800/3800/4800) точек доступа.

Точки доступа 2800/3800/4800 используют выделенный процессор (на точке доступа) и осуществляют локально анализ трафика по приложениям (Application Visibility and Control). Это позволяет снизить нагрузку на контроллер беспроводной сети.

Также, в точках доступа 2800/3800/4800 серии появилась возможность использовать оба радиомодуля в одном диапазоне 5 ГГц (на разных каналах). Таким образом можно организовать работу сети 802.11a/n/ac с разделением на ячейки (микро, макро), максимально утилизируя ресурсы точки доступа, использовав возможности стандарта 802.11ac. Для точек доступа с внешними антеннами функция доступна при использовании дополнительно переходника Smart Antenna Connector.

Стоит отдельно отметить точки доступа 3800/4800. Данная линейка точек доступа поддерживает технологию Multigigabit Ethernet (IEEE 802.3bz) и позволяет подключать точку доступа к сети по обычному медному кабелю (кат. 5е, 6, 6а) на скорости до 5 Гбит/с и добиться высокой производительности при использовании стандарта 802.11ac. Для точек 2800 можно использовать 2 порта Gigabit Ethernet, настроив агрегацию. Также на точке доступа 3800 есть порт для подключения доп. модуля (например, мониторинг, определение местоположения). На точках доступа 4800 есть встроенный дополнительный модуль Bluetooth Low Energy (BLE) и модуль Hyperlocation для работы сервисов определения местоположения.

В чем отличие точек доступа х800 между собой?
Модели Aironet 1815* Aironet 1830 Aironet 1840 Aironet 1850
Стандарты 802.11a/b/g/n/ac 802.11a/b/g/n/ac 802.11a/b/g/n/ac 802.11a/b/g/n/ac
Антенны Встроенные Встроенные Встроенные Встроенные, внешние
MIMO MU-MIMO 3x3:2
(2 пространственных потока)
MU-MIMO 3x3:2 MU-MIMO 4x4:4 MU-MIMO 4x4:3
CleanAir, ClientLink - - - -
Mobility Express + (до 50ТД) + (до 50ТД) + (до 50ТД) + (до 50ТД)
Uplink 3х1GE (1 порт с PoE) для 1815t
1х1GE для 1815i, 1815w, 1815m
1х1GE 2х1GE 2х1GE
Питание PoE+ 802.3at
PoE 802.3af
PoE+ 802.3at
PoE 802.3af
PoE+ 802.3at
PoE 802.3af
UPOE
PoE+ 802.3at
PoE 802.3af
Блок питания - AIR-PWR-C - AIR-PWR-C
Температурный режим 0-40C 0-40C 0-40C 0-40C – встроенные антенны
-20-50C – внешние антенны

* имеют настольное (1815t) или настенное (1815w) исполнение

* точка доступа 1815m имеет большую мощность встроенных антенн, по сравнению с 1815i, для обеспечения большего покрытия

Модели Aironet 2800 Aironet 3800 Aironet 4800
Стандарты 802.11a/b/g/n/ac 802.11a/b/g/n/ac 802.11a/b/g/n/ac
Антенны Встроенные, внешние Встроенные, внешние Встроенные
MIMO MU-MIMO 4x4:3 (3 пространственных потока) MU-MIMO 4x4:3 MU-MIMO 4x4:3
Bluetooth Low Energy (BLE) + + +
Flexible Radio + + +
CleanAir, ClientLink + + +
Hyperlocation* - - + (встроенная антенна Hyperlocation)
Mobility Express + (до 100ТД) + (до 100ТД) + (до 100ТД)
Uplink 2х1GE 1 1GE, 1 mGig (multigigabit) (5 Гбит/с) 1 1GE, 1 mGig (5 Гбит/с)
Питание 802.3at PoE+ 802.3at PoE+
Universal PoE
802.3at PoE+
Universal PoE
Блок питания - AIR- PWR-50 AIR- PWR-50
Температурный режим 0 to 40C – встроенные антенны (2802i)
-20 to 50C – внешние антенны (2802e)
0 to 40C – встроенные антенны (3802i)
-20 to 50C – внешние антенны (3802e)
0 to 40C

* функционал позиционирования с высокой точностью (Hyperlocation)

Есть ли у Cisco всепогодные точки доступа корпоративного класса?

У компании Cisco в корпоративном сегменте есть защищенные точки доступа в металлическом корпусе для сложных условий внешней среды (складские помещения, заводы). Эти точки доступа имеют диапазон рабочих температур от -20° до +55° С. Однако, они не имеют защиту от воды (конденсат, дождь), поэтому должны использоваться с защитным контейнером при установке на улице.

В сегменте Outdoor (всепогодный Wi-Fi) представлены в основном дорогостоящие решения с функционалом для провайдеров связи (серия 15x0). Для корпоративного сегмента предлагается использовать компактные точки доступа для улицы - Cisco Aironet 1530, 1540, 1560 (с поддержкой 802.11acW2) Outdoor Access Point. Их можно использовать в компании в качестве всепогодного решения. Для ввоза этих моделей требуется получать дополнительное разрешение на ввоз оборудования.

Какие точки доступа Cisco производят в России?

Локальное производство налажено для точек доступа Cisco Aironet серии 1700, 2700, 3700, 2800, 3800.

Что означает R в партномере точки доступа AIR-AP1832I-R-K9?

Для стран существуют различные требования, предъявляемые при использовании радиочастот. В России использование радиочастот Wi-Fi контролируется Государственной комиссии по радиочастотам (ГКРЧ).

В партномерах точек доступа Cisco на месте литеры R (в данном случае R — Russian Federation) стоит обозначение регуляторного домена (regulatory domain). Указанные точки доступа полностью отвечают нормативным требованиям Российской Федерации, а значит заказ и ввоз точек доступа AIR-AP1832I-R-K9 на территорию РФ разрешен и разрешение подтверждено необходимой лицензией. Точки, производимые локально, также имеют литеру R.

Для диапазона 5 ГГц (802.11a/n/ac) на точках доступа Cisco домена R разрешены к использованию диапазоны частот 5150-5350,5470-5850 (каналы 34-165).

Для диапазона 2,4 ГГц (802.11g/n) на точках доступа Cisco домена R разрешены к использованию диапазоны частот 2400-2472 (каналы 1-13).

Какие варианты питания точек доступа Cisco существуют?

В комплект поставки точек доступа блок питания не входит.

Доступны следующие варианты питания точек доступа:

  • С помощью блока питания.
  • С помошью инжектора питания.
  • С помощью коммутатора с поддержкой технологии подачи питания по Ethernet (PoE,PoE+,EPoE,UPoE).

Варианты питания по моделям в общем случае представлено в таблице. Потребление увеличится при использовании на точке доступа дополнительных функций (доп. модуль, порт USB, подача питания на доп. порт Ethernet на точке).

  1700 2700 3700 (без модуля) 1810 1830 1850 2800 3800
Потребление (Вт) 15 15 16,1 15,4 (без PoE out) 16 20,9 26 (без USB) 30 (без USB)
802.3af PoE (до 15.4 Вт) + +(3x3:3 - 5Ггц,
2x2:2 - 2.4Ггц)
+(3x3:3) + + +(2x3:2 2.4ГГц) - -
802.3at PoE+ (до 30Вт) + +(3x4:3) +(4x4:3) + + + + +
Cisco UPOE (до 60 Вт) + + + + +   + +
Ethernet инжектор питания AIR- PWRINJ4
AIR- PWRINJ5   
AIR- PWRINJ4    AIR- PWRINJ4    AIR -PWRINJ5
AIR -PWRINJ6   
AIR- PWRINJ5    AIR- PWRINJ4
AIR- PWRINJ5   
AIR- PWRINJ6 AIR- PWRINJ6   
Блок питания AIR- PWR-B AIR- PWR-B AIR- PWR-B AIR- PWR-D AIR- PWR-C AIR- PWR-C отсутствует разъем AIR- PWR-50
Чем отличаются друг от друга контроллеры серий 2500, 3500, 5500, vWLC?
  2500 3500 5508 5520 vWLC
Форм-фактор Физическое устройство Виртуальное устройство
Кол-во обслуживаемых клиентов 1000 3000 7000 20000 6000
Кол-во точек доступа 75 150 500 1500 200
Производительность 1 Gbps 4 Gbps 8 Gbps 20 Gbps 500 Mbps
Кол-во WLAN 16 16 512 512 512

Следует отметить, что все контроллеры гибко лицензируется по количеству точек доступа. Например, можно приобрести контролер 2504 на 5 точек доступа, и далее в процессе эксплуатации докупать лицензии, которые увеличивают количество поддерживаемых точек доступа с шагом 1, 5 или 25 точек доступа.

Отличия по функциональным возможностям:

  • Виртуальный контроллер vWLC поддерживает подключение точек доступа только в режиме FlexConnect (локальная коммутация трафика или на контроллере), не поддерживаются режимы Local и Mesh.
  • Виртуальный контроллер vWLC - отсутствует поддержка технологии Application Visibility and Control (AVC) позволяющей осуществлять мониторинг, контроль и приоритезацию трафика по приложениям.
  • Виртуальный контроллер vWLC не поддерживает проводной гостевой доступ. Для некоторых предприятий важно иметь возможность предоставления контролируемого Интернет-доступа для клиентов, партнёров и консультантов компании. При этом доступ должен отвечать требованиям безопасности – гости должны иметь ограниченный и контролируемый доступ к ресурсам компании. Доступ организуется следующим образом: коммутатор доступа направляет трафик от гостей на WLC. WLC передаёт необходимые настройки гостевому оборудованию (IP-адрес, DNS и т.д.) для предоставления Интернет-доступа и проводит процедуру Web-аутентификации пользователя.
  • WLC 2500 не поддерживает ограничение скорости (bandwidth contract). Контроллеры серии 5500 предоставляют возможность ограничить полосу пропускания для каждого пользователя.
  • WLC 2500 и vWLC не поддерживают service port. Нет возможности выделить отдельный физический порт для управления устройством.
Какие варианты резервирования контроллеров серии 2500, 3500, 5500, 7500, 8500, vWLC существуют?

Для указанных контроллеров существуют следующие типы резервирования:

  1. N+1
    Описание работы: на контроллере для точек доступа указывается первичный, вторичный и третичный контроллеры. В случае отказа основного контроллера, точка доступа регистрируется на вторичном контроллере.
    Время переключения: переключение занимает десятки секунд.
    Совместимость: для резервирования могут использоваться разные модели контроллеров. Например, первичный 5500, вторичный 2500.
    Поддержка: данный тип резервирования поддерживается на всех типах контроллеров.
  2. Stateful Switchover (SSO)
    Описание работы: два контроллера образуют отказоустойчивую пару Active-Standby с репликацией конфигурации и состояния (точки доступа, клиенты, ключи и т.п.) В случае отказа активного контроллера, точка доступа переключается на резервный контроллер с сохранением состояния. Повторная аутентификация клиента не требуется (для ПО версии 7.5 и выше).
    Время переключения: переключение занимает менее секунды
    Совместимость: для формирования отказоустойчивой пары требуются контроллеры одной модели с одинаковым ПО.
    Поддержка: из указанных контроллеров, данный тип резервирования поддерживается на 3500, 5500, 7500, 8500.

С точки зрения лицензирования, для заказа в качестве резервного контроллера часто используется отдельный партномер (например, AIR-CT2504-HA-K9, AIR-CT5508-HA-K9), не имеющий лицензий на точки доступа. Данный контроллер используется только для резервного подключения точек в случае отказа основного контроллера в одном из указанных вариантов резервирования. При этом, например, для контроллеров 3500, 5520 такого парт-номера не существует и покупается контроллер без лицензий (AIR-CT5520-K9, AIR-CT3504-K9).

Режимы резервирования можно использовать совместно. Контроллер НА (например, AIR-CT2504-HA-K9, AIR-CT5508-HA-K9) в режиме N+1 можно использовать для резервирования нескольких контроллеров.

Будет ли работать автономная точка доступа с контроллером?

Все корпоративные точки доступа Cisco поддерживают как работу в автономном режиме, так и работу в «облегченном» режиме с контроллером. Для этого необходимо только установить на точку доступа необходимое ПО (требуется сервисный контракт для скачивания).

Контроллер поддерживает работу точек доступа только в локальной сети?

Контроллеры беспроводной сети поддерживают как локальные точки доступа (режим local, весь трафик идет через контроллер), так и точки доступа в удаленных сетях(например, филиал). Подключив точку доступа в удаленном офисе в режиме flexconnect, можно выбрать различные режимы работы(например, локальная коммутация трафика, централизованная аутентификация пользователей и т.п.)

Почему после обновления ПО контроллера точки доступа не могут зарегистрироваться на контроллере?

Перед обновлением рекомендуется изучить Release Notes для планируемого к установке ПО, либо проверить по таблице совместимости. Например, в ПО 8.4.100.0 не поддерживаются точки доступа серии Cisco Aironet 600, 1550, 1040, 1140, 1260.

Можно ли подключить к контроллеру беспроводной сети точку доступа, встроенную в маршрутизаторы серии 860, 880, 890?

Да, точки доступа, встроенные в маршрутизаторы 860, 880, 890 (AP801, AP802) можно подключить к контроллеру.

Какие функции поддерживаются в Mobility Express?

По умолчанию архитектура Mobility Express предполагает работу точек доступа в режиме «Connected, Local Switching». Коммутация трафика происходит локально на точке доступа (Local Switching), а аутентификация происходит централизованно на точке с функцией контроллера беспроводной сети (Master-AP). Такой режим работы практически полностью совпадает с FlexConnect в архитектуре с выделенным контроллером (режим Central Auth, Local Switching). В случае, если по какой-то причине контроллер становится недоступен, точка доступа переходит в режим «Standalone, Local Switching», в котором некоторые функции не работают (это логично, ведь контроллер не доступен).

Узнать какие функции поддерживаются в Mobility Express и в каких режимах они работают можно в следующем документе (для ПО версии 8.5.100).

Какие точки доступа поддерживают работу в режиме Cisco Mobility Express?

В качестве управляющей (Master) точки доступа могут выступать Cisco Aironet 1540, 1560, 1815, 1830, 1850, 2800, 3800, 4800. В качестве управляемой (кроме уже указанных моделей) могут использоваться точки доступа Cisco Aironet 700i, 700w, 1600, 1700, 1810W, 2600, 2700, 3500, 3600, 3700.

Могу ли я подключить точку доступа с поддержкой Mobility Express к полноценному контроллеру? Можно ли установить на ТД с Mobility Express «автономное» ПО?

Любую точку доступа с ПО ME можно подключить к контроллеру. Для этого достаточно перевести точку доступа в соответствующий режим с помощью команды ap-type capwap. «Перепрошивка» точки доступа в данном случае не требуется, однако, существует возможность заказа\установки ТД с «облегченным» ПО (только для работы с контроллером).

В чем отличие точек доступа Cisco Aironet 1810/1810W?

Точки доступа Cisco серии 1810 - это компактные двухдиапазонные точки доступа стандарта 802.11ac Wave 2, предназначенные для небольших офисов, подключения удаленных сотрудников, установки в гостиницах, жилых помещениях и др. Точки доступа имеют интегрированные антенны, поддерживают технологию MU-MIMO 2х2 с двумя пространственными потоками, каналы до 80 МГц (867 Мбит/с для 802.11ac). Точки доступа имеют один 1 Гбит/с аплинк порт и три LAN порта 1 Гбит/с (1 с PoE). Поддерживается питание по Ethernet 802.3af/at, инжекторы AIR-PWRINJ5, AIR-PWRINJ6, блок питания AIR-PWR-D.

Точки доступа 1810 Office Extend:

  • установка на стол (подставка в комплекте);
  • поддерживают шифрование данных в канале между точкой доступа и контроллером (DTLS) для разворачивания корпоративной беспроводной сети для мобильных сотрудников;
  • порты Ethernet могут использоваться для подключения к корпоративной сети.

Точки доступа 1810w:

  • различные варианты монтажа (на стену\стол);
  • модуль Bluetooth 4.1 BLE для внедрения дополнительных сервисов.
Поддерживают ли контроллеры предыдущего поколения (4400,2100) новые точки доступа?

К сожалению, последняя версия ПО, которую можно установить на контроллеры 2100 и 4400 7.0.240.0. В этой версии точки доступа 1600, 2600, 3600 не поддерживаются.

В чем отличие точек доступа 700 и 1600 между собой?

Точки доступа 1600 обеспечивают работу в режиме 3 х 3 MIMO с двумя пространственными потоками (до 300 Мбит/с). Поддерживается технология ClientLink 2.0 (до 32 клиентов на радио) Поддержка технологии CleanAir Express заявлена в будущем. Имеет две модификации: 1600i – для офисных помещений, с интегрированными антеннами (3 шт.) и 1600e – для сложных условий внешней среды (складские помещения, заводы), с внешними антеннами.

Точки доступа Aironet 700 офисного исполнения и выпускаются только с интегрированными антеннами (2 шт.). Обеспечивают работу в режиме 2 х 2 MIMO с двумя пространственными потоками (до 300 Мбит/с). Не поддерживают технологии ClientLink и CleanAir. Также, на текущий момент (март 2014), точки доступа 700 серии не поддерживаются для построения сети по технологии Converged Access (контроллеры на базе коммутаторов 3650, 3850 и др.).

Также, хотелось бы отметить, что обе линейки поддерживают такие технологии как BandSelect, VideoStream. Каждая из точек выпускается только с двумя радиомодулями (2.4ГГц и 5ГГц). Поставляются в автономном и облегченном (для работы с беспроводным контроллером) вариантах.

В чем отличие точек доступа x600 и x700?

Линейки точек доступа x600/ x700 состоят из трёх серий 1600/1700, 2600/2700 и 3600/3700. Точки доступа x700 пришли на смену x600.

Точки доступа Cisco Aironet 1600 - это начальная линейка точек доступа 802.11n второго поколения. Точки доступа 1600 обеспечивают работу в режиме 3 х 3 MIMO с двумя пространственными потоками (до 300 Мбит/с). Поддержка технологии CleanAir Express.

Точки доступа Cisco Aironet 2600 обеспечивают помехоустойчивое, высокоскоростное подключение и оптимизированы для концепции BYOD (Bring Your Own Device, принеси собственное устройство). Aironet 2600 обеспечивают работу в режиме 3 х 4 MIMO с тремя пространственными потоками (до 450 Мбит/с). Точки доступа поддерживают технологию CleanAir.

Также, хотелось бы отметить, что обе линейки поддерживают такие технологии как ClientLink 2.0, BandSelect, VideoStream. Каждая из линеек имеет две модификации: 1600i, 2600i – для офисных помещений, с интегрированными антеннами и 1600e, 2600e – для сложных условий внешней среды (складские помещения, заводы), с внешними антеннами. Каждая из точек выпускается только с двумя радиомодулями (2.4ГГц и 5ГГц), точки с внешними антеннами рассчитаны на использование двухдиапазонных антенн.

Cisco Aironet 3600 поддерживает 4x4 MIMO с тремя пространственными потоками (до 450 Мбит/с). Поддержка технологии ClientLink (версия 2.0). Cisco Aironet 3600 оборудована функцией модульного расширения. Это позволяет продлить жизненный цикл точки доступа и иметь возможность устанавливать модули по мере необходимости. Один из таких модулей – Security Monitor Module позволяет точке доступа, на которой установлен этот модуль, одновременно работать в режиме wIPS MM и передавать клиентский трафик даже при полной загрузке канала. Вторым модулем расширения для Aironet 3600 является радиомодуль с поддержкой 802.11ac. Это новый стандарт беспроводных сетей со скоростью подключения до 1.3 Gbit/s. Также доступен модуль Cisco 3G Small Cell Module (позволяет строить 3G сети внутри компании).

Главное отличие новой серии х700 это поддержка стандарта 802.11ac wave1 (до 867 Мбит/с для 1700 и до 1.3 Гбит/с для 2700/3700), работающем в диапазоне 5ГГц. Остальные технологии также доработаны для поддержки нового стандарта – это ClientLink 3.0 и Cleanair 2.0. Поддержка нового стандарта, оптимизация указанных технологий и работы роуминга составляют технологию Cisco High Density Experience (HDX) для высокоскоростных сетей с высокой плотностью клиентов (HDX не поддерживается на точках 1700, нет технологии ClientLink, есть поддержка только CleanAir Express).

В остальном, по ключевым техническим параметрам серии точек доступа схожи:

  • Передача х Получение:Пространственные потоки (MIMO):
    1600/1700 - 3 x 3:2
    2600/2700 - 3 x 4:3
    3600/3700 - 4 x 4:3
  • Варианты исполнения с интегрированными (есть небольшие отличия в мощности) и внешними антеннами (кроме 1700 – только встроенные антенны, внешние антенны обратно совместимы).
  • Обратная совместимость с предыдущими стандартами.

В дальнейшем Cisco обещает для точек доступа 3600/3700 выпустить модуль с поддержкой стандарта 802.11ac Wave 2 (более 1,3 Гбит/с).

Так же как и 1600/2600 точки доступа 2700/3700 могут быть как со встроенными антеннами, так и с внешними.

Какие основные типы серверов производятся компанией HPE? Какие обозначения для них приняты?

Компания HPE производит множество разных видов и продуктовых серий серверов, предназначенных для различных бюджетов, задач, рабочих нагрузок и категорий заказчиков. По конструктивному исполнению и архитектуре можно выделить пять основных типов серверного оборудования:

  • Серверы для установки в стойку
  • Башенные серверы (в форм-факторе системного блока)
  • Блейд-серверы (для установки в блейд-систему, объединяющую серверы с модулями коммутации, хранения данных и управления в едином шасси)
  • Конвергентные и компонуемые системы (данные решения аналогичны традиционным блейд-системам, но, как правило, включают также предустановленное ПО, разрабатываются под конкретные задачи, такие как виртуализация, поддерживают большие объемы хранилища и широкие возможности масштабирования)
  • Специализированные серверы (не относящиеся к предыдущим типам, имеют особый форм-фактор и назначение – например, это компактные серверы HPE Edgeline, используемые в рамках промышленных систем на базе «Интернета вещей»)

К каждому из указанных типов относятся различные семейства серверов. Семейство – набор моделей серверов сходной организации, архитектуры и назначения внутри каждого из основных типов. В некоторые семейства входит только одна модель. Например, к стоечным серверам относятся семейства ProLiant DL Gen.9/Gen.10, к башенным – ProLiant ML Gen.9/Gen.10 и ProLiant MicroServer Gen.10, к блейд-серверам – ProLiant BL Gen.9/Gen.10 и Integrity BL i, к конвергентным и компонуемым системам – ConvergedSystem, Hyper Converged, SimpliVity, Synergy.

В России у СМБ и корпоративных заказчиков наибольшим спросом пользуются серверы семейств ProLiant Gen.9 и Gen.10 (9го и 10го поколения) DL, ML, BL. Данные семейства имеют небольшую в сравнении с другими серверными решениями HPE цену, предлагают широкий выбор моделей в пределах каждого семейства (от самых бюджетных до высокопроизводительных). Серверы указанных семейств могут использоваться для всех основных ИТ-задач (видеонаблюдение, почта, телефония, базы данных, виртуализация), отличаются большой гибкостью конфигураций, поддерживают все необходимые комплектующие и горячую замену большинства компонентов.

  • DL (англ. Density Line) – серверы, оптимизированные для размещения в стойке (стоечные)
  • ML (англ. Maximized for Internal Expansion Line) – серверы, оптимизированные для расширения (башенные)
  • BL (англ. Blade Line) – серверы для блейд-систем (блейд-серверы)

Семейства ProLiant Gen.9/Gen.10 DL и ML дополнительно подразделяются на линейки, исходя из ценового сегмента и уровня производительности серверов. Принадлежность к той или иной линейке обозначается числом после названия семейства. Каждая линейка включает одну-три модели, наиболее схожих по цене, функциональным возможностям и поддержке комплектующих. Линейки обозначаются круглым десятком или сотней (10я, 100я, 300я, 500я), конкретные модели – числом в рамках показателя своей линейки (DL20 принадлежит 10й линейке, DL360 – 300й и т.д.).

Семейства DL и ML состоят из следующих линеек и моделей:

  ProLiant DL Gen.9 ProLiant ML Gen.9
Линейка 10я 100я 300я 500я 10я 100я 300я
Модели в рамках линейки DL20
DL60
DL80
DL120
DL160
DL180
DL360
DL380
DL560
DL580
ML10
ML30
ML110
ML150
ML350

 

  ProLiant DL Gen.10 ProLiant ML Gen.10
Линейка 10я 300я 500я 10я 100я 300я
Модели в рамках линейки DL20* DL360
DL385
DL380
DL560
DL580
ML30* ML110 ML350

*ожидается летом 2018 года

Семейство ProLiant BL Gen.9 включает три модели: BL460c, BL660c и WS460c Graphics. Семейство ProLiant BL Gen.10 включает всего одну модель: BL460c.

Кроме того, в качестве наиболее бюджетного решения можно рассмотреть ProLiant MicroServer Gen.10 – башенный сервер малого форм-фактора с 1 процессором, стоимостью порядка 30 тыс. руб

Существует два разных решения по IP-телефонии на базе CUCM и CUCMe. Каковы основные различия между решениями?
  1. Решение на базе CUCM – это решение на базе виртуальной платформы WMware, запущенной на сервере (например, на базе Cisco UCS). Данное решение позволяет создавать отказоустойчивую кластерную систему с распределением сервисов по различным серверам для разделения нагрузки. Решение на базе CUCME – это решение на базе маршрутизатора. Продукты компании Cisco позволяют использовать один маршрутизатор одновременно для различных задач, например, CUCME, firewall, VPN и т.д.
  2. Кластер CUCM позволяет поддерживать до 40000 абонентских устройств, CUCMe может поддерживать максимум 450 абонентских устройств.
  3. При организации IP-телефонии на базе CUCM Вы получите решение с кластером CUCM в центральном офисе и голосовыми шлюзами в филиалах, позволяющее централизованно управлять всем оборудованием, гибкий номерной план и политики управления вызовами. При выборе в качестве IP-ATC CUCMe Вы получаете систему с децентрализованным управлением (в каждом офисе будет своя АТС);
  4. При организации IP-телефонии на базе CUCM Вы получите решение с большими возможностями по резервированию. Голосовые шлюзы в филиалах с функционалом SRST при потери связи с кластером CUCM обеспечат временную регистрацию абонентов и предоставят базовый функционал телефонии;
  5. Решение на базе CUCM отличается более высоким уровнем модульности и способности к масштабированию, чем решение на базе CUCMe.

Существует два разных решения по IP-телефонии на базе CUCM и CUCMe. Каковы основные различия между решениями?

Что такое поколение серверов? Какое поколение серверов HPE является актуальным на текущий момент?

В вычислительной технике, поколение (англ. generation) оборудования обозначает тот или иной важный этап в его развитии, на котором используются свои определенные архитектурные подходы, принципы, стандарты и технологии. Каждое следующее поколение, как правило, сопряжено с серьезными технологическими улучшениями и инновациями. Они поднимают производительность и эффективность оборудования на новый уровень, изменяют принципы его работы, добавляют новые функции и сокращают стоимость изготовления.

Существует множество классификаций различных типов оборудования по поколениям, среди которых встречаются как общепринятые, так и частные (введенные каким-либо производителем только для собственных продуктовых линеек).

Общепринятым может считаться широко известное разделение истории развития компьютеров на 4 поколения. Каждое из них соответствует ключевым архитектурным решениям и технологиям, по которым компьютеры проектировались, организовывались и производились. Так, в компьютерах 1го поколения использовались электронные лампы и магнитные барабаны, во 2м поколении применялись транзисторы, 3е поколение строилось на интегральных микросхемах, а нынешнее 4е основано на работе микропроцессоров (ЦПУ).

Компания HPE использует классификацию по поколениям для своих серверов, систем хранения и сетевого оборудования. Каждая конкретная классификация охватывает определенный тип оборудования (например, серверы) и определенное семейство, либо совокупность семейств данного типа.

Так, серверы семейств ProLiant (DL, ML, BL и т.д.) подразделяются на 10 поколений, что отражает историю их развития. С каждым следующим поколением вносились существенные изменения и улучшения. В серверах использовались все более мощные процессоры, более быстрая память, более производительные контроллеры, росли максимальные объемы памяти и дисковой подсистемы, увеличивались скорости внутренних и сетевых интерфейсов. С новыми поколениями добавлялись и новые функциональные возможности, поддерживаемые технологии, виды комплектующих, версии прошивок, а также изменялась структура продуктовых линеек и названия моделей. Самым актуальным для ProLiant на текущий момент является 10е поколение (англ. Gen.10); в продаже также остаются модели 9го поколения (англ. Gen.9). Все серверы ProLiant ниже 9го поколения сняты с производства и официально более не поставляются.

Какова схема лицензирования CUCMe (версии 12.0 и выше)?

На маршрутизаторе должна быть установлена лицензия UC (Unified Communications) для активации функций телефонии. Парт номер выглядит следующим образом (пример для ISR 4321): SL-4320-UC-K9.

Модель лицензирование CUCMe с версии 12.0 претерпела изменения. Она включает в себя два типа лицензий: лицензия на функционал и лицензии на пользователей.

Лицензия на функционал FL-CME означает, что на маршрутизаторе будет использоваться функционал Cisco Unified Communications Manager Express. Данная позиция стоит ноль.

Лицензия на пользователя (CME-UL) – это Smart Account лицензия, дающая право на использование одним абонентом любого телефона при работе с CUCMе. Таким образом с версии 12.0 не важно какой тип телефона используется пользователем, схема лицензирования стала универсальной.

В чем основные отличия между линейками стоечных серверов семейства ProLiant DL Gen.9?

Семейство стоечных серверов HPE ProLiant DL Gen.9 состоит из четырех продуктовых линеек, которые позиционируются следующим образом:

  • 10 – серверы начального уровня DL20, DL60, DL80
  • 100 – серверы среднего класса DL120, DL160, DL180
  • 300 – высокопроизводительные серверы DL360, DL380
  • 500 – 4х процессорные серверы премиум класса DL560, DL580

Среди серверов 10й линейки DL20 имеет 1 процессор, DL60 2 процессора, а DL80 2 процессора и шасси размером 2U, что позволяет устанавливать увеличенное количество накопителей. Все три сервера поддерживают резервирование питания и SSD накопители.

Среди серверов 100й линейки DL120 имеет 1 процессор, DL160 2 процессора, а DL180 2 процессора и шасси размером 2U, что позволяет устанавливать увеличенное количество накопителей. Все серверы поддерживают резервирование питания и SSD накопители.

Обе модели 300й линейки поддерживают по два мощных многоядерных процессора и большие объемы памяти, а также различные графические процессоры. DL360 имеет форм-фактор 1U, а DL380 – 2U, что позволяет устанавливать увеличенное количество накопителей.

Обе модели 500й линейки поддерживают по четыре мощных многоядерных процессора и очень большие объемы памяти, а также различные графические процессоры. DL560 имеет форм-фактор 2U, что позволяет устанавливать увеличенное количество накопителей, а DL580 – 4U.

Основные отличия между 10й, 100й, 300й и 500й линейками серверов HPE ProLiant DL Gen.9:

  1. Модели процессоров. Чем старше линейка, тем более мощные процессоры поддерживаются на серверах, то есть тем более высокую производительность и количество ядер процессоров мы можем получить.
  2. Количество процессорных сокетов. Чем старше линейка, тем больше процессоров мы можем установить на один сервер.
  3. Объемы оперативной памяти. Чем старше линейка, тем выше объем памяти, поддерживаемой на серверах.
  10я линейка 100я линейка 300я линейка 500я линейка
Процессоры до 14 ядер в процессоре до 18 ядер в процессоре (DL120 – до 22) до 22 ядер в процессоре до 24 ядер в процессоре
Количество процессорных сокетов 1 или 2 на сервер 1 или 2 на сервер 2 на сервер 4 на сервер
Объемы оперативной памяти до 256 ГБ (8 слотов) до 1 ТБ (16 слотов) до 3 ТБ (24 слота) до 6 ТБ (96 слотов)

Дополнительные отличия:

  1. Количество встроенных сетевых портов, идущих по умолчанию с сервером.
  2. Сроки стандартной гарантии.
  3. Графические процессоры. 300я линейка и DL580 поддерживают более мощные и функциональные ГПУ.
  4. Резервирование питания.
  5. Новые технологии (NVDIMM, NVMe PCIe SSD).
  10я линейка 100я линейка 300я линейка 500я линейка
Встроенные сетевые порты 2 х 1 Гбит/с 2 х 1 Гбит/с 4 х 1 Гбит/с 4 х 1 Гбит/с или 2 х 10 Гбит/с FlexibleLOM
Сроки стандартной гарантии 1-1-1 3-1-1 3-3-3 3-3-3
Графические процессоры NVIDIA Quadro K2200 (DL20, DL80)
NVIDIA Quadro M2000 (DL20)
NVIDIA Quadro K2200 (DL120, DL180) модели NVIDIA Quadro, Tesla и др. модели NVIDIA Quadro, Tesla (DL580)
Резервирование  питания специальный модуль с двумя компонентами питания специальный модуль с двумя компонентами питания 2 обычных блока питания 2 или 4 обычных блока питания
Новые технологии нет нет NVDIMM, NVMe PCIe SSD NVMe PCIe SSD

В чем основные отличия между линейками стоечных серверов семейства ProLiant DL Gen.9?

В чем основные отличия между линейками стоечных серверов семейства ProLiant DL Gen.9?

В чем основные отличия между линейками стоечных серверов семейства ProLiant DL Gen.9?

На какие серверы можно установить решение Cisco Unified Communication Manager (CUCM)?

Установка самой последней версии CUCM 10.Х возможна только на виртуальные машины, установка на «голое» железо невозможна.

Официальные требования для установки Cisco UCM прописаны в политике Cisco UC Virtualization Supported Hardware. На данный момент выделены 3 группы серверов для установки:

  1. Серверы Cisco UCS TRC (tested reference configuration). Это модели серверов Cisco с определённые конфигурацией, которые продаются в виде бандла. В данном случае приложение Vmware vSphere обязательно, Vmware vCenter – опционально.
  2. Серверы Cisco USC Specs-based. Серверы Cisco, которые отвечают требованиям Cisco для работы приложений UC – четко прописанные модели процессоров, а также требования к остальным комплектующим (оперативной памяти, дисковой подсистеме и пр.). В этом случае Vmware vSphere и Vmware vCenter обязательны к установке.
  3. Серверы третьих производителей. Серверы любого производителя, выполняющие требования политики Cisco (оснащены процессорами, поддерживаемыми Cisco UC, необходимым объёмом оперативной памяти, дисковой подсистемой и т.д.). В данном случае приложения Vmware vSphere и Vmware vCenter обязательны к установке. Также, в случае использования серверов стороннего производителя поддержка Cisco TAC будет распространяться только на приложения Cisco UC, но не на сервер.

Ранее (версия CUCM 9.X и ниже) помимо указанных были доступны следующие варианты установки:

  1. На базе серверов Cisco MCS 7800 (установка на «голое» железо, сняты с продаж, дата последнего заказа данного продукта - 29 октября 2013 года);
  2. На базе сертифицированных серверов HP или IBM, была возможна установка как на «голое» железо, так и на виртуальные машины, однако в обоих случаях предъявлялись конкретные требования к комплектующим серверов.

Следует заметить, что с выходом новых версий CUCM требования к серверам могут меняться, поэтому данную информацию необходимо проверять на сайте производителя.

В чем основные отличия между линейками башенных серверов семейства ProLiant ML Gen.9?

Семейство башенных серверов HPE ProLiant ML Gen.9 состоит из трех продуктовых линеек, которые позиционируются следующим образом:

  • 10 – серверы начального уровня ML10, ML30
  • 100 – серверы среднего класса ML110, ML150
  • 300 – высокопроизводительные серверы ML350

В 10й линейке, ML10 является наиболее простой и бюджетной моделью, близкой к уровню производительных рабочих станций. ML10 не поддерживает горячую замену компонентов, внутренние SAS контроллеры, SSD накопители, не имеет модуля удаленного управления iLO и возможности установки второго блока питания. Из карт расширения поддерживается только несколько сетевых адаптеров на 1 Гбит/с и внешний SAS HBA для подключения ленточного привода. В старшей модели ML30 все эти недостатки устранены. ML10 поддерживает до 6 LFF накопителей, ML30 – до 4 LFF/8 SFF накопителей. На ML10 предлагается гарантия 1-1-1, на ML30 – 3-1-1. Оба сервера поддерживают 1 процессор, до 64 ГБ памяти типа UDIMM (4 слота).

Среди серверов 100й линейки ML110 поддерживает 1 процессор, до 256 ГБ памяти типа RDIMM (8 слотов), до 8 LFF/16 SFF накопителей. ML150 поддерживает 2 процессора, до 512 ГБ памяти типа RDIMM/LRDIMM (16 слотов), до 10 LFF/16 SFF накопителей. На оба сервера предлагается гарантия 3-1-1. Оба сервера поддерживают резервирование питания и SSD накопители.

В 300й линейке, ML350 поддерживает 2 мощных многоядерных процессора, до 3 ТБ памяти типа LRDIMM (24 слота), до 24 LFF/48 SFF накопителей. На ML350 предлагается гарантия 3-3-3. Он поддерживает до 4 блоков питания и SSD накопители, включая NVMe PCIe SSD.

Башенные серверы имеют преимущество в цене по сравнению со стоечными серверами своего класса, и при аналогичных конфигурациях стоят в среднем на 15-20% меньше.

Основные отличия между 10й, 100й и 300й линейками серверов HPE ProLiant ML Gen.9:

  1. Модели процессоров. Чем старше линейка, тем более мощные процессоры поддерживаются на серверах, то есть тем более высокую производительность и количество ядер процессоров мы можем получить.
  2. Количество процессорных сокетов. Чем старше линейка, тем больше процессоров мы можем установить на один сервер.
  3. Объемы оперативной памяти. Чем старше линейка, тем выше объем памяти, поддерживаемой на серверах.
  4. Количество накопителей. Чем старше линейка, тем большее количество накопителей поддерживается на серверах.
  10я линейка 100я линейка 300я линейка
Процессоры до 4 ядер в процессоре до 18 ядер в процессоре (DL120 – до 22) до 22 ядер в процессоре
Количество процессорных сокетов 1 на сервер 1 или 2 на сервер 2 на сервер
Объемы оперативной памяти до 64 ГБ (4 слотов) до 512 ГБ (8 или 16 слотов)) до 3 ТБ (24 слота)

Дополнительные отличия:

  1. Количество слотов расширения PCIe.
  2. Количество встроенных сетевых портов, идущих по умолчанию с сервером.
  3. Сроки стандартной гарантии.
  4. Графические процессоры. 300я линейка поддерживает более мощные и функциональные ГПУ.
  5. Резервирование питания.
  6. Новые технологии (NVMe PCIe SSD).
  10я линейка 100я линейка 300я линейка
Слоты PCIe до 4 до 6 до 9
Встроенные сетевые порты 1 х 1 Гбит/с (ML10)
2 х 1 Гбит/с (ML30)
2 х 1 Гбит/с, а также выделенный порт управления iLO (опционально) 4 х 1 Гбит/с, а также выделенный порт управления iLO (входит по умолчанию)
Сроки стандартной гарантии 1-1-1 (ML10)
3-1-1 (ML30)
3-1-1 3-3-3
Графические процессоры NVIDIA Quadro K2200 (ML30) NVIDIA Quadro K2200 NVIDIA Quadro M2000 (ML110)
AMD FirePro W7100 (ML150)
модели NVIDIA Quadro, Tesla, AMD FirePro
Резервирование питания поддерживается только в ML30 поддерживается поддерживается, возможна установка до 4х блоков питания
Новые технологии нет нет NVMe PCIe SSD

В чем основные отличия между линейками башенных серверов семейства ProLiant ML Gen.9?   

Какова схема лицензирования для решения Cisco Unified Communication Manager (CUCM)?

Решение CUCM лицензируется по пользователям независимо от того сколько серверов будет в кластере. Начиная с версии 10.x для решения CUCM существуют два класса лицензий: User Connect Licensing (UCL) и Unified Workspace Licensing (UWL).

Лицензии UCL бывают следующих типов:

  • Essential – покрывает аналоговые устройства, а также телефоны 3905 и 6901;
  • Basic – покрывает телефоны 7811 и 7821;
  • Enhanced - покрывает телефоны 784X, 786X, 88xx, SIP телефоны третьих производителей, Cisco Jabber (Desktop и Mobile), DX/EX серию;
  • Enhanced Plus – покрывает те же устройства, что и Enhanced, при этом позволяет пользователю использовать одновременно два устройства, например, стационарный телефон и Cisco Jabber,
  • TelePresence Room – покрывает иммерсивные или многоцелевые TelePresence системы (например, Webex Room Kit).

Какова схема лицензирования для решения Cisco Unified Communication Manager (CUCM)?

Лицензии UWL бывают следующих типов:

  • UWL Standard - позволяет использовать для одного пользователя до 10 любых устройств, а также голосовую почту Unity Connection;
  • UWL Meetings – включает возможности UWL Standard + поддержка решения WebEx, а также лицензию на видеоконференцсвязь Personal Multiparty Plus на базе Cisco Meeting Sever.

Следует отметить, что при просчёте решения CUCM, существуют множество нюансов, которые необходимо учитывать. Поэтому приведённая информация является ознакомительной, но не достаточной для проработки полноценного решения. Для этого рекомендуем обращаться к специалистам компании CBS. Схема лицензирования может меняться производителем. Представленные данные актуальны для версии 10.x и выше на момент публикации.

Что такое блейд-система? Из каких компонентов она состоит?

Блейд-система (англ. blade system) – это целая инфраструктура, которая может включать серверы, коммутаторы и системы хранения, установленные в едином корпусе и управляемые централизованно из общей консоли.

В состав блейд-системы входят следующие компоненты:

  1. Шасси;
  2. Блоки питания;
  3. Вентиляторы;
  4. Блейд-серверы;
  5. Интерконнект-модули;
  6. Модули управления;
  7. Решения по резервному копированию и хранению данных в формате лезвий (опционально).

Основой блейд-системы является шасси – пассивный корпус («коробка»), куда устанавливаются остальные составляющие. Шасси включает мощные блоки питания и вентиляторы, которые являются общими для всех устанавливаемых в шасси компонентов. Данные компоненты – серверы, сетевые устройства, устройства для резервного копирования, хранения данных и управления – выполнены в виде компактных модулей («лезвий», от англ. blade), которые могут быстро и удобно вставляться в шасси и удаляться из него.

Серверы для блейд-систем носят название блейд-серверов. По своей внутренней архитектуре, принципам работы и функциональности они аналогичны обычным стоечным и башенным серверам. Блейд-серверы точно также комплектуются процессорами, памятью, RAID-контроллерами, дисками, мезанин-картами (карты расширения PCIe) и т.д. Блейд-серверы точно также могут использоваться для развертывания серверных приложений, виртуализации, терминальных служб, кластерных моделей.

Сетевые устройства для блейд-систем носят название интерконнект-модулей. Они устанавливаются в заднюю часть шасси и предназначены для подключения блейд-серверов к внешним локальным сетям (англ. LAN), а также к сетям хранения данных (англ. SAN) и внешним СХД. В качестве интерконнект-модулей могут выступать как обычные LAN/SAN коммутаторы, так и пассивные патч-панели с одинаковым количеством портов на внутренней и внешней стороне. Они предназначены для простой передачи сигналов от блейд-сервера на соответствующий ему внешний порт. Кроме того, у некоторых производителей могут встречаться специальные интерконнект-модули, не имеющие аналогов среди традиционного сетевого оборудования. У HPE, к примеру, это модули Virtual Connect, которые работают по особой технологии и используются только в блейд-системах.

Модули управления отвечают за централизованное управление всеми компонентами блейд-системы. Для возможности ее работы требуется по крайней мере один такой модуль; второй может устанавливаться дополнительно в целях отказоустойчивости.

Устройства резервного копирования и хранения данных для блейд-систем также изготавливаются в формате блейд-модулей и могут представлять собой, к примеру, DAS-модули с большим количеством накопителей, либо модули с ленточным приводом. Как правило, они подключаются к соседнему блейд-серверу и используются им.

Компания HPE предлагает традиционные блейд-решения в рамках семейства BladeSystem c-class. Кроме того, недавно в продажу было запущено новое семейство HPE Synergy, которое по своей архитектуре занимает промежуточное положение между блейд-решениями и интегрированными системами. Сам вендор называет систему Synergy «компонуемой инфраструктурой». Synergy включает шасси и все остальные компоненты блейд-решения (серверы, модули коммутации, хранения данных и управления), имеет широкие возможности масштабирования, а также поддерживает особый модуль – раздатчик загрузочных образов. Данный компонент позволяет с высокой скоростью передавать образа на бездисковые серверные модули. Управляется система Synergy с помощью программного обеспечения HPE OneView, предустановленного на компоновщиках (модулях управления).

Семейство BladeSystem включает 2 модели блейд-шасси: c3000 и c7000. Их основные отличия:

  c3000 c7000
Блейд-серверы До 8 До 16
Интерконнект-модули До 4 До 8
Блоки питания До 6 До 6
Вентиляторы До 6 До 10
Модуль управления Onboard Administrator до 2-х, 1 в комплекте до 2-х, 1 в комплекте
Встроенный DVD-привод Есть Нет
Форм-фактор 6U 10U

В эти шасси могут устанавливаться блейд-серверы семейств ProLiant BL и Integrity, различные варианты интерконнект-модулей, модули хранения D2220sb, ленточные приводы Ultrium, модули расширения для установки сторонних карт PCI/PCI-X/PCIe.

Основные преимущества блейд-систем HPE:

  • Решение позволяет экономить место в стойке. Например, 8 серверов и средства коммутации в блейд-шасси HPE BladeSystem c3000 занимают всего 6U.
  • Экономия на электропитании и тепловыделении. Блейд-шасси потребляют меньше электричества и производят меньшее тепловыделение, чем аналогичные мощности, но в традиционном исполнении (отдельные серверы и средства коммутации).
  • Удобство последующего расширения. Если в дальнейшем потребуются новые мощности, то при наличии свободных слотов в шасси их достаточно просто нарастить. Нет необходимости подключать кабели к каждому новому серверу.
  • Централизованное управление всей системой. Централизованное управление решениями BladeSystem осуществляется за счет модуля управления Onboard Administrator и может производиться удаленно из любого узла сети.

Основной недостаток блейд-систем HPE – высокая цена неполного комплекта. Только при достижении заполнения шасси порядка 70% мы получаем схожие с аналогичными решениями на традиционном оборудовании цены. Кроме того, блейд-серверы поддерживают меньшее количество накопителей и карт расширения PCIe, по сравнению со стоечными и башенными аналогами.

Конфигурация блейд-системы HPE BladeSystem минимально должна включать:

  • Блейд-шасси с необходимым количеством блоков питания и вентиляторов (минимум 2 блока питания и 4 вентилятора).
  • Блейд-серверы в требуемой комплектации.
  • Один Onboard Administrator (желательно два для отказоустойчивости).
  • По крайней мере один интерконнект-модуль (желательно два для отказоустойчивости) для подключения к Ethernet.

Что такое блейд-система? Из каких компонентов она состоит?

Что такое блейд-система? Из каких компонентов она состоит?

Что такое Cisco Business Edition?

Cisco Business Edition (BE) – платформа унифицированных коммуникаций. На данный момент существует три платформы: BE 4000 (до 200 телефонов), BE 6000 (до 150 и до 1000 абонентов), а также BE 7000 (более 1000 абонентов).

BE является законченным решением (бандлом), включающим в себя следующие продукты (кроме BE 4000):

  • сервер Cisco UCS или UCS E;
  • платформа виртуализации VMware;
  • программное обеспечение.

Программного обеспечение, которое может быть запущено на платформе BE (кроме BE 4000):

  • IP-АТС;
  • система голосовой почты;
  • сервер мгновенных сообщений и состояния присутствия;
  • сервер оповещений;
  • контакт-центр;
  • решения для видео конференцсвязи;
  • решения по централизованному управлению;
  • и т.д.

Список решений, которые могут быть запущены на базе BE, включает, как практически все продуты компании Cisco в области унифицированных коммуникаций, так и решения сертифицированных партнёров компании Cisco.

В качестве аппаратной платформы для решения BE выступают следующие серверы:

  • аплайнс BE 4000 (до 200 телефонов),
  • UCS E160D – решение BE 6000 (до 150 абонентов),
  • UCS 220 – решение BE 6000 (до 1000 абонентов),
  • UCS 240 – решение BE 7000 (более 1000 абонентов).

BE 4000 является гибридным решением. Его управление происходит через облачный сервис компании Cisco. Само решение предоставляет традиционные сервисы IP-телефонии и голосовой почты. Встроен функционал автосекретаря (IVR). На данный момент (июль 2018) данное решение в России не продаётся.

Какие особенности имеет компонуемая инфраструктура HPE Synergy? В чем ее отличие от блейд-систем c-class?

Инфраструктура Synergy – новая разработка компании HPE, представляющая собой усовершенствованную блейд-систему.

Система Synergy состоит из блейд-шасси (называемого фреймом), в которое устанавливаются необходимые компоненты – блейд-серверы (вычислительные модули), модули хранения, сетевые модули, модули управления. Блоки питания и вентиляторы охлаждения устанавливаются во фрейм и являются общими для всех компонентов.

Модуль управления (компоновщик) представляет собой специальный сервер с встроенным решением по управлению инфраструктурой HPE OneView. Компоновщик может управлять одним или несколькими, соединенными в общее кольцо управления, фреймами.

Какие особенности имеет компонуемая инфраструктура HPE Synergy? В чем ее отличие от блейд-систем c-class?Какие особенности имеет компонуемая инфраструктура HPE Synergy? В чем ее отличие от блейд-систем c-class?

 

Отличия системы Synergy и блейд-систем c3000 и c7000:

1. Размеры и вместимость шасси.

  c3000 BladeSystem c7000 BladeSystem Synergy Frame 12000
Форм-фактор 6U 10U 10U
Максимально серверов 8 16 12
Максимально сетевых модулей 4 8 6
Питание и охлаждение До 6 БП 1200 Вт
До 6 вентиляторов
До 6 БП 2400/2650 Вт
До 10 вентиляторов
До 6 БП 2650 Вт
До 10 вентиляторов

2. Характеристики блейд-серверов (вычислительных модулей) 10го поколения.

  BL460c Gen10 Synergy 480 Gen10 Synergy 660 Gen10
Форм-фактор Половинной высоты Половинной высоты Полной высоты
Сокеты ЦПУ 2 2 4
Максимально ядер ЦПУ 52 56 112
Слотов под память 16 24 48
Максимально памяти 1 ТБ 1,5 ТБ 3 ТБ
Слоты расширения (мезанины) 2 3 6
Графические процессоры Не поддерживаются Поддерживаются Не поддерживаются

3. Модули хранения.

c3000 и с7000 поддерживают модули D2220sb (только для блейд-серверов 9го поколения). Каждый модуль вмещает 12 SFF накопителей и устанавливается рядом с блейд-сервером. Лишь этот соседний блейд-сервер получает доступ к модулю. На одно шасси c3000 можно установить до 4 модулей D2220sb (суммарно 48 накопителей), на c7000 – до 8 модулей (суммарно 96 накопителей).

В системе Synergy используются модули D3940. При их установке необходимо также добавить 1 или 2 коммутационных модуля SAS. Модуль D3940 вмещает 40 SFF накопителей. Для вычислителей 10го поколения можно установить до 5 модулей на фрейм, что даст суммарно 200 накопителей. D3940 представляет собой зонированный DAS – любому вычислителю может быть предоставлено требуемое количество накопителей из общего их числа. Это не является общим хранилищем (диски, назначенные одному вычислителю, уже не будут видны остальным), однако снимает ограничение систем c-class, где каждому блейд-серверу дается ровно один модуль D2220sb с не более чем 12 дисками. Доступ вычислителей к модулям D3940 осуществляется через упомянутые SAS коммутаторы.

4. Раздатчик образов.

Система Synergy в качестве дополнительного опционального модуля управления поддерживает раздатчик образов. Данный модуль осуществляет настраиваемую раздачу загрузочных образов ОС (VMware ESXi, RHEL, SLES, скоро планируется Windows) на вычислители. Это особенно эффективно для бездисковых платформ и может служить альтернативой загрузке по LAN/SAN. Системы c-class подобных модулей не поддерживают.

5. Цена.

В настоящее время (лето-осень 2017 года), системы Synergy имеют значительно более высокую цену в сравнении с аналогичными конфигурациями на системах c-class. Разница в среднем составляет 35%.

6. Планы по развитию продуктовых линеек.

По заявлению HPE, системы c-class будут производиться и продаваться до 2019-2020 года, с продолжением поддержки на 5 лет после снятия оборудования с производства. Система Synergy является долгосрочным стратегическим приоритетом вендора и уже сейчас полностью готова к использованию новых технологий (Ethernet 100 Гбит и т.д.).

Что такое BE 6000?

Cisco Unified Communications Manager Business Edition 6000 – платформа унифицированных коммуникаций, предназначенная для удовлетворения потребностей среднего бизнеса (до 1000 пользователей). BE 6000 представляет собой бандл (сборку). Решение представлено в трёх вариантах:

  • BE6000H - 1000 пользователей, до 9 виртуальных машин на сервере, до 2500 поддерживаемых устройств;
  • BE6000M - 1000 пользователей, до 5 виртуальных машин на сервере, до 1200 поддерживаемых устройств;
  • BE6000S - 150 пользователей, до 5 виртуальных машин на сервере, до 300 поддерживаемых устройств.

В стартовом варианте BE6000M и BE6000H включены следующие продукты:

  • Сервер Cisco UCS 220 M5 в конфигурации BE6000H:
    • 1000 пользователей,
    • до 8 виртуальных машин сервисов collaboration и одной виртуальной машины для настройки (provisioning) на сервере,
    • до 2500 поддерживаемых устройств.
  • Или в конфигурации BE6000M:
    • 1000 пользователей,
    • до 4 виртуальных машин сервисов collaboration и одной виртуальной машины для настройки (provisioning) на сервере,
    • до 1200 устройств.
  • Виртуальная платформа Vmware ESXi 6.x;
  • Cisco Unified Communication Manager – полноценная IP-АТС (в отличие от CUCMe), до 1000 пользователей (2500 устройств максимум);
  • Instant Messaging and Presence with the Cisco Jabber – сервер мгновенных сообщений и состояния присутствия, на базе клиента Cisco Jabber, до 1000 пользователей;
  • Cisco Unity Connection – сервер голосовой почты, до 1000 пользователей;
  • Prime Collaboration Provisioning - решение по централизованному управлению продуктами Cisco из области UC;
  • Cisco Enterprise Licensing Manager (ELM) – решение по централизованному управлению лицензиями продуктов Cisco из области UC.

В стартовом варианте BE6000S включены следующие продукты:

  • Блейд сервер UCS E160D M2 на базе Cisco 2921-V;
  • Виртуальная платформа Vmware ESXi 5.0;
  • Cisco Unified Communication Manager – полноценная IP-АТС (в отличие от CUCMe), до 150 пользователей (300 устройств максимум);
  • Instant Messaging and Presence with the Cisco Jabber – сервер мгновенных сообщений и состояния присутствия, на базе клиента Cisco Jabber, до 150 пользователей;
  • Cisco Unity Connection – сервер голосовой почты, до 150 пользователей;
  • Prime Collaboration Provisioning - решение по централизованному управлению продуктами Cisco из области UC;
  • Cisco Paging Server – сервер оповещений (на базе решения InformaCast).

Также на платформе BE6000M и BE6000H можно развернуть ряд дополнительных серверов (всего не более 5 или 9 в зависимости от типа сервера с учетом CUCM, IM and Presence, Unity Connection, Unified Provisioning Manager):

  • Cisco Meeting Server – сервер видео конференцсвязи;
  • Cisco Expressway – сервер подключения к корпоративной системе унифицированных коммуникаций из вне;
  • Cisco Unified Contact Center Express – контакт центр, до 100 агентов;
  • Cisco Unified Attendant Console (CUxAC) – сервер управления программными консолями секретаря (три редакции: Business, Department, Enterprise);
  • Cisco Paging Server – сервер оповещений (на базе решения InformaCast);
  • Cisco Emergency Responder (CER) – сервер управления и мониторинга экстренных вызовов;
  • Решения для управления инфраструктурой унифицированных коммуникаций:
    • Cisco Prime Collaboration Provisioning – сервер автоматизации начальной настройки;
    • Cisco Prime Collaboration Deployment – сервер для помощи при миграции, обновления и начальной установки приложений UC;
    • Cisco TelePresence Managemant Suite – сервер планирования проведения конференций;
  • Помимо этого, на BE6000 могут быть установлены сторонние приложения от партнеров Cisco (максимум 3 приложения на сервере, максимум 6 приложений от партнеров в кластере).

Некоторые преимущества решения BE6000:

  • Cisco BE6000M и BE6000H поддерживает до 3-х серверов в кластере (но не более 1000 абонентов);
  • Поддерживается миграция пользовательских лицензий на полноценную систему с отдельно стоящими серверами (при росте количества абонентов более 1000);
  • Cisco IM and Presence – начиная с версии 9.0 распространяется и лицензируется бесплатно, в составе CUCM. То есть, заказчик покупает только лицензии на пользователей, а установка и использование мессенджера Cisco Jabber (функционал аналогичен Microsoft Lync) бесплатна.
Что такое гиперконвергентные (hyper-converged) системы?

Гиперконвергентные системы представляют собой программно-аппаратный комплекс, включающий вычислительные ресурсы, ресурсы хранилища, платформу виртуализации и консоль управления в рамках единого шасси. Как правило, такие системы собираются и настраиваются производителем и поставляются заказчику в готовом к работе виде. Они предназначены для задач виртуализации (серверная виртуализация, виртуализация рабочих столов), и не могут быть использованы для физических рабочих нагрузок (т.н. «bare metal»).

Цель гиперконвергентных решений – снизить сложность и повысить эффективность инфраструктур виртуализации. Они заменяют множество разрозненного оборудования (серверы, СХД, коммутаторы), требующего для управления несколько различных специалистов, компактными унифицированными блоками. Для их поддержки достаточно одного администратора, а по мере роста инфраструктуры легко добавлять новые. Еще одно важное преимущество подобных систем – улучшенная совместимость между аппаратной частью и платформой виртуализации. Производитель берет на себя установку гипервизора и драйверов, настройку и тестирование. Поддержка по программной и аппаратной части идет через одного вендора.

Из недостатков гиперконвергентных решений стоит отметить недостаточную гибкость увеличения аппаратных ресурсов самого блока по сравнению с обычным сервером. Как правило, ресурсы могут увеличиваться только до жестко заданных вендором уровней, что объясняется особенностями архитектуры таких систем. К примеру, имея гиперконвергентный блок HPE HC380 со 128 ГБ оперативной памяти, мы можем увеличить объем памяти до 256 ГБ, но не можем добавить 16 или 32 ГБ. Максимальные объемы хранилища по сравнению с внешней СХД также ограничены.

Примеры гиперконвергентных систем от разных производителей: HPE HC 250, HC 380, SimpliVity 380; Dell EMC VxRail, XC; Cisco HyperFlex HX; решения от Nutanix.

Что такое гиперконвергентные (hyper-converged) системы?

Что такое BE 7000?

Cisco Unified Communications Manager Business Edition 7000 – платформа унифицированных коммуникаций, предназначенная для удовлетворения потребностей среднего и крупного бизнеса (более 1000 пользователей). BE 7000 представляет собой бандл (сборку). Решение представлено в двух вариантах:

  • BE7000M - до 6 виртуальных машин на сервере;
  • BE7000H - до 10 виртуальных машин на сервере;

В стартовом варианте BE7000M и BE7000H включены следующие продукты:

  • Сервер Cisco UCS 240 M4, поддерживающий до 5000 пользователей на сервер, до 15000 устройств на сервер. Для увеличения емкости сверх указанной, добавляют необходимое количество дополнительных серверов.
  • Виртуальная платформа Vmware ESXi 5.0;
  • Cisco Unified Communication Manager – полноценная IP-АТС (в отличие от CUCMe);
  • Instant Messaging and Presence with the Cisco Jabber – сервер мгновенных сообщений и состояния присутствия, на базе клиента Cisco Jabber;
  • Cisco Unity Connection – сервер голосовой почты;
  • Prime Collaboration Provisioning - решение по централизованному управлению продуктами Cisco из области UC;
  • Cisco Enterprise Licensing Manager (ELM) – решение по централизованному управлению лицензиями продуктов Cisco из области UC.

Также на платформе BE7000M и BE7000H можно развернуть ряд дополнительных серверов (всего не более 6 или 10 в зависимости от типа сервера с учетом CUCM, IM and Presence, Unity Connection, Unified Provisioning Manager):

  • Решения для видео конференцсвязи:
    • Cisco TelePresence Server – сервер многоточечных конференций;
    • Cisco TelePresence Conductor – сервер управления ресурсами конференций;
    • Cisco TelePresence Managemant Suite – сервер планирования проведения конференций;
    • Cisco TelePresence Content Server – сервер записи и вещания конференций;
  • Cisco Expressway VCS – сервер подключения к корпоративной системе унифицированных коммуникаций из вне;
  • Cisco Unified Contact Center – контакт центр;
  • Cisco Unified Attendant Console (CUxAC) – сервер управления программными консолями секретаря (три редакции: Business, Department, Enterprise);
  • Cisco Emergency Responder (CER) – сервер управления и мониторинга экстренных вызовов;
  • Cisco Paging Server – сервер оповещений (на базе решения InformaCast);
  • Помимо этого, на BE7000 могут быть установлены сторонние приложения от партнеров Cisco.
Поддерживается ли установка клиентских ОС (например, Windows 10) на серверы HPE ProLiant?

В большинстве случаев установка клиентских ОС на серверы HPE ProLiant официально не поддерживается. Драйверы для серверов под данные ОС не выпускаются, что может привести к проблемам и сбоям, или даже неработоспособности системы, при попытке их установки. Однако, на некоторых специализированных серверах (таких как WS460c Gen.9), представляющих собой графические рабочие станции, установка клиентских ОС полостью поддерживается. Информацию по поддержке конкретной ОС на конкретном сервере HPE можно найти в официальном списке совместимости.

Требуется телефон для возможности совершения видео-звонков. Какие основные варианты существуют?

Для организации видео вызовов компания Cisco Systems предлагает использовать несколько решений:

  1. Телефоны 8845 и 8865. Имеют встроенную видеокамеру и позволяют совершать видеозвонки по протоколу H.264 с качеством картинки 720p HD.
  2. Телефон Cisco DX650. Имеет встроенную 1080p камеру, сенсорный экран, работает на базе ОС Android, может напрямую подключаться к студиям телеприсутствия Cisco Telepresence.
  3. Настольные терминалы DX70, DX80 и EX90. Позволяют совершать видеовызовы FullHD качества.
  4. Cisco Jabber - программный клиент, устанавливаемый на ПК, Mac или планшетный компьютер позволяет совершать видеозвонки FullHD качества.
Какие серверы семейства HPE ProLiant Gen.10 доступны для заказа?

Серверы нового поколения HPE ProLiant Gen.10 появились в продаже летом 2017 года. Количество моделей в каждой продуктовой линейке сократилось с целью упрощения выбора для заказчика. Сама структура линеек осталась прежней:

  1. DL (от англ. Density Line, "оптимизированные для размещения в стойке") – стоечные серверы. В настоящее время (конец 2017 года) доступны следующие модели:
    • DL360 (форм-фактор 1U) и DL380 (форм-фактор 2U) с двумя сокетами.
    • DL560 (форм-фактор 2U) и DL580 (форм-фактор 4U) с четырьмя сокетами.
    • Какие серверы семейства HPE ProLiant Gen.10 доступны для заказа?

  2. ML (от англ. Maximized for Internal Expansion Line, "оптимизированные для расширения") – башенные серверы. В настоящее время доступны следующие модели:
    • ML110 с одним сокетом.
    • ML350 с двумя сокетами.
    • Какие серверы семейства HPE ProLiant Gen.10 доступны для заказа?

  3. BL (от англ. Blade Line, "серверы для блейд-систем") – блейд-серверы для шасси c3000 и c7000. В настоящее время доступна модель BL460c с двумя сокетами.

    Какие серверы семейства HPE ProLiant Gen.10 доступны для заказа?

  4. MicroServer – небольшой односокетный сервер для дома и малого бизнеса. Развитие 10го поколения продолжается, и возможно появление новых моделей в будущем. В частности, летом 2018 года HPE планирует выпустить младшие модели – стоечный сервер DL20 и башенный ML30.
  5. Какие серверы семейства HPE ProLiant Gen.10 доступны для заказа?

Какие существуют способы обеспечить электропитание для IP-телефонов Cisco? В чем преимущество каждого из способов?

А. Технологии Power over Ethernet (PoE), PoE+, UPoE. Питание телефона осуществляется от коммутатора по стандартной витой паре в сети Ethernet. Коммутатор должен поддерживать данную технологию и обладать необходимой мощностью. Различные модели телефонов имеют различные требования по мощности.

Преимущества:

  • отсутствие кабельной инфраструктуры для подачи электропитания;
  • возможность установки оборудования в наиболее подходящих для этого местах, невзирая на отсутствие сети электропитания;
  • сокращение времени установки IP-телефонов;
  • легкость обеспечения резервирования питания;
  • экономия энергии за счет индивидуального выделения требуемой мощности на каждый порт.

Недостатки:

  • Необходимо наличие коммутатора, поддерживающего технологию PoE.

Б. Инжекторы питания PoE. Могут быть отдельными устройствами на каждый порт, либо эта функция интегрирована в патч-панель.

Преимущества:

  • отсутствие кабельной инфраструктуры для подачи электропитания;
  • возможность установки оборудования в наиболее подходящих для этого местах, невзирая на отсутствие сети электропитания;
  • сокращение времени установки IP-телефонов;
  • возможность обеспечить питание по кабелю Ethernet, если приобретенный ранее коммутатор не поддерживает PoE.

Недостатки:

  • сложнее обеспечить резервирование питания;
  • нет управления выделяемой мощностью.

В. Стационарные блоки питания. Каждый телефон имеет свой блок питания, подключаемый в общую сеть электропитания.

Преимущества:

  • Масштабируемость. Нет зависимости от количества имеющихся PoE портов на коммутаторах, нет необходимости наращивать мощность коммутаторов.

Недостатки:

  • Необходимо наличие розетки сети электропитания;
  • Увеличенное время установки IP-телефона;
  • При перебоях в сети электропитания телефоны будут более подвержены риску простоя.
Планируется ли дальнейшее развитие блейд-серверов HPE ProLiant BL и блейд-систем c-class?

На начало 2018 года, HPE не планирует разрабатывать следующее поколение блейд-серверов BL и систем c-class, а также добавлять новые модели к линейкам BL Gen.9 и Gen.10. По заявлению вендора, имеющиеся продукты будут производиться как минимум до начала 2020 года, их дата EOL (англ. End Of Life – окончание жизненного цикла) еще не определена. После снятия блейд-систем с производства, запчасти для них будут доступны в течение следующих 5 лет.

Остановка в развитии блейд-систем связана с постепенным техническим устареванием шасси c-class, которые производятся с середины 2000х годов. В частности, внутренняя система коммутации шасси не может обеспечить требуемую пропускную способность для реализации новых технологий, таких как 100 Гбит Ethernet.

Как рекомендуемую замену системам с-class, HPE позиционирует компонуемую инфраструктуру Synergy. Данное решение является новым стратегическим приоритетом вендора. По своей архитектуре Synergy аналогична традиционным блейд-системам, но вместе с тем она отличается лучшими показателями масштабируемости, новыми подходами в управлении и полной готовностью ко всем будущим технологиям.

Что такое PVDM?

PVDM (packet voice/data module) — это модуль, на котором находятся специализированные процессоры DSP (digital signaling processor). Изначально он предназначался для обработки голоса. Основная задача данного модуля преобразовать голос из одного типа в другой (например, из E1 в IP и наоборот). То есть когда голосовое соединение приходит на маршрутизатор, например, по аналоговым линиям, его необходимо в реальном времени без задержек преобразовать в данные, которые будут отправлены по IP. ЦПУ такую задачу выполнить не может, так как он занимается обработкой широкого спектра задач. Поэтому используются специализированные процессоры DSP.

Так же PVDM модуль позволяет преобразовывать один кодек в другой (например, G711 в G729), собирать голосовые потоки в один, то есть обеспечивать работу голосовой конференции, реализовывать различные функции по управлению качеством голоса (компрессию, борьбу с эхом, определение качества вызовов и пр.).

Современные PVDM модули (PVDM3, PVDM4 и SM-X-PVDM) умеют обрабатывать также и видео. При обработке видео основной их задачей является обеспечение работы видео конференции (объединение нескольких видео потоков в один).

Для маршрутизаторов ISR 4000 кроме установки на материнскую плату существует вариант установки в модуль T1/E1, а также в виде сервисного модуля SM-X-PVDM в слот SM.

Сам модуль PVDM устанавливается на материнскую плату в маршрутизаторе.

Что такое PVDM?

Какие модели входят в семейство блейд-серверов HPE ProLiant BL? В чем особенность модели WS460c Graphics?

Семейство блейд-серверов ProLiant BL является одной из наиболее популярных серий блейд-серверов, производимых компанией HPE. Данные серверы имеют небольшую начальную стоимость и хорошие возможности масштабирования. Они поддерживают широкий выбор различных комплектующих и высокую плотность размещения в шасси (до 16 BL460c в шасси c7000).

На начало 2018 года, официально поставляются модели 9го (Gen.9) и 10го (Gen.10) поколений. К 9му поколению относятся блейд-серверы BL460c Gen.9 и BL660c Gen.9, а также WS460c Gen.9 Graphics. К 10му поколению относится лишь одна модель – BL460c Gen.10. Основные отличия между моделями BL:

  BL460c Gen.9 BL660c Gen.9 BL460c Gen.10
Форм-фактор Половинной высоты (до 16 в шасси с7000) Полной высоты (до 8 в шасси с7000) Половинной высоты (до 16 в шасси с7000)
Количество сокетов 2 4 2
Максимально ядер на ЦПУ 22 22 26
Количество слотов оперативной памяти 16 32 16
Скорость работы оперативной памяти DDR4-2400 DDR4-2400 DDR4-2666
Количество слотов под накопители 2 SFF + слот для двойного модуля M.2 4 SFF + слот для двойного модуля M.2 2 SFF / 4 uFF + слот для двойного модуля M.2
Количество слотов расширения 2 + FlexibleLOM 3 + 2 FlexibleLOM 2 + FlexibleLOM
Версия iLO iLO 4 iLO 4 iLO 5

Какие модели входят в семейство блейд-серверов HPE ProLiant BL? В чем особенность модели WS460c Graphics?

Блейд-сервер BL460c Gen.10

Модель WS460c Gen.9 Graphics по своему внешнему виду и характеристикам очень похожа на BL460c Gen.9. Особенность ее заключается в том, что она поддерживает ряд графических процессоров (ГПУ) NVIDIA и AMD и позиционируется как высокопроизводительная рабочая станция. Кроме того, WS460c, в отличие от моделей BL, полностью поддерживает установку клиентских ОС (Windows 7 и более поздние, RHEL Desktop 6.5 и более поздние).

 

Какие модели входят в семейство блейд-серверов HPE ProLiant BL? В чем особенность модели WS460c Graphics?

Графическая рабочая станция WS460c Gen.9 / Блейд-сервер BL460c Gen.9

Графические процессоры могут устанавливаться как в саму WS460c, так и в специальный модуль расширения. Он имеет форм-фактор блейд-сервера половинной высоты и присоединяется к рабочей станции сбоку, удваивая ее ширину. В подобный модуль можно установить до 6 ГПУ, тогда как в WS460c – только до 2.

 

Какие модели входят в семейство блейд-серверов HPE ProLiant BL? В чем особенность модели WS460c Graphics?

Графическая рабочая станция WS460c Gen.9 с модулем расширения

Какие модули PVDM можно устанавливать в маршрутизаторы Cisco разных поколений?

На данный момент существует четыре версии PVDM модулей: PVDM2, PVDM3, PVDM4 и SM-X-PVDM. В маршрутизаторы ISR G1 можно устанавливать только модули PVDM2. В маршрутизаторы ISR G2 можно устанавливать модули PVDM2 и PVDM3. Однако PVDM2 можно установить в ISR G2 только посредством специального адаптера PVDM2–ADPTR=. Модули PVDM4 можно установить только в ISR 4000. Также в ISR 4000 могут быть установлены сервисный модуль SM-X-PVDM.

Как порты сетевых адаптеров блейд-сервера подключаются к сетевым модулям в блейд-системах c3000 и c7000?

В блейд-системах c3000 и c7000 передача данных от портов сетевых адаптеров блейд-сервера до сетевых модулей осуществляется через внутреннюю сигнальную панель. При этом, определенным адаптерам поставлены в соответствие определенные отсеки для сетевых модулей так, что электрический сигнал от данных адаптеров передается только в указанные отсеки. Нумерация отсеков для сетевых модулей идет сверху вниз и слева направо.

 

Как порты сетевых адаптеров блейд-сервера подключаются к сетевым модулям в блейд-системах c3000 и c7000?

Нумерация отсеков для сетевых модулей в блейд-системе c3000

 

 

Как порты сетевых адаптеров блейд-сервера подключаются к сетевым модулям в блейд-системах c3000 и c7000?

Нумерация отсеков для сетевых модулей в блейд-системе c7000


Схема внутренней коммутации зависит от установленного типа блейд-сервера – половинной или полной высоты. Сервер половинной высоты (BL460c Gen.9 и BL460c Gen.10) имеет 1 слот для адаптера FlexibleLOM и 2 мезанин-слота для дополнительных адаптеров. При этом, адаптеры FlexibleLOM и адаптеры для первого мезанин-слота могут иметь 2 порта, а адаптеры для второго мезанин-слота – 2 или 4 порта.

В системах c3000 внутренняя коммутация осуществляется следующим образом:

  • 1й и 2й порты FlexibleLOM выведены на отсек 1.
  • 1й и 2й порты адаптера в первом мезанин-слоте выведены на отсек 2.
  • 1й и 3й порты адаптера во втором мезанин-слоте выведены на отсек 3.
  • 2й и 4й порты адаптера во втором мезанин-слоте выведены на отсек 4.

Как порты сетевых адаптеров блейд-сервера подключаются к сетевым модулям в блейд-системах c3000 и c7000?

Подключение адаптеров к сетевым модулям для блейд-сервера половинной высоты в системе c3000

В системах c7000 внутренняя коммутация осуществляется следующим образом:

  • 1й и 2й порты FlexibleLOM выведены на отсеки 1 и 2 соответственно.
  • 1й и 2й порты адаптера в первом мезанин-слоте выведены на отсеки 3 и 4 соответственно.
  • 1й, 2й, 3й и 4й порты адаптера во втором мезанин-слоте выведены на отсеки 5, 6, 7 и 8 соответственно.

Как порты сетевых адаптеров блейд-сервера подключаются к сетевым модулям в блейд-системах c3000 и c7000?

Подключение адаптеров к сетевым модулям для блейд-сервера половинной высоты в системе c7000

Сервер полной высоты (BL660c Gen.9) имеет 2 слота для адаптеров FlexibleLOM и 3 мезанин-слота для дополнительных адаптеров. При этом, адаптеры FlexibleLOM и адаптеры для первого мезанин-слота могут иметь 2 порта, а адаптеры для второго и третьего мезанин-слотов – 2 или 4 порта.

В системах c3000 внутренняя коммутация осуществляется следующим образом:

  • 1й и 2й порты первого и второго FlexibleLOM выведены на отсек 1.
  • 1й и 2й порты адаптера в первом мезанин-слоте выведены на отсек 2.
  • 1й и 3й порты адаптера во втором и третьем мезанин-слоте выведены на отсек 3.
  • 2й и 4й порты адаптера во втором и третьем мезанин-слоте выведены на отсек 4.

Как порты сетевых адаптеров блейд-сервера подключаются к сетевым модулям в блейд-системах c3000 и c7000?

Подключение адаптеров к сетевым модулям для блейд-сервера полной высоты в системе c3000

В системах c7000 внутренняя коммутация осуществляется следующим образом:

  • 1й и 2й порты первого FlexibleLOM выведены на отсеки 1 и 2 соответственно.
  • 1й и 2й порты второго FlexibleLOM также выведены на отсеки 1 и 2 соответственно.
  • 1й и 2й порты адаптера в первом мезанин-слоте выведены на отсеки 3 и 4 соответственно.
  • 1й, 2й, 3й и 4й порты адаптера во втором мезанин-слоте выведены на отсеки 5, 6, 7 и 8 соответственно.
  • 1й, 2й, 3й и 4й порты адаптера в третьем мезанин-слоте выведены на отсеки 7, 8, 5 и 6 соответственно.

Как порты сетевых адаптеров блейд-сервера подключаются к сетевым модулям в блейд-системах c3000 и c7000?

Подключение адаптеров к сетевым модулям для блейд-сервера полной высоты в системе c7000

Работают ли 3rd Party SIP телефоны с Cisco CUCM?

Устройства были настроены для работы с IP АТС Cisco CUCM 9.1 как Basic SIP Phone (Enhanced лицензия на CUCM). Проведена базовая конфигурация. Работоспособность некоторых функций может быть достигнута путем установки дополнительных элементов системы и их тонкой настройки.

В первую очередь, хочется обратить внимание, что использование телефонов не поддерживаемых официально сильно увеличивает трудоемкость процесса настройки системы, а также ее последующего администрирования. Такие телефоны, в отличие от сертифицированных аппаратов, необходимо настраивать полностью вручную, что увеличивает время настройки системы во много раз и становится практически невозможным для крупных систем.

Также, следует подчеркнуть, что 3rd Party SIP телефоны используют Enhanced лицензию (наиболее дорогую) Cisco CUCM, в то время как имеют только базовый функционал работы.

В конечном итоге, экономия от покупки более дешевых аппаратов сводится на нет более дорогими лицензиями, урезанным функционалом и высокой стоимостью эксплуатации.

Протестированные устройства:

  • Gigaset C610A IP;
  • Linksys SPA502G;
  • Linksys SPA921;
  • Linksys SPA941;
  • Linksys SPA500S.

Протестированные функции:

Базовый функционал

  • Постановка вызова на удержание – работает (при удержании с 3rd Party SIP, не работает music on hold, только стандартное оповещение в виде двойного гудка);
  • Трансфер вызовов между 3rd Party SIP телефонами, между 3rd Party SIP и стандартными сертифицированными телефонами – работает;
  • Смешанные hunt группы из сертифицированных и 3rd Party SIP телефонов – работают (для сертифицированных телефонов, информация о том, что вызов приходит на hunt группу отображается при звонке, для 3rd Party SIP такие данные не отображаются).

Конференции

  • Конференция на 3х участников между 3rd Party Sip телефонами, между 3rd Party Sip и стандартными сертифицированными телефонами – работает
  • Advanced ad-hoc. Конференции более трех участников на базе тестируемых устройств работают следующим образом: добавление участников в аудио-конференцию происходит по цепочке, каждый телефон может добавить не более 1 участника(ресурсы внешнего Conference Bridge не используются). Конференция созданная на базе сертифицированного телефона может использовать внешний Conference Bridge и добавлять неограниченное количество тестируемых телефонов(по емкости Conference Bridge).
  • MeetMe конференции, создаваемые на сертифицированных телефонах, могут использоваться SIP телефонами без ограничения. Создавать MeetMe конференцию на тестируемых SIP аппаратах нельзя Поддержка отказоустойчивых конфигураций CUCM для данных телефонов
  • Тестируемые телефоны, не поддерживают получение адреса CUCM по DHCP, а также не скачивают конфигурационный файл с TFTP сервера, а значит, переключение адреса CUCM в случае выхода из строя основного сервера должно происходить вручную для каждого телефона.
  • Как альтернативное решение, можно использовать DNS адрес CUCM, настроенный на телефоне, тогда при выходе сервера из строя, необходимо будет заменить его адрес только на DNS сервере.

Поддержка систем записи

  • Существует две основные модели работы систем записи телефонных разговоров. Используя JTAPI соединение и используя SPAN порт. Тестируемые телефоны поддерживают только режим SPAN порта, при котором на коммутаторе происходит зеркалирование всего сетевого трафика от телефонов к серверу записи.

Особенности работы

  • Настройка телефонов происходит в ручном режиме, через встроенный web интерфейс. Для каждого телефона необходимо настроить учтённые данные на CUCM.
  • Телефоны не загружают Route Plan с CUCM. Вызов набранного номера осуществляется только по нажатию соответствующей клавиши
  • Gigaset C610A IP:
    • Каждая базовая станция поддерживает до 6-ти беспроводных трубок и 6-ти различных аккаунтов. Однако, в случае с CUCM данная схема не функционирует, так как АТС различает устройства по IP адресам, и не регистрирует более 1 устройства с 1 IP адресом (адресом базы). В итоге, возможно, завести несколько телефонных номеров под одним аккаунтом, но тогда, при входящем вызове все трубки будут звонить одновременно.
  • Модуль секретаря SPA500S:
    • Кнопки на панели секретаря работают только в режиме быстрого набора.
    • Индикация состояния присутствия не функционирует.
    • Настройка клавиш быстрого набора проходит в режиме ввода специальных команд.
В чем особенность сетевых модулей HPE Virtual Connect?

HPE Virtual Connect (VC) – сетевые модули, устанавливающиеся в блейд-системы c-class и системы Synergy. Они обеспечивают подключение блейд-серверов к внешним LAN* и SAN** сетям. Модули VC по принципу своей работы похожи на коммутаторы, однако не являются ими. В них не реализован весь функционал коммутаторов. Вместе с тем, модули VC имеют особый специальный функционал, о котором речь пойдет ниже.

Модули VC бывают двух типов: Fibre Channel (FC) и конвергентные. Модули VC FC поддерживают FC 8 Гбит или 16 Гбит на внутренних и внешних портах. Для их подключения требуется наличие в блейд-серверах адаптеров FC HBA с соответствующей пропускной способностью. Конвергентные модули VC на внешних портах поддерживают до 40 Гбит Ethernet, а также 8 Гбит Fibre Channel.

Конвергентные модули работают только с установленными в блейд-серверах конвергентными адаптерами (CNA в Synergy и FlexFabric в системах c-class). Данные адаптеры поддерживают аппаратный FCoE, и в случае его использования от адаптера до модуля VC будет передаваться трафик FCoE, далее он будет преобразовываться в чистый FC, и от модуля VC во внешние сети пойдет трафик FC. В системах Synergy для активации FC подключений на конвергентных модулях VC необходимо приобретение лицензии. Кроме того, конвергентные модули VC поддерживают технологию NPAR, что позволяет делить пропускную способность адаптера на 4 партиции, выступающие как независимые порты.

В чем особенность сетевых модулей HPE Virtual Connect?

Все модули VC также поддерживают виртуализацию сетевых подключений. Эта функция дает возможность задать профили подключений, в которых будут указаны сетевые параметры (MAC-адрес***, WWN-адрес****, настройки загрузки по SAN и т.д.), и затем связать данные профили с отсеками в блейд-шасси. Указанные в профиле параметры автоматически будут применены к установленному в отсек серверу. Если в отсек установят другой сервер, параметры применятся к нему.

Решение VC обеспечивает следующие преимущества по сравнению с традиционными блейд-коммутаторами:

  • Возможность сокращения количества сетевых модулей при использовании подключений FC в конвергентных VC.
  • Возможность сокращения количества сетевых адаптеров при использовании конвергентных адаптеров и технологии NPAR.
  • Более эффективное использование пропускной способности адаптеров при применении технологии NPAR.
  • Упрощение взаимодействия между сетевым администратором и администратором блейд-системы – достаточно один раз задать настройки для профилей VC.
  • Упрощение процедур замены блейд-серверов или миграций нагрузок на другой блейд-сервер – достаточно переназначить профиль на требуемый отсек.
  • Наличие решения для централизованного управления сотнями блейд-систем с установленными модулями VC – Virtual Connect Enterprise Manager.

* LAN (англ. Local Area Network) – локальная вычислительная сеть.

** SAN (англ. Storage Area Network) – сеть хранения данных.

*** MAC (англ. Media Access Control) – адреса устройств, используемые для обмена данными в сетях Ethernet.

**** WWN (англ. Worldwide Name) – адреса устройств, используемые для обмена данными в сетях FC.

Более выгодная покупка – CUCM Express или BE6000?

Cisco Unified Communication Manager Express представляет собой IP АТС на базе маршрутизатора Cisco ISR. Преимущества данного решения в том, что один маршрутизатор можно использовать одновременно для различных задач, например, CUCME, firewall, VPN. Простота настройки и интеграция многих сервисов в одной коробке делает данное решение незаменимым для небольших компаний и филиалов с децентрализованной системой IP телефонии.

Cisco Business Edition 6000 также представляет собой продукт предназначенный для сравнительно небольших компаний (до 1000 сотрудников). Однако данное решение представляет собой уже отдельный сервер, с виртуализованным программным обеспечением.

Для понимания соотношения стоимости данных систем, предлагаем обратить внимание на диаграмму. При построении диаграммы были взяты системы в следующей конфигурации (перечислены ключевые элементы):

BE6000

  • Сервер и ПО
  • Лицензии типа Enhanced 
  • Маршрутизатор Cisco 2901 (в роли голосового шлюза)
  • Сервисные контракты SMARTnet и SWSS

CME

  • Маршрутизатор
  • Лицензии типа Enhanced
  • Сервисный контракт SMARTnet

Из диаграммы видно, что для системы с более чем 150 абонентами (Cisco ISR 2951) внедрение CME становится дороже BE6000. Предыдущая же модель Cisco ISR 2921, поддерживающая до 100 абонентов отличается по стоимости незначительно.

Более выгодная покупка – CUCM Express или BE6000?

Так же стоит отметить, что сравнивать два этих продукта напрямую, по стоимости, немного неверно, так как спектр их возможностей заметно отличается. Платформа BE6000 является системой унифицированных коммуникаций, сочетающей в себе IP телефонию, сервис присутствия и мгновенных сообщений, работу с клиентами на мобильных платформах, контакт центр и систему ВКС. В то время как CME представляет собой исключительно систему IP телефонии. Расширение системы BE6000 (до 1000 пользователей) также заметно выше этих показателей у CME (2911 до 50, 2921 до 100, 2951 до 150, и, к примеру, 3945E до 450 пользователей).

В чем смысл архитектуры сетевых модулей «Мастер-Спутник» в системах HPE Synergy?

В системах HPE Synergy, для ряда сетевых модулей поддерживается разделение на 2 вида: «мастер» и «спутник». Модули «мастер» являются стандартными сетевыми модулями с внутренними и внешними портами, которые осуществляют коммутацию и обеспечивают подключение вычислителей к LAN* и SAN** сетям. Модули «спутник» с внутренней стороны имеют аналогичные порты для вычислителей, а с внешней – только порты для подключения к модулям «мастер». Они служат повторителями сигнала, расширителями портов для модулей «мастер», и осуществляют лишь пассивную ретрансляцию к ним от своих вычислителей. Модули «мастер» и «спутник» устанавливаются в разные шасси (фреймы) и позволяют связать их в единую систему коммутации (т.н. логическое шасси, англ. Logical Enclosure).

К модулям «мастер» относятся коммутационный модуль Ethernet Synergy 40Gb F8 Switch Module, а также конвергентный модуль Virtual Connect SE 40Gb F8 Module for Synergy. Данные модули имеют 12 внутренних портов с пропускной способностью до 20 Гбит/с, 8 внешних QSFP+ разъемов*** с пропускной способностью до 40 Гбит/с, и 4 внешних порта 120 Гбит/с для подключения модулей «спутник».

В чем смысл архитектуры сетевых модулей «Мастер-Спутник» в системах HPE Synergy?

Сетевой модуль «мастер» (Switch Module / Virtual Connect)

Модули «спутник» могут работать только с вышеуказанными модулями «мастер». К ним относятся соединительные модули Synergy 10Gb Interconnect Link Module и Synergy 20Gb Interconnect Link Module. Первый имеет 12 внутренних портов 10 Гбит/с, а также 1 внешний порт 120 Гбит/с для подключения к модулю «мастер». Второй имеет 12 внутренних портов 20 Гбит/с, а также 2 внешних порта 120 Гбит/с для подключения к модулю «мастер».

В чем смысл архитектуры сетевых модулей «Мастер-Спутник» в системах HPE Synergy?

Сетевой модуль «спутник» (10 Гбит)

В чем смысл архитектуры сетевых модулей «Мастер-Спутник» в системах HPE Synergy?

Сетевой модуль «спутник» (20 Гбит)

Модуль «спутник» 10 Гбит подключается к модулю «мастер» одним портом. Соответственно, к одному модулю «мастер» можно подключить до 4 модулей «спутник» 10 Гбит и до 4 фреймов, если все они расположены в разных фреймах. Модуль «спутник» 20 Гбит подключается к модулю «мастер» двумя портами. Соответственно, к одному модулю «мастер» можно подключить до 2 модулей «спутник» 20 Гбит и до 2 фреймов, если они расположены в разных фреймах.

Если в качестве модулей «мастер» используются Virtual Connect, схема подключений может выглядеть так:

В чем смысл архитектуры сетевых модулей «Мастер-Спутник» в системах HPE Synergy?

Архитектура «мастер-спутник» обеспечивает следующие преимущества:

  • Устранение необходимости в коммутаторах уровня стойки (Top of the Rack), которые должны обеспечивать связь между разными серверами/шасси в стойке.
  • Повышение скорости обмена данными между вычислителями в разных фреймах в пределах одной системы коммутации (трафик не должен подниматься на высшие уровни коммутации, сетевая архитектура является «плоской»).
  • Обеспечение удобного способа связи между разными фреймами при использовании модулей Virtual Connect (поскольку сами VC не являются коммутаторами, они не могут быть напрямую подключены друг к другу).
  • Снижение общей стоимости решения (модули «спутник» значительно дешевле модулей «мастер» и обычных коммутаторов).

* LAN (англ. Local Area Network) – локальная вычислительная сеть.

** SAN (англ. Storage Area Network) – сеть хранения данных.

*** QSFP+ (англ. Quad Small Form-factor Pluggable) разъем – разъем на сетевом оборудовании стандарта QSFP+, в который для получения готового порта/портов с определенной пропускной способностью необходимо установить совместимый трансивер.

Какие варианты организации автосекретаря (IVR) возможны на базе решений Cisco?

1. На базе контакт-центра (UCCE или UCCX).

Максимально функциональное и гибкое решение. UCCX устанавливается в качестве виртуальной машины. Настраивается функционал IP IVR. Сам скрипт IVR создаётся с помощью Cisco Unified CCX Editor. Решение UCCX интегрируется с CUCM. Максимальное количество сессий ограничивается мощностью виртуального сервера (шаблона) и количеством приобретенных лицензий.

2. На базе решения Cisco Unity Express (CUE).

Данное решение представлено в виде модуля в маршрутизатор Cisco (например, ISM-SRE-300-K9, SM-SRE-700-K9 и т.д.). Скрипт IVR создаётся с помощью Cisco Unity Express Editor IVR. Решение является достаточно функциональным. Логика создания и работы сильно пересекается с решением на базе UCCX. При этом есть жёсткое ограничение на максимальное количество сессий (максимум 10 для ISM-SRE-300-K9 и 32 для SM-SRE-700 - SM-SRE-910).

3. На базе решения Cisco Unity Connection (CUC).

Данное решение является голосовой почтой и устанавливается на отдельную виртуальную машину. Встроенные средства CUC позволяет создать логику работы автосекретаря (используются встроенные обработчики - handler). Необходимо отметить, что так как используются стандартные конструкции для создания автосекретаря, это налагает определённые ограничения на его функциональность. Так же часть встроенных фраз (например, «вызываемый абонент занят») нельзя заменить на собственные, запись приветствий возможна только через компьютер или телефон – нельзя загрузить предварительно записанные приветствия. Решение интересно в первую очередь тем, что идёт в составе бандла BE 6000.

4. На базе скрипта. В данном случае функционал автосекретаря может быть реализован с помощью TCL или VXML языков.

Существует скрипт, написанный, на базе TCL, который официально поддерживает Cisco - Basic automatic call distribution (B-ACD) and auto-attendant (AA) service. Его существенное ограничение – это запрограммированная логика работы.

Можно создать собственный скрипт на базе TCL или VXML. Скрипт загружается на маршрутизатор Cisco. Необходимо отметить, что при использовании скриптов возможны случаи, когда не все SIP сообщения отрабатываются корректно.

Решение Сравнительная стоимость (GPL)
На базе контакт-центра (UCCX) В составе решения BE6000 минимальная стоимость CCX – 995 у.е., 100 сессий.
На базе решения Cisco Unity Express (CUE) Минимальная стоимость решения на 2 сессии с модулем ISM-SRE-300-K9 – 1000 у.е.
На базе решения Cisco Unity Connection (CUC) При покупке решения BE6000 CUС является обязательны компонентом, 25 сессий.
На базе скрипта (TCL, VXML) TCL не лицензируется, VXML лицензия на одну сессию – 150 у.е.
Как порты сетевых адаптеров вычислительных модулей подключаются к сетевым модулям в системе HPE Synergy? Какие имеются рекомендации по установке сетевых модулей?

В системе HPE Synergy передача данных от портов сетевых адаптеров вычислителей до сетевых модулей осуществляется через внутреннюю сигнальную панель шасси (фрейма). При этом, определенные мезанин-слоты связаны с определенными отсеками для сетевых модулей. Электрический сигнал от установленных в данных слотах адаптеров передается только соответствующим сетевым модулям.

Нумерация отсеков для сетевых модулей идет сверху вниз. Отсеки 1 и 4, 2 и 5, 3 и 6 связаны попарно в три структуры коммутации. В данные пары отсеков допускается ставить только одинаковые сетевые модули (за исключением модулей «мастер» и «спутник») в целях отказоустойчивости.

Как порты сетевых адаптеров вычислительных модулей подключаются к сетевым модулям в системе HPE Synergy? Какие имеются рекомендации по установке сетевых модулей?

Нумерация отсеков для сетевых модулей в системе Synergy

Схема внутренней коммутации зависит от установленного типа вычислительного модуля – половинной или полной высоты. Вычислитель половинной высоты (SY 480 Gen.9 и SY 480 Gen.10) имеет 3 мезанин-слота для сетевых адаптеров. Все адаптеры могут иметь 2 порта. В системах Synergy для вычислителей половинной высоты внутренняя коммутация осуществляется следующим образом:

  • 1й и 2й порты адаптера в первом мезанин-слоте выведены на отсеки 1 и 4 соответственно.
  • 1й и 2й порты адаптера во втором мезанин-слоте выведены на отсеки 2 и 5 соответственно. Требуется наличие второго процессора.
  • 1й и 2й порты адаптера в третьем мезанин-слоте выведены на отсеки 3 и 6 соответственно.

Как порты сетевых адаптеров вычислительных модулей подключаются к сетевым модулям в системе HPE Synergy? Какие имеются рекомендации по установке сетевых модулей?

Подключение мезанин-слотов к сетевым отсекам для вычислителя половинной высоты в системе Synergy

Вычислители полной высоты SY 660 Gen.9, SY 660 Gen.10 имеют 6 мезанин-слотов для сетевых адаптеров. Все адаптеры могут иметь 2 порта. В системах Synergy для вычислителей полной высоты SY 660 Gen.9, SY 660 Gen.10 внутренняя коммутация осуществляется следующим образом:

  • 1й и 2й порты адаптера в первом мезанин-слоте выведены на отсеки 1 и 4 соответственно.
  • 1й и 2й порты адаптера во втором мезанин-слоте выведены на отсеки 2 и 5 соответственно. Требуется наличие третьего и четвертого процессора.
  • 1й и 2й порты адаптера в третьем мезанин-слоте выведены на отсеки 3 и 6 соответственно.
  • 1й и 2й порты адаптера в четвертом мезанин-слоте выведены на отсеки 1 и 4 соответственно.
  • 1й и 2й порты адаптера в пятом мезанин-слоте выведены на отсеки 2 и 5 соответственно. Требуется наличие третьего и четвертого процессора.
  • 1й и 2й порты адаптера в шестом мезанин-слоте выведены на отсеки 3 и 6 соответственно.

Как порты сетевых адаптеров вычислительных модулей подключаются к сетевым модулям в системе HPE Synergy? Какие имеются рекомендации по установке сетевых модулей?

Подключение мезанин-слотов к сетевым отсекам для вычислителей полной высоты SY 660 Gen.9, SY 660 Gen.10 в системе Synergy

Вычислители полной высоты SY 620 Gen.9, SY 680 Gen.9 имеют 5 и 10 мезанин-слотов для сетевых адаптеров соответственно. Все адаптеры могут иметь 2 порта. В системах Synergy для вычислителей полной высоты SY 620 Gen.9, SY 680 Gen.9 внутренняя коммутация осуществляется следующим образом (для SY 680 обязательно наличие 4 процессоров):

  • 1й и 2й порты адаптера в первом (и шестом для SY 680) мезанин-слоте выведены на отсеки 1 и 4 соответственно. Требуется наличие второго процессора для SY 620.
  • 1й и 2й порты адаптера во втором (и седьмом для SY 680) мезанин-слоте выведены на отсеки 2 и 5 соответственно. Требуется наличие второго процессора для SY 620.
  • 1й и 2й порты адаптера в третьем (и восьмом для SY 680) мезанин-слоте выведены на отсеки 3 и 6 соответственно. Требуется наличие второго процессора для SY 620.
  • 1й и 2й порты адаптера в четвертом (и девятом для SY 680) мезанин-слоте выведены на отсеки 1 и 4 соответственно.
  • 1й и 2й порты адаптера в пятом (и десятом для SY 680) мезанин-слоте выведены на отсеки 3 и 6 соответственно.

Как порты сетевых адаптеров вычислительных модулей подключаются к сетевым модулям в системе HPE Synergy? Какие имеются рекомендации по установке сетевых модулей?

Подключение мезанин-слотов к сетевым отсекам для вычислителей полной высоты SY 620 Gen.9, SY 680 Gen.9 в системе Synergy

С точки зрения размещения сетевых модулей, HPE предлагает следующие рекомендации:

  1. Модули Ethernet (патч-панель и коммутатор), а также конвергентные Virtual Connect следует размещать в отсеках 3 (первый модуль) и 6 (второй модуль, при наличии). Допускается устанавливать одинаковые модули «мастер», либо одинаковые модули «спутник», либо комбинировать «мастер» и «спутник» (второй и третий случай – если фрейм подключается к модулю «мастер» другого фрейма). Если модули SAS/FC не требуются, а вместо них имеются дополнительные модули Ethernet / конвергентные VC, то, после заполнения отсеков 3 и 6, следует заполнить отсеки 1 и 4, и затем 2 и 5.
  2. Модули SAS, в случае их использования, следует размещать:
    • Если DAS модуль D3940 расположен в пределах фронтальных отсеков 1-6 (см. рисунок ниже) – в отсеках 1 (первый модуль) и 4 (второй модуль, при наличии и использовании резервного адаптера ввода/вывода).
    • Если DAS модуль D3940 расположен в пределах фронтальных отсеков 7-12 (см. рисунок ниже) – в отсеках 4 (первый модуль) и 1 (второй модуль, при наличии и использовании резервного адаптера ввода/вывода).
  3. Модули FC (коммутатор и Virtual Connect), в случае их использования, следует размещать:
    • Если SAS коммутаторы используются – в отсеках 2 (первый модуль) и 5 (второй модуль, при наличии).
    • Если SAS коммутаторы не используются – в отсеках 1 (первый модуль) и 4 (второй модуль, при наличии).

Данные рекомендации связаны с тем, что SAS контроллер, отвечающий за подключение вычислительного модуля к SAS коммутаторам, из-за своих размеров может быть установлен только в первый мезанин-слот вычислителя. Соответственно, для корректного подключения SAS коммутаторы должны ставиться в связанные с первым мезанин-слотом отсеки – 1 и 4. С другой стороны, Ethernet и конвергентные адаптеры имеют самые маленькие размеры, а потому их удобно размещать в небольшом третьем мезанин-слоте, связанном с отсеками 3 и 6.

Как порты сетевых адаптеров вычислительных модулей подключаются к сетевым модулям в системе HPE Synergy? Какие имеются рекомендации по установке сетевых модулей?

Нумерация фронтальных отсеков для вычислителей в системе Synergy

Какие существуют технологии записи разговоров для IP-телефонии?

Принципиально существуют 2 технологии записи:

SPAN-based – с помощью сетевого оборудования весь сетевой трафик с IP-телефонов, шлюзов, IP-АТС дублируется на сервер записи.

  • Плюсы
    • Не зависит от типов IP-телефонов, шлюзов, IP-АТС
  • Минусы
    • Относительная сложность настройки
    • Не все модели сетевого оборудования поддерживают технологию SPAN
    • Повышенная нагрузка на сетевое оборудование и сервер записи
    • В большинстве случаев требует отдельного сервера записи для каждой площадки (офиса)

SPAN-less – с помощью технологий встроенных в IP-телефоны (для оборудования Cisco это Built-in-Bridge), шлюзы (для оборудования Cisco это CUBE), IP-АТС только голосовой трафик интересующих вызовов отправляется на сервер записи.

  • Плюсы
    • Относительная легкость настройки (не требует перенастройки сетевого оборудования)
    • Низкая нагрузка на сетевое оборудование
    • Возможность записи вызовов в удаленных офисах без дополнительных серверов записи
    • Возможность проигрывать предупреждение о записи, если это требует законодательство
  • Минусы
    • Необходима поддержка данной технологии со стороны IP-телефонов, шлюзов, IP-АТС
Какие телефоны не поддерживаются Cisco Unified Communication Manager (CUCM) версии 11.5?

Начиная с версии CUCM 11.5(1) компания Cisco прекратила поддержку следующих устаревших моделей телефонов:

  • Cisco IP Phone 12S, 12SP, 12SP+
  • Cisco IP Phone 30SP+, 30VIP
  • Cisco Unified IP Phone 7902G, 7905G
  • Cisco Unified IP Phone 7910, 7910G, 7910+SW, 7910G+SW
  • Cisco Unified IP Phone 7912G
  • Cisco Unified Wireless IP Phone 7920
  • Cisco Unified IP Conference Station 7935

Если у вас имеются телефоны перечисленных моделей, то после обновления до CUCM 11.5, они не смогут зарегистрироваться на сервере.

Какие варианты подключения по 10 Гбит/с существуют на оборудовании HPE?

Серверы HPE поддерживают сетевые адаптеры на 10 Гбит/с в форматах PCIe (для установки в стандартный слот PCI Express) и FlexibleLOM (для установки в специальный выделенный слот). Некоторые типовые модели стоечных серверов ProLiant DL Gen9/Gen10 поставляются с уже установленным FlexibleLOM адаптером на 10 Гбит/с.

В СХД HPE порты под 10 Гбит/с встроены в контроллер, их тип и количество непосредственно зависят от типа контроллера. Некоторые СХД (например, 3PAR StoreServ) поддерживают установку в контроллеры специальных плат расширения с дополнительными портами 10 Гбит/с. В различных моделях СХД могут присутствовать медные порты на 10 Гбит/с (например, StoreVirtual 3200), либо SFP+ разъемы. В данные разъемы для получения портов вставляются оптические трансиверы, либо медные DAC кабели.

Аналогично, в коммутаторах HPE интерфейсы 10 Гбит/с могут быть представлены как встроенные медные порты или в виде SFP+ разъемов.

1. Подключение серверов. Адаптер с медными портами 10 Гбит/с

Для подключения потребуется медный кабель (витая пара) категории 6 (расстояние до 55м), 6a (расстояние до 100м) со стандартным коннектором 8P8C (часто называют RJ45).

Какие варианты подключения по 10 Гбит/с существуют на оборудовании HPE?

Примеры парт-номеров адаптеров:

HPE Ethernet 10Gb 2-port 561T Adapter 716591-B21
HPE FlexFabric* 10Gb 4-port 536FLR-T Adapter 764302-B21

* Для справки: FlexFabric – конвергентный тип адаптера, позволяющий в рамках Ethernet передавать в том числе и FC (технология FCoE).

Совместимость

В данном варианте производитель коммутатора не важен, подойдет любой коммутатор с медным портом 10 Гбит/с.

2. Подключение серверов. Адаптер с разъемами SFP+ 10 Гбит/с

На данном адаптере находятся пустые разъемы типа SFP+. Для получения портов требуется использовать соответствующие трансиверы, которые вставляются в SFP+ разъемы. Другой вариант – использовать DAC-кабели.

Необходимо отметить, что в настоящее время (лето 2017 года) оптические трансиверы SFP+ 10 Гбит доступны для всех типов оборудования HPE (серверные адаптеры, СХД, коммутаторы), а медные SFP+ 10 Гбит – только для некоторых моделей (например, СХД MSA).

Примеры парт-номеров адаптеров:

HPE Ethernet 10Gb 2-port 546SFP+ Adapter 779793-B21

2.1 Для подключения используются трансиверы SFP+ и оптический кабель

Какие варианты подключения по 10 Гбит/с существуют на оборудовании HPE?

Тип трансивера зависит от типа используемой оптики и расстояния:

LRM - до 220м, MMF (многомод)
SR – до 300м, MMF (многомод)
LR – до 10км, SMF (одномод)
ER* – до 40км, SMF (одномод)
* Для справки: устаревший тип трансивера

Примеры парт-номеров:

HPE BladeSystem c-Class* 10Gb SFP+ SR Transceiver 455883-B21
HPE BladeSystem c-Class* 10Gb SFP+ LR Transceiver 455886-B21
HPE BladeSystem c-Class* 10Gb SFP+ LRM Transceiver 455889-B21
* Для справки: несмотря на присутствие BladeSystem c-Class в названии данных трансиверов, они могут применяться не только для блейд-систем, но и для адаптеров в стоечных серверах HPE.

Для непосредственно коммутации потребуется оптический патч-корд. Разъём на трансивере имеет тип LC.

Совместимость

В данном варианте производитель коммутатора не важен. Мы можем купить сервер HPE и установить на другой стороне, например, коммутатор Cisco с трансивером Cisco для нужного типа оптики.

2.2 Для подключения используется кабель типа Direct Attach Copper (DAC)

Кабель DAC представляет собой медный кабель с впаянными с двух сторон трансиверами SFP+. Более экономичное решение по сравнению с использованием оптических трансиверов и кабелей. Расстояние до 7м.

Какие варианты подключения по 10 Гбит/с существуют на оборудовании HPE?

Примеры парт-номеров (различная длина):

HPE X242 10G SFP+ to SFP+ 1m Direct Attach Copper Cable J9281B
HPE X242 10G SFP+ to SFP+ 3m Direct Attach Copper Cable J9283B
HPE X242 10G SFP+ to SFP+ 7m Direct Attach Copper Cable J9285B

Совместимость

При выборе DAC-кабеля необходимо учитывать, что трансиверы одного вендора официально совместимы только с оборудованием (серверные адаптеры, коммутаторы, СХД) этого же вендора. То есть, в случае подключения сервера HPE через DAC-кабель необходим коммутатор HPE с разъемом SFP+. Официальная позиция HPE – «The HPE DAC cables do not work with Cisco switches».

Что такое NPE?

Данная аббревиатура (NPE — No payload encryption) означает, что в программном обеспечении отсутствуют функции любого шифрования, кроме шифрования данных, передаваемых при управлении устройством, а именно протоколом SSH, SSL в рамках HTTPS и SNMPv3. Маршрутизаторы и межсетевые экраны Cisco с программным обеспечением NPE попадают в категорию С2.

Какие варианты SSD накопителей поддерживаются на оборудовании HPE? В чем разница между RI, WI, MU SSD?

На сегодняшний день принято выделять 3 типа SSD накопителей: SLC, MLC, TLC. Вся разница между ними заключается в объеме данных, который хранится в каждой ячейке накопителя.

  • SLC - Single Level Cell (1 бит информации в ячейке). Самый надежный тип накопителей (имеется в виду устойчивость к износу флеш-памяти вследствие перезаписи ячеек), самый быстрый и самый дорогой. Чаще всего используется в серверах и системах хранения корпоративного класса.
  • MLC - Multi Level Cell (2 бита информации в ячейке). Второй по надежности, скорости и цене. Встречается также разновидность Enterprise MLC (eMLC), по надежности более близкая к SLC. Такие накопители используются в большинстве серверов и производительных рабочих станций.
  • TLC - Triple Level Cell (3 бита информации в ячейке). Наименее надежный, самый медленный, стоимость ниже, объемы выше. Может использоваться в бюджетных серверах, рабочих станциях и персональных компьютерах.

Кроме того, каждый производитель может использовать собственную классификацию своих SSD накопителей. Компания HPE делит свои SSD на 3 вида - Read Intensive (RI), Write Intensive (WI), Mixed Use (MU). Вот чем они отличаются:

  • Read Intensive. Использует тип MLC и TLC. Оптимизирован для операций чтения, DWPD* равно или меньше 1.
  • Write Intensive. Использует SLC или eMLC. Оптимизирован для операций записи. DWPD* равно или больше 10.
  • Mixed Use. Использует eMLC или MLC. Оптимизирован для равномерной нагрузки по чтению и записи. DWPD* от 1 до 10.

* Для справки: DWPD – Drive Writes per Day. Данный показатель означает, сколько раз можно перезаписать весь объем SSD накопителя в день по отношению к гарантийному сроку. То есть, если накопитель имеет объем 240 ГБ и DWPD равно 1, то это означает, что в день можно перезаписать не более 240 ГБ, и так все время на протяжении гарантийного срока. Превышение данного ограничения может повлечь сокращение срока службы накопителя.

Что означает K7, K8 и K9 в парт-номере ASA5500? Почему можно без проблем заказывать только K7 и K8?

На данный момент серии ASA 5500 существует два варианта поставки K8 и K9, а для серии ASA 5500-X три – K7, K8 и K9.

Символ "K7" означает, что на ASA загружено программное обеспечение NPE. Такое оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K8" означает, что на ASA загружено программное обеспечение, которое поддерживает алгоритмы шифрования с длиной ключа меньше 56 бит. Это так называемые слабые алгоритмы шифрования. Таким алгоритмом шифрования является алгоритм DES. Это справедливо как для алгоритмов шифрования пользовательского трафика, так и для алгоритмов шифрования трафика управления. Данное оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K9" означает, что на ASA загружено программное обеспечение с лицензией 3DES/AES, которое поддерживает стойкие алгоритмы шифрования (больше 56 бит) и для шифрования пользовательского трафика и для шифрования трафика управления. Такое оборудование попадает в категорию C3 и требует получения лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.

Изменить K7 на K8 можно только загрузкой нового ПО (это два разных образа ПО). Для выполнения этой операции необходимо иметь действующую расширенную гарантию (Smartnet) или приобрести отдельно возможность разового обновления ПО (ASA-SW-UPGRADE=, ASA 5500 Series One-Time Software Upgrade for Non-SMARTnet).

Изменить K8 на K9 можно загрузив специализированную лицензию, так как K9 – это расширение функционала образа K8. Данную лицензию можно получить бесплатно на сайте компании Cisco.

Какие варианты HDD дисков поддерживаются на оборудовании HPE? Что такое SAS Fast Class, Enterprise, Midline, Nearline?

HDD диски, поддерживаемые на серверах и системах хранения HPE, различаются по нескольким основным параметрам:

  1. Форм-фактор – поддерживаются диски формата LFF (3,5 дюйма) и SFF (2,5 дюйма);
  2. Объем – поддерживаются диски объемом от 300 ГБ до 10 ТБ;
  3. Скорость вращения шпинделя – поддерживаются диски со скоростями 15000 (15K), 10000 (10K) и 7200 (7.2K) оборотов в минуту;
  4. Интерфейс подключения – поддерживаются диски с интерфейсом SAS 12 Гбит, либо SATA 6 Гбит.

У некоторых производителей (в т.ч. HPE) для обозначения дисков с определенной скоростью вращения шпинделя и определенным интерфейсом подключения приняты следующие наименования:

  • Тип Fast Class или Enterprise – диски SAS 15K или SAS 10K;
  • Тип Nearline или Midline – диски SAS 7.2K или SATA 7.2K.

Какие варианты HDD дисков поддерживаются на оборудовании HPE? Что такое SAS Fast Class, Enterprise, Midline, Nearline?

Какие варианты организации защищенного VPN соединения в центральном офисе на базе маршрутизатора Cisco существуют?

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования. Выбор маршрутизатора происходит, исходя из требуемой производительности.

Пример конфигурации:

Парт-номер Описание Кол-во 
ISR4321-SEC/K9 Cisco ISR 4321 Sec bundle w/SEC license 1

Б. Использование решения от компании C-терра.

Модуль NME-RVPN, также как и модуль МСМ-950 сняты с производства.

Актуальное решение - С-Терра CSCO-STVM. Это программный модуль, в виде виртуальной машины (OVA). Данный модуль устанавливается на маршрутизаторы серии ISR4000.

Данное решение обладает ФСТЭК и ФСБ сертификатами и обеспечивает шифрование по ГОСТу.

Для того, чтобы данный программный модуль можно было установить на маршрутизатор, необходим Cisco SSD-диск для маршрутизатора и RAM+FLASH не менее 8 ГБ.

Производительность решения:

Какие варианты организации защищенного VPN соединения в центральном офисе на базе маршрутизатора Cisco существуют?

Пример конфигурации на базе ISR4321:

Парт-номер Описание Кол-во   
ISR4321/K9 Cisco ISR 4321 (2GE,2NIM,4G FLASH,4G DRAM,IPB 1
MEM-4320-4GU8G 4G to 8G DRAM Upgrade (Fixed 4G + additional 4G) for ISR4320 1
MEM-FLSH-4U8G 4G to 8G eUSB Flash Memory Upgrade for Cisco ISR 4300 1
SSD-MSATA-200G 200 GB, SATA Solid State Disk for Cisco ISR 4300 Series 1
STVM-С1-ST-КС1 до 200 туннелей. Программный комплекс С-Терра Шлюз для маршрутизаторов Cisco 4321, 4331 с ограничением на 1 процессорное ядро 1

В. Использование сторонних (не Cisco) средств для шифрования. При этом подключение к сети Интернет и маршрутизацию трафика осуществляем на оборудовании Cisco. Например, используем полноценное решение от компании С-Терра - С-Терра Шлюз 1000 (прежнее название - CSP VPN Gate):

Парт-номер Описание Кол-во
CISCO2901/K9 Cisco 2901 w/2 GE,4 EHWIC,2 DSP,256MB CF,512MB DRAM,IP Base 1
S29NPEK9-15102T Cisco 2901-2921 IOS UNIVERSAL - NO PAYLOAD ENCRYPTION 1
HWIC-4ESW= Four port 10/100 Ethernet switch interface card 1
G-1000-D-4111-4-ST-KC2 DEPO Sky 1140, 4xLAN 1GB, Redundant PS, Rack mount 1U, СПДС-USB-01 1

В данной спецификации приведён модуль HWIC-4ESW для увеличения количества портов. К нему и будет подключен С-Терра Шлюз 1000.

Также, шлюз безопасности С-Терра доступен в виде виртуальной машины для различных платформ виртуализации (С-Терра Виртуальный шлюз).

Какие новые комплектующие были добавлены в серверы HPE ProLiant Gen.10?

В 10м поколении серверов ProLiant HPE использовал ряд новых аппаратных компонентов. Среди них можно выделить:

  1. Процессоры Intel Xeon поколения Scalable Family (линейка Skylake). Отличаются увеличенным количеством ядер (до 28) и каналов памяти (6), а также улучшенной архитектурой, которая дает прирост производительности порядка 65% по сравнению с предыдущим поколением (по данным Intel). Энергопотребление до 205 Вт.
  2. Оперативная память DDR4 с новой скоростью работы DDR4-2666.
  3. Модули энергонезависимой оперативной памяти NVDIMM объемом 16 ГБ. Их можно устанавливать в обычные серверы ProLiant Gen.10 (до 384 ГБ). Кроме того, имеется опция Scalable Persistent Memory – специальным образом собранный DL380 Gen.10 с 1 ТБ энергонезависимой памяти.
  4. Новые RAID-контроллеры. Семейство RAID-контроллеров для серверов ProLiant Gen.10 было полностью изменено. Теперь оно представлено линейками S-Class (программный RAID, от англ. Software), E-Class (аппаратный RAID начального уровня, от англ. Essential) и P-Class (высокопроизводительный аппаратный RAID, от англ. Performance).
    • В S-Class поддерживается RAID 0/1/5 и до 14 SATA накопителей.
    • В E-Class поддерживается RAID 0/1/5/10 и до 8 SATA/SAS накопителей.
    • В P-Class поддерживаются все уровни RAID, до 16 SATA/SAS накопителей и до 4 ГБ кэш-памяти.
  5. SSD накопители формата uFF (англ. micro form-factor). Объемы 120 и 340 ГБ, SATA. 2 таких SSD устанавливаются в SFF салазки.
  6. Блоки питания на 1600 Вт для серверов DL.
  7. Датчик обнаружения вскрытия корпуса. Работает даже при отключенном питании. При попытке вскрытия на чип iLO сервера отправляется сигнал, по возникновению которого можно настроить совершение тех или иных действий (например, отправку уведомления администратору).
Требуется решение для подключения дополнительного офиса с поддержкой стойкой шифрации. Какие возможны варианты?

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования. Выбор маршрутизатора происходит исходя из требуемой производительности, например:

Парт-номер Описание Кол-во
C881-K9* Cisco 880 Series Integrated Services Routers 1

* В качестве альтернативного варианта можно также использовать 891F.

Помимо маршрутизатора Cisco, можно рассмотреть вариант приобретения межсетевого экрана Cisco ASA. Во многих случаях решение Cisco ASA предоставляет весь необходимый функционал для подключения небольшого офиса к сети Интернет и организации защищённого соединения с ЦО.

Парт-номер Описание Кол-во
ASA5506-K9 ASA 5506-X with FirePOWER services, 8GE, AC, 3DES/AES 1

Б. Если организация является банком и хочет подключить удаленный офис, то можно использовать следующее решение:

Парт-номер Описание Кол-во
CISCO867VAE-PCI-K9* Cisco 867VAE Secure router with VDSL2/ADSL2+ over POTS 1

Данное решение не требует лицензии Минпромторга России на ввоз, так как попадает в одно из исключений и обладает нотификацией.

* Поддерживается подключение к Интернет по GigabitEthernet и VDSL/ADSL через телефонную линию. Не поддерживаются протоколы динамической маршрутизации EIGRP, OSPF, функционал DMVPN.

В. Покупка оборудования Cisco и С-терра.

Можно приобрести, например, маршрутизатор Cisco 881 с образом NPE и шлюз С-Терра Шлюз 100.

Другой вариант – ISR4321 + программный модуль С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»).

Что означает опция FBWC в RAID-контроллерах HPE Smart Array? Зачем нужна батарея Smart Storage Battery?

Опция FBWC (англ. Flash Backup Write Cache) означает наличие в RAID-контроллере, наряду с кэш-памятью, модуля энергонезависимой флеш-памяти. В случае неожиданной потери питания данные из кэш-памяти переписываются во флеш-память и могут храниться там бесконечно долго.

Батарея Smart Storage Battery обеспечивает питание, необходимое в момент перезаписи данных. Она может поддерживать до 20 RAID-контроллеров, и потому, как правило, на один сервер ставится только одна батарея. Использование контроллеров с опцией FBWC без Smart Storage Battery не допускается.

Почему возникли проблемы с поставкой крипто-содержащего оборудования на территорию РФ?

В соответствии с Российским законодательством (Указ 334 от 1995 года, ПП 957 2007) ввоз на территорию РФ крипто-содержащих средств с длиной ключа более 54 бит (алгоритмы шифрации 3DES/AES) разрешен только при получении лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на каждую единицу оборудования.

Как изменилось семейство RAID-контроллеров Smart Array на серверах Gen.10?

Контроллеры Smart Array для серверов Gen.10 представлены тремя линейками: S-Class (программный RAID, от англ. Software), E-Class (аппаратный RAID начального уровня, от англ. Essential) и P-Class (высокопроизводительный аппаратный RAID, от англ. Performance).

  • К линейке S-Class относится программный RAID S100i SR.
  • К линейке E-Class относятся RAID-контроллеры E208i-a SR, E208i-p SR, E208e-p SR, E208i-c SR.
  • К линейке P-Class относятся RAID-контроллеры P408i-a SR, P408i-p SR, P408e-p SR, P816i-a SR, P204i-b SR, P408e-m SR, P204i-c SR, P408i-c SR, P416ie-m SR.
  S-Class E-Class P-Class
Тип RAID-контроллера Программный RAID, работающий через драйверы Аппаратный RAID-контроллер с ограниченными возможностями Полноценный аппаратный RAID-контроллер
Подключение RAID-контроллера Использует встроенные SATA-порты на мат. плате сервера PCIe слот, либо специальный модульный слот PCIe слот, либо специальный модульный слот, либо мезанин-слот в блейдах
Кэш-память FBWC Нет Нет 1 ГБ / 2 ГБ / 4 ГБ
Уровни RAID 0/1/5 0/1/5/10 0/1/5/6/10/50/60/10 ADM**
Интерфейс SATA 6 Гбит/с SAS 12 Гбит/с SAS 12 Гбит/с
Количество накопителей До 14 До 8 До 16
Поддержка смешанного режима работы* Нет Да Да
Поддержка SmartCache Нет Нет Да, требуется лицензия (на P816i-a SR по умолчанию)
Поддержка шифрования Нет Да, требуется лицензия Да, требуется лицензия
Стоимость Всегда доступен по умолчанию Низкая От средней до высокой

*в смешанном режиме контроллер может одновременно выступать и как RAID, и как HBA (подключение накопителей без RAID) устройство.

**RAID 10 ADM (англ. Advanced Data Mirroring) позволяет использовать три накопителя в каждой из зеркалируемых подгрупп для повышения отказоустойчивости.

Как изменилось семейство RAID-контроллеров Smart Array на серверах Gen.10?

Пример расшифровки названия контроллера

Как может быть использовано оборудование Cisco совместно с другими производителями при выполнении функций шифрования?

Сам процесс шифрования можно перенести на другие устройства, то есть, маршрутизатор Cisco отправляет трафик на другое устройство, которое его шифрует и возвращает обратно на маршрутизатор. При этом подключение к сети Интернет, маршрутизацию трафика, создание GRE туннеля, поддержку DMVPN (без шифрации данных) осуществляем на оборудовании Cisco.

Существует следующие варианты построения таких решений:

  • Маршрутизаторы Cisco ISR G2 или ISR4K совместно с блейд-серверами Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2, на которых установлен виртуальный шлюз С-терра;
  • Маршрутизаторы Cisco ISR4k совместно с программным модулем С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»);
  • Использование сторонних средств для шифрования, которые никак не интегрируются с оборудование Cisco. Например, С-терра Gate.
Что такое HPE iLO? Чем отличаются iLO Standard, Scale-Out, Essentials, Advanced, Advanced Premium Security Edition?

HPE iLO (англ. Integrated Lights-Out) – фирменное название аппаратного чипа BMC (англ. Baseboard Management Controller), встроенного в каждый сервер HPE. Чипы BMC представляют собой микрокомпьютер, расположенный на материнской плате сервера. Он используется для удаленного мониторинга (температура, состояние основных компонентов, фиксация событий) и управления оборудованием (включение, перезагрузка, удаленная консоль). Для функционирования BMC достаточно подключить сервер к источнику питания – он работает независимо от состояния основного сервера и наличия на нем ОС. BMC используются как в решениях HPE (iLO), так и у других производителей (например, у Dell EMC они называются iDRAC).

iLO, как и серверы, различаются по поколениям, в зависимости от используемой версии прошивки. На начало 2018 года самой новой версией является iLO 5, которая поставляется с серверами Gen.10. Также широко распространена версия iLO 4, используемая на серверах Gen.9 и Gen.8.

iLO для своей работы требует наличия лицензии. По умолчанию с каждым сервером HPE поставляется лицензия Standard, открывающая функции мониторинга и базового управления (включение/выключение, перезагрузка, удаленная консоль только в BIOS до момента загрузки ОС). Дополнительно заказчик может приобрести лицензию более высокого уровня, открывающую расширенные функции. При этом лицензии Scale-Out и Essentials могут применяться только к определенным серверам: Essentials – к линейкам ProLiant уровня 100 и ниже, Scale-Out – к DL уровня 100 и ниже, BL, WS и Apollo.

  • Лицензия Essentials в дополнение к функциям Standard открывает возможности полноценной удаленной консоли, удаленного монтирования устройств и оповещений по электронной почте.
  • Лицензия Scale-Out открывает функции объединенного управления несколькими консолями, оповещений по электронной почте, регистрации событий, расширенного управления питанием и записи действий с виртуальным последовательным портом.
  • Лицензия Advanced открывает все доступные функции, кроме расширенных функций безопасности.
  • Лицензия Advanced Premium Security Edition открывает все функции, включая расширенные функции безопасности – шифрование канала управления с использованием наиболее стойких из коммерчески доступных алгоритмов, автоматическую проверку прошивок iLO и BIOS в процессе работы, автоматическое восстановление прошивок iLO в случае проблем, безопасное удаление пользовательских данных и настроек iLO.

Полную информацию по перечисленным лицензиям можно найти в официальном справочном документе.

Требуется решение по построению VPN сети. При этом не предъявляется особых требований к стойкости алгоритмов шифрации. На каком оборудовании возможно реализовать проект?

В данной ситуации мы можем предложить реализовать данный проект на базе оборудования ASA K8. В этом случае трафик будет шифроваться, но стойкость алгоритма шифрования будет низкой. При этом не будет проблем со ввозом оборудования. Можно также рассмотреть вариант с использованием сторонних средств шифрования, например, С-терра.

В чем разница между IOPS и МБ/с (ГБ/с)?

Показатели IOPS и МБ/с (ГБ/с) характеризуют производительность отдельного накопителя или системы хранения.

Величина IOPS (англ. Input/Output Per Second) показывает количество операций чтения или записи, которые были произведены накопителем или RAID группой за единицу времени (в качестве общепринятой единицы используется секунда). Как правило, максимально возможные показатели IOPS публикуются в документации к системам хранения и SSD накопителям.

Величины МБ/с (мегабайт в секунду) и ГБ/с (гигабайт в секунду) применяются для обозначения пропускной способности, т.е. объема данных, который был передан через интерфейс ввода/вывода за единицу времени (опять же, за секунду). Как правило, максимально возможные показатели пропускной способности публикуются в документации к HDD дискам, некоторым SSD накопителям и системам хранения.

Данные величины связаны между собой следующим образом:

МБ/с = IOPS x размер блока чтения или записи (КБ) / 1000

То есть, зная объем данных, который был прочитан или записан за секунду, и размер блока, с которым производились операции чтения/записи, мы можем получить количество операций в секунду, и наоборот. К примеру, SATA диск с показателем IOPS, равным 100, при размере блока в 64 КБ, может достигнуть:

100 х 64 / 1000 = 6,4 МБ/с

Показатели IOPS и пропускной способности не являются жестко фиксированными для определенного накопителя или СХД. Они, как рассмотрено выше, в каждом конкретном случае зависят от используемого размера блока. Небольшой размер блока даст максимальные показатели по IOPS (чем меньше размер блока, тем больше блоков система успеет обработать за единицу времени). Напротив, с увеличением размера блока IOPS будет уменьшаться, а пропускная способность – увеличиваться (за единицу времени система успеет обработать меньше крупных блоков, зато каждый из них будет содержать больше данных).

Помимо размеров блока, существует два основных типа нагрузки по операциям ввода/вывода: последовательная и случайная (произвольная). При последовательной нагрузке блоки на накопителе, в которых происходят операции чтения или записи, расположены друг за другом. При случайной нагрузке блоки выбираются произвольным образом. Последовательная нагрузка характерна для операций резервного копирования, считывания и записи аудио- и видеоданных, работы с «большими данными». Случайная нагрузка создается работой самой ОС, СУБД и большинства традиционных приложений.

При последовательной нагрузке производительность зависит в большей степени от показателя пропускной способности (обычно используются большие блоки данных для достижения максимальной скорости передачи при, например, копировании). При случайной нагрузке блоки данных, как правило, имеют меньший размер, а потому главное значение принимает IOPS (подсистема хранения будет успевать обрабатывать больше запросов от приложения, такого как СУБД). Таким образом, при подборе СХД для транзакционной СУБД главную роль будет играть показатель IOPS, а при выборе дисков под хранилище резервных копий – пропускная способность.

Также существует ряд параметров, оказывающих дополнительное влияние на показатели IOPS и пропускной способности, таких как задержка и глубина очереди.

Что означает категория C1, C2, С3 и С4?

Компания Cisco в Росcии использует свою внутреннюю классификацию сетевого оборудования. Все оборудование Cisco, доступное для ввоза на территорию РФ, делится на 4 категории:

  • C1 – продукты, не требующие разрешения на ввоз;
  • C2 – продукты, для который имеются зарегистрированные нотификации и разрешенные ко ввозу без лицензии;
  • C3 – продукты, подлежащие импорту с получением лицензии Минпромторга России, выдаваемой  на основании заключения центра по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ);
  • C4 – продукты, не распределенные ни по одной из предыдущих категорий.

В категорию C2 попадают:

  • устройства со слабым шифрованием (длина ключа меньше 56 бит);
  • устройства с сильным шифрованием шифрование, но только для:
    • защиты канала управления устройством;
    • аутентификации;
    • беспроводного оборудования (радиус действия < 400 м);
    • защиты финансовых транзакций в рамках PCI DSS (для установки в банкоматах, POS-терминалах, удалённых офисах).
  • товары, у которых криптографическая функция заблокирована производителем;
  • криптографические средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной.

Аналогичное распределение по своим категориям есть для беспроводного оборудования.

Где можно скачать обновления прошивок и драйверов для оборудования HPE? Являются ли они общедоступными?

Обновления прошивок и драйверов можно скачать в центре поддержки HPE. Необходимо ввести название модели оборудования в поле поиска, далее в результатах поиска с левой стороны выбрать раздел «Drivers and Software» и отметить требуемые опции (тип ОС, тип ПО, дата выхода ПО).

Не все ПО является общедоступным. Для возможности скачивания обновлений BIOS, сервисных пакетов Service Pack for ProLiant и некоторых других компонентов необходимо наличие действующей гарантии, расширенной поддержки или сервисного контракта на оборудование. В качестве подтверждения наличия гарантии/поддержки/контракта заказчику необходимо зарегистрироваться в центре поддержки HPE и произвести привязку учетной записи к сервисному соглашению того продукта, для которого планируется загружать обновления (см. инструкцию). Критические обновления и исправления, закрывающие уязвимости в безопасности, являются общедоступными (в том числе и для вышеуказанных компонентов).

Что требуется от заказчика для ввоза криптосодержащего оборудования из категории C3?

На ввозимое криптосодержащее оборудование требуется получить разовую лицензию Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России. В лицензии указывается каждое конкретное ввозимое оборудование в необходимом количестве.

В чем особенность сетевых адаптеров HPE FlexFabric?

Сетевые адаптеры для серверов HPE FlexFabric являются конвергентными, то есть наряду с Ethernet они поддерживают аппаратный iSCSI и FCoE* для подключения к SAN**. Аппаратная поддержка означает, что контроллер сетевого адаптера способен самостоятельно реализовывать функционал данных протоколов, осуществляя все необходимые служебные расчеты. Это дает преимущество в производительности по сравнению с программной реализацией, когда функционал создается программно на уровне ОС и расчеты выполняются ЦПУ. Один физический порт (или одна физическая функция, при использовании технологии NPAR) адаптера может работать только по одному протоколу – Ethernet, либо iSCSI, либо FCoE.

* FCoE – англ. Fibre Channel over Ethernet, протокол доступа к SAN хранилищу через сеть Ethernet, основанный на FC.

** SAN – англ. Storage Area Network, сеть хранения данных.

Можно ли ввезти крипто-содержащее оборудование на территорию РФ?

Да, это можно сделать. Практика показывает, что при корректном заполнении всех необходимых документов для Центра по лицензированию, сертификации и защите государственной тайны ФСБ России, вероятность получения данного разрешения достаточно высока. Основными данными, которые необходимо указать являются информация о конечном пользователе оборудования, цели использования оборудования и место его установки. Сроки получения разрешения, а также лицензии Минпромторга России могут варьироваться. Но уже сейчас они имеют более точные временные границы. За подробной информацией обращайтесь к менеджерам нашей компании.

Что такое Systems Insight Display на серверах HPE серии DL? Чем он отличается от Insight Display на блейд-системах c-class?

Systems Insight Display (SID) – небольшая панель со светодиодными индикаторами, показывающими состояние сервера (температура, энергопотребление) и основных его компонентов (процессоры, модули памяти, вентиляторы и т.д.). SID располагается во фронтальной части сервера, что позволяет администратору быстро получить к нему доступ, оценить состояние оборудования и обнаружить различные аппаратные проблемы.

SID доступен для ряда серверов серии DL 9 и 10 поколений (DL360 Gen.9, DL380 Gen.9, DL360 Gen.10, DL385 Gen.10, DL380 Gen.10). По умолчанию он не включается в состав CTO или складских моделей и должен добавляться отдельной опцией в заказе.

 

Что такое Systems Insight Display на серверах HPE серии DL? Чем он отличается от Insight Display на блейд-системах c-class?

Systems Insight Display

Insight Display – ЖК-экран, расположенный на передней стороне блейд-шасси c3000 и c7000. Позволяет произвести диагностику и выполнить начальную конфигурацию системы – настроить IP-адреса iLO блейд-серверов и модуля управления, DNS-имена, режим электропитания и т.д. Insight Display не является полноценным средством управления – для этой цели служит модуль Onboard Administrator.

 

Что такое Systems Insight Display на серверах HPE серии DL? Чем он отличается от Insight Display на блейд-системах c-class?

Insight Display для блейд-систем c-class

Какие решения компании Cisco могут использоваться для защиты персональных данных в рамках ФЗ №152 и СТО БР ИББС?

На данный момент (июль 2018) со стороны регулирующих органов нет обязательных требований по сертификации во ФСТЭК оборудования для защиты персональных данных в коммерческих организациях. В связи с этим весь спектр решений компании Cisco может быть использован для этой задачи. Наиболее распространёнными являются аппаратные межсетевые экраны ASA с сервисами FirePOWER, маршрутизаторы Cisco ISR, коммутаторы Cisco Catalyst.

Если речь идёт про государственные организации, где требование сертификации во ФСТЭК является обязательным, также можно использовать продукцию компании Cisco. На многое оборудование Cisco были получены сертификаты соответствия требованиям безопасности ФСТЭК. В качестве средств криптографической защиты информации может быть использован виртуальный шлюз С-терра, запускаемый на базе модулей блейд-серверов Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2 для маршрутизаторов ISR G2 (1900/2900/3900) и ISR4K (4300/4400). Решение соответствует требованиям к средствам криптографической защиты информации класса КС1.

Кроме того, для маршрутизаторов ISR4K (4300/4400) может быть использован программный модуль С-терра CSCO-STVM. Решение соответствует требованиям к средствам криптографической защиты информации класса КС1. Более подробно, см вопрос вариант «Б».

В случае предъявления высоких требований к производительности устройства шифрования может быть использовано VPN-решение компании «С-Терра» на базе Cisco UCS C-220 M4 (для моделей CSP VPN Gate 3000 и 7000) сертифицированное по классу КС1/КС2/КС3.

Можно ли защитить мобильное устройство под управлением Apple iOS или Android, используя технологии Cisco?

Да, это возможно, используя программное обеспечение Cisco AnyConnect версии 3.0 и выше. Это программный VPN-клиент компании Cisco, использующий протокол SSL для защиты передаваемых данных и имеющий интеграцию с решением по защите Web-трафика Cisco ScanSafe. Большим достоинством данного решения является то, что фильтрация Web-трафика происходит «в облаке», а не на самом устройстве, что существенно экономит его вычислительные ресурсы. Также защита Web-трафика никак не зависит от того установлено или нет VPN-соединение. При этом непосредственно само решение Cisco AnyConnect позволит получить защищённое VPN-соединение до офиса компании.

Можно ли использовать технологию DMVPN совместно с сертифицированными средствами криптозащиты информации (СКЗИ)?

Да, это возможно. В этом случае маршрутизатор, на котором может быть загружено программное обеспечение NPE, выполняет все функции DMVPN, кроме шифрования. Само шифрование может быть выполнено на стороннем СКЗИ, например, на программном модуле С-терра CSCO-STVM (для маршрутизаторов 4300/4400, более подробно, см вопрос вариант «Б»), на устройстве С-Терра Шлюз и пр. При этом никакая дополнительная лицензия на маршрутизатор (SEC, Appx или UC) не требуется.

С технической стороны настройка выглядит следующим образом. На маршрутизаторе настраивается DMVPN без функций шифрования. Т.е. команда «tunnel protection ipsec» на туннельном интерфейсе не вводится. Далее, например, используя обычную статическую маршрутизацию, GRE-трафик протокола DMVPN перенаправляется на внешнее средство СКЗИ, где оно шифруется и отправляется во внешнюю сеть. Так как внешние средства СКЗИ не обладают функционалом динамического построения VPN соединений, как это делает протокол DMVPN, на внешних СКЗИ потребуется прописать все возможные крипто-карты для работы hub-to-spoke и spoke-to-spoke туннелей. Протокол DMVPN позволяет отключить возможность установления spoke-to-spoke туннелей, что существенно снижает объём команд на внешнем СКЗИ.

Что такое Advanced Malware Protection (AMP)?

С приобретением SourceFire компания Cisco Systems получила доступ к новому функционалу обеспечения информационной безопасности – Advanced Malware Protection (AMP).

AMP – это платформа для борьбы с вредоносным кодом. Защита AMP может быть реализована в трёх точках:

  • на конечном оборудовании – AMP for endpoint (SourceFire FireAMP);
  • на устройствах контентной безопасности Cisco IronPort Email Security Appliance и Cisco IronPort Web Security Appliance – AMP for Content;
  • на сетевом оборудовании – AMP For Networks.

Последний вариант исполнения реализуется путём установки специализированного высокоскоростного шлюза для борьбы с вредоносным кодом. Данный шлюз может являться отдельным устройством или модулем для межсетевых экранов и систем предотвращения вторжений нового поколения. Модельный ряд устройств AMP For Networks представлен на рисунке ниже:

Что такое Advanced Malware Protection (AMP)?

Основная задача AMP – проверка файла, пересылаемого через сетевое устройство и/или записываемого на конечное оборудование, на наличие вредоносного кода. С распространяемого в сети файла снимается хэш SHA-256 и отправляется на Firepower Management Center (FMC). Далее Firepower Management Center перенаправляет в облако AMP для определения его диспозиции (содержит вредоносный код или нет) по имеющейся базе данных сигнатур.

Если диспозиция файла не может быть установлена, файл перенаправляется в облачную песочницу, где осуществляется запуск файла в виртуально среде и анализ его поведения (генерируемый сетевой трафик, создаваемые процессы и т.д.). На основании результатов тестирования определяется уровень опасности данного файла.

Главной особенностью платформы AMP является возможность ретроспективного анализа, то есть обеспечение защиты не только до момента атаки или во время атаки, но и после её прохождения. Вредоносный код может проникнуть за периметр корпоративной сети по многим причинам: не появилась вовремя сигнатура новой угрозы, опасность не была обнаружена при запуске в песочнице, так как применялись техники отложенного запуска, вредоносный код был занесён на конечное устройство с флешки и т.д.). При использовании системы AMP можно отследить все пути распространения файла в сети, и, при появлении сигнатур, указывающих на вредоносность данного файла, заблокировать файл на сетевом уровне. Если используется FireAMP, вредоносный код может отслеживаться и быть заблокирован также и на уровне конечного оборудования.

За основу ответа были взяты материалы Казакова Дмитрия и Алексея Лукацкого - сотрудников компании Cisco.

Можно ли подключить межсетевой экран ASA к двум или более интернет-провайдерам, используя статическую маршрутизацию?

Да, это возможно. МСЭ ASA поддерживают функцию мониторинга статических маршрутов посредством функции IP SLA. Поддержка IP SLA существует в базовом варианте программного обеспечения. Однако стоит заметить, что ASA 5505 без лицензии Security Plus поддерживает три виртуальных сети (VLAN), причем одна из них имеет существенное ограничение на входящий трафик. В связи с этим, для подключения ASA 5505 к двум или более интернет-провайдерам необходимо использовать лицензию Security Plus.

Какая схема лицензирования устройств Cisco ASA серии 5500?

Устройства Cisco ASA являются наиболее распространённым программно-аппаратным решением, обеспечивающим функции межсетевого экранирования. Функционал устройств крайне широк, многие сервисы включаются посредством приобретения и активизации соответствующих лицензий. Схема лицензирования Cisco ASA достаточно сложная и включает в себя множество нюансов, поэтому рассмотрена в рамках отдельной статьи.

Каковы основные отличия ASA5500-X Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?

В первую очередь отличие в области применения. ASA5500-X NGFW - прежде всего межсетевой экран. Данное устройство можно использовать на периметре корпоративной сети, с помощью этого устройства можно организовать подключение к Интернет-провайдерам. Функционал NGFW для ASA обеспечивает межсетевой экран возможностью фильтровать Интернет трафик на уровне приложений. Благодаря этому межсетевой экран ASA5500-X NGFW приближается по функционалу к Web-шлюзу Cisco WSA. Для некоторых (как правило, небольших компаний) функционал и производительность NGFW позволяет обходиться без выделенного Web-шлюза.

Область применения Cisco WSA (Web Security Appliance) – корпоративный высокопроизводительный прокси сервер. Данное устройство не может быть использовано для подключения к Интернет-провайдерам, поэтому, должно использоваться только совместно с межсетевых экраном, в роли которого как раз может выступать ASA5500-X, но без подписок на NGFW (без подписок на сервисы FirePOWER или CX).

С точки зрения функционала выделим следующие основные отличия между WSA и NGWF:

  1. WSA является прокси-сервером и может кэшировать web-страницы, NGFW – не может.
  2. WSA умеет осуществлять антивирусные проверки (реактивная антивирусная защита) посредством IronPort Dynamic Vectoring and Streaming engine (DVS). Данный механизм использует платформы и сигнатуры антивирусов Sophos, McAfee и WebRoot для сканирования трафика на предмет наличия вредоносного кода. NGFW не может осуществлять активные антивирусные проверки.
  3. WSA предоставляет возможность защиты от утечки проприетарной информации. WSA имеет встроенные средства проверки исходящего трафика на наличие корпоративных данных (размер выгружаемого файла, MIME-тип файла, имя файла или шаблон имён файлов). Кроме того, WSA может быть интегрирована с DLP-системами (Data Loss Prevention) сторонних производителей. NGFW не предоставляет таковой возможности.
  4. WSA предоставляет сервис Layer-4 Traffic Monitor (L4TM). Данный сервис позволяет:
    • просматривать TCP/UDP трафик на всех портах;
    • блокировать сессии с известными сайтами, содержащими вредоносный код;
    • блокировать попытки вирусного кода обойти порт 80 (а, следовательно, обойти корпоративный проки-серврер);
    • блокировать попытки заражённых устройств устанавливать сессии управления с внешними компонентами Bot-сетей (блокировка malware phoning home activity);
    L4TM использует для своей работы глобальную базу данных Cisco IronPort update server. NGFW предоставляет сервис NG IPS. Система предотвращения вторжений NG IPS эффективно борется с вирусной активностью типа «червь», а также предотвращает различные виды сетевых атак на ресурсы компании, отслеживая проявления данных атак по существующим сигнатурам.
  5. WSA предлагает более гибкие возможности по фильтрации скачиваемых или выгружаемых файлов (процесс upload/download).
Почему не заработал ASDM на ASA?

Очень часто не удаётся подключиться по ASDM к ASA K8. Причина в том, что ASDM использует протокол SSL для передачи данных. В наиболее распространённых в настоящее время ОС Windows Vista и Windows 7 протокол SSL по умолчанию использует только строгие алгоритмы для шифрования данных - 3DES/AES. В ASA K8 поддержка таких алгоритмов заблокирована. Таким образом, чтобы получить возможность использовать ASDM для конфигурирования ASA необходимо либо заказывать изначально ASA K9, требующую получения разрешения на ввоз, либо открывать функционал 3DES/AES на ASA K8 (фактически, превращая её в К9).

При этом стоит отметить, на ASA даже с включённым шифрованием 3DES/AES во многих версиях программного обеспечения для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.

Windows XP поддерживает алгоритм DES для SSL.

Можно ли использовать сервис Cisco AnyConnect SSL VPN на ASA K8?

Относительно сервиса Cisco AnyConnect ситуация абсолютно аналогична ситуации с ASDM. Cisco AnyConnect использует протокол SSL для формирования защищённого VPN соединения. ОС Windows Vista и Windows 7 для протокола SSL по умолчанию использует только строгие алгоритмы для шифрования данных 3DES/AES. Поэтому, для сервиса Cisco AnyConnect необходима поддержка 3DES/AES, следовательно, необходима ASA K9.

Для многих версий программного обеспечения ASA для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.

В чем отличие устройства безопасности Cisco ASA от маршрутизатора Cisco ISR? В каком случае лучше приобрести маршрутизатор, а в каком – межсетевой экран?

Выбор между маршрутизаторами Cisco ISR и устройствами безопасности Cisco ASA в некоторых ситуациях не так прост, как может показаться на первый взгляд. Если требования можно сформулировать так: требуется защитить выход в интернет для пользователей и предоставить удаленный доступ, чтобы сотрудники могли работать из любой точки, тогда можно рекомендовать Cisco ASA. Если же данное устройство должно быть установлено в филиале, тогда маршрутизатор может оказаться более выгодным и гибким решением, поскольку в нем можно совместить большее число сервисов. Если установка планируется в главном офисе компании на границе сети, тогда можно установив в одной сети оба устройства и разделить между ними сервисы: Cisco ASA использовать для МСЭ, фильтрация контента, IPS, VPN для удаленных пользователей, а маршрутизатор – для протоколов динамической маршрутизации (OSPF, EIGRP, BGP), CUBE, site-to-site IPSec, DMVPN и др. Подробнее.

Какие варианты VPN Remote Access предоставляет ASA 5500-X

МСЭ ASA 5500-Х является наиболее продвинутым с точки зрения функционала концентратором пользовательских VPN соединений (VPN Remote Access). Попробуем разобраться, как именно пользователь может удалённо подключиться к корпоративной сети, используя функционал МСЭ Cisco ASA. Подробнее.

Каковы особенности моделей Cisco ASA 5506-X, 5508-X и 5516-Х?

В апреле 2015 года компания Cisco анонсировала пять новых моделей Cisco ASA: 5506-X, 5506W-X, 5506H-X, 5508-X и 5516-X.

Отличительной особенностью всех указанных моделей является наличие встроенного SSD-диска. Это позволяет сразу запускать* FirePOWER Services или же образ Firepower Threat Defense (FTD), т.е. весь расширенный функционал – NGFW, NGIPS, URL-фильтрация, AMP и т.д. Сервисы FirePOWER могут быть настроены из встроенной консоли управления ASDM, а FTD через интерфейс Firepower Device Manager (FDM). Однако для выполнения некоторого функционала, в частности, для построении отчётов, требуется наличие внешней системы управления - Firepower Management Center (FMC). Особенности каждой модели представлены в таблице ниже:

Cisco ASA 5506-X  Cisco ASA 5506W-X Cisco ASA 5506H-X Cisco ASA 5508-X  Cisco ASA 5516-X 
Более производительная замена ASA 5505. Для новой модели 5506-Х, в отличие от 5505, отсутствуют лицензии на количество пользователей. ASA 5506-X с интегрированной точкой доступа Cisco AP702i. ASA 5506-X в защищенном исполнении для индустриальных и промышленных предприятий. Рабочие температуры -20 – 60 С, IP40. Более производительная замена ASA 5512-X. Более производительная замена 5512-X и 5515-Х.

* Из-за ограничений в производительности ASA 5506 запуск сервисов FirePOWER или же FTD начиная с версии 6.3 на данной платформе невозможен.

Можно ли считать ASA5506 прямой заменой ASA5505?

Наиболее существенное функциональное отличие ASA5506 от ASA5505 заключается в отсутствии встроенного коммутатора. ASA5506 оснащена восемью маршрутизируемыми (L3) портами 1Гбит/с. Функция PoE также не доступна на ASA5506. Таким образом, для разворачивания минимальной инфраструктуры в офисе Cisco рекомендует использовать ASA5506 в паре с SMB коммутатором. Например, наиболее доступным вариантом может послужить использование неуправляемых гигабитных коммутаторов SG110D-08 и SG110D-05. Из-за отсутствия встроенного коммутатора ASA5506 не сможет послужить прямой заменой ASA5505 для некоторых инсталляций.

UPD 16-02-2017. При использовании программного обеспечения FTD 6.2, а также версии ASA OS 9.7.1 и выше, есть возможность использовать Integrated Routing and Bridging. Более того, для ASA5506 по умолчанию будет предоставляться конфигурация, в которой порт Ge1/1 – внешний интерфейс, а порты Ge1/2 – Ge1/8 объединены в Bridged-группу, то есть эмулируют аппаратный коммутатор. Таким образом, ASA5506 с указанным ПО сможет заменить ASA5505 без покупки дополнительного коммутатора.

ASA5506 построен на базе более производительной платформы. Оснащена более мощным процессором, 4 ГБ RAM и 8 ГБ flash-памяти. Кроме того, ASA 5506 имеет встроенный SSD диск, что позволяет разворачивать на устройстве сервисы FirePOWER (ограничено версией 6.2) без каких-либо дополнительный аппаратных средств. Наиболее значимые отличия можно свести в таблицу:

  ASA 5505 / Security Plus
ASA 5505 / Security Plus
ASA 5506 / Security Plus

ASA 5506 / Security Plus
Максимальная пропускная способность МСЭ До 150 Мбит/с До 750 Мбит/с
Встроенные интерфейсы 8 L2 интерфейсов 100 Мбит/с 8 L3 интерфейсов 1 Гбит/с
Поддержка PoE Ethernet 0/6 и 0/7 поддерживают PoE Нет
Сервисы FirePOWER Нет Платформа полностью готова для запуска сервисов FirePOWER (ограничено версией 6.2)

Управление Firepower как с помощью ASDM, так и с помощью выделенной централизованной системы FMC

При запущенных сервисах AVC+NGIPS+AMP производительность устройства составляет 40 Мбит/с
Максимальное количество одновременных сессий 10,000/25,000 20,000/50,000
Максимальное количество VPN-туннелей IPsec IKEv1 10/25 10/50
Максимальное количество подключений AnyConnect или безклиентских подключений 25 2/50
Максимальное количество поддерживаемых VLAN 3 (802.1q не доступен) / 20 (802.1q доступен) 5/30
Высокая доступность* только Stateless Active/Standby Failover Stateless так и Statefull Active/Standby Failover
Питание AC/DC только AC

* Режим Active/Active Failover не поддерживается обеими моделями

Хотелось бы отметить два наиболее важных отличия в схемах лицензирования. Первое – в отличие от ASA5505, новая модель ASA5506 поставляется без ограничений на подключаемых пользователей. Второе отличие связано c Security Plus лицензией. Для ASA5505 без Sec Plus мы имели только 3 Vlan, и, следовательно, 3 маршрутизируемых интерфейса. При этом, третий Vlan и интерфейс был функционально ограничен – трафик третьего интерфейса мог инициировать сессии в сторону только одного соседнего интерфейса. В сторону второго соседнего интерфейса идти не мог. Таким образом, для реализации полноценного DMZ на ASA5505 требовалась Sec Plus лицензия. Новая модель ASA5506 оснащена восемью полноценными маршрутизируемыми интерфейсами и поддерживает до 5 Vlan в базовой лицензии. Таким образом, базовая лицензия позволяет задействовать все восемь физических L3 интерфейсов и сконфигурировать до пяти логических субинтерфейсов. Всего можно настроить и маршрутизировать 13 подключенных непосредственно IP-подсетей.

ASA5506 имеет две особые модификации: ASA 5506W – со встроенной точкой доступа и ASA 5506H – в защищенном исполнении.

На данный момент времени (декабрь 2015) информация о планах завершения продажи/поддержки (End-of-Sale, End-of-life) для модели ASA 5505 не поступала со стороны производителя.

На что заменить Microsoft ISA/TMG сервер?

На настоящий момент времени компания Microsoft завершила выпуск продукта MS ISA/TMG. Многие системные администраторы и инженеры задаются вопросом, какое решение можно использовать в замен снятого с выпуска продукта. Линейка межсетевых экранов ASA5500-X с сервисами FirePOWER/FTD может послужить прекрасной заменой ISA/TMG для небольших компаний. Для крупных компаний, требующих наличия высокопроизводительного прокси-сервера, для замены ISA/TMG подходит решение Web-шлюз Cisco WSA в комбинации с межсетевым экраном серии ASA5500-X или же FP 2100/4100/9000 на периметре корпоративной сети.

Для более подробной информации по перечисленным продуктам Cisco читайте вопросы «Каковы основные отличия ASA5500-X Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?» и «Как запустить сервисы FirePOWER на ASA 5500-X?».

Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?

Зависит от того, с каким типом вирусов хотим бороться. Если хотим бороться с вирусами типа «червь», то есть предотвращать распространение вирусного кода от инфицированной машины к незаражённым хостам, можно использовать ASA 5500-X с функционалом IPS. Система IPS также направлена на предотвращение других видов атак на корпоративную сеть, в том числе, на предотвращение DDOS атак.

Ранее МСЭ серии ASA5500-X предлагало два варианта IPS: традиционную систему Cisco IPS и Next Generation IPS (NG IPS), доступную в рамках функционала CX.

Начиная с августа 2014 года на межсетевых экранах ASA 5500-X стали доступны сервисы FirePOWER. Сервисы FirePOWER включают NG IPS от компании SourceFIRE, Application Visibility and Control (AVC), URL-фильтрацию и функционал Advanced Malware Protection (AMP). Функционал NG IPS от SourceFIRE является лучшим решением в области систем обнаружения и предотвращения вторжений на рынке ИБ по результатам рейтингового агентства Gartner, независимой лабораторией тестирования NSS Labs и других. Поэтому, на данный момент времени при необходимости запуска IPS на МСЭ Cisco ASA 5500-X, решение FirePOWER является предпочтительным. Более подробную информацию можно найти в вопросе «Как запустить сервисы FirePOWER на ASA 5500-X?».

IPS предполагает предотвращение вирусных атак типа «червь», то есть защищает от вирусов, проявляющих себя в сетевом взаимодействии, не даёт вирусному коду распространятся от зараженного устройства к другим компьютерам по корпоративной сети. Если же мы хотим бороться с проникновением вирусного кода на хосты за МСЭ из глобальной сети, например, в результате посещения вирусных сайтов, атак типа fishing, есть следующие варианты:

  1. Блокировка «подозрительных» URL посредством функционала Firepower. В рамках функциональности URL-фильтрации есть возможность блокировать доступ как по категориям сайтов, так и по значениям репутаций сайтов.
  2. Проверка файлов, пересылаемых через МСЭ ASA 5500-X на наличие вирусного кода, посредством функционала Firepower AMP. Более подробную информацию данному функционалу можно найти в вопросе «Что такое Advanced Malware Protection (AMP)?»

Для организации максимальной защиты корпоративной сети от внешних угроз средствами МСЭ Cisco ASA 5500-X рекомендуется использовать сервисы FirePOWER в максимальной возможной комплектации, а именно, NG IPS+URL-filtering+AMP.

В качестве альтернативного и более мощного решения для антивирусной защиты и зашиты от спама на периметре корпоративной сети рекомендуется ознакомиться с Web-шлюзом Cisco WSA (Web Security Appliance) и Email-шлюзом Cisco ESA (Email Security Appliance).

Какова схема лицензирования Cisco AnyConnect?

Схема лицензирования предусматривает четыре вида лицензий:

  1. Cisco AnyConnect Plus Subscription Licenses
  2. Cisco AnyConnect Plus Perpetual Licenses
  3. Cisco AnyConnect Apex Subscription Licenses
  4. Cisco AnyConnect VPN Only licenses

Схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам за исключением Cisco AnyConnect VPN Only. В качестве VPN-концентраторов могут выступать межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Поддержка SSL VPN на маршрутизаторах сери ISR4K заявлена в будущих релизах операционных систем.

Лицензии вида Cisco AnyConnect VPN Only привязываются к конкретному серийному номеру устройства Cisco ASA.

Необходимо приобретать лицензии Cisco AnyConnect Plus/Apex на пользователей, а не на терминирующее VPN устройство. При приобретении лицензии Cisco AnyConnect Plus/Apex на определённое количество пользователей появляется возможность сгенерировать лицензионные ключи активации функционала удалённого доступа на неограниченное количество VPN-концентраторов.

Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses

Данный тип лицензий открывает возможность подключения удалённых сотрудников с помощью клиента Cisco AnyConnect. При этом, подключать можно как со стационарных, так и с мобильных устройств. Фактически AnyConnect Plus объединяет в себе функционал AnyConnect Essentials и AnyConnect Mobile.

Лицензия AnyConnect Plus может быть как в виде подписки на 1, 3 или 5 лет (AnyConnect Plus Subscription Licenses), так и в виде постоянной лицензии (AnyConnect Plus Perpetual Licenses). В последнем случае для обеспечения возможности скачивать новые версии клиента AnyConnect и обращаться в службу технической поддержки Cisco TAC требуется наличие сервисного контракта. Лицензии AnyConnect Plus необходимо заказывать на определённое количество пользователей. Под пользователем подразумевается реальный человек, который будет использовать сервис удалённого подключения. Минимальное количество пользователей – 25. Можно указать любое количество пользователей (26, 27, и 101 и т.д.).

Cisco AnyConnect Apex Subscription Licenses

Данный тип лицензий предоставляет все возможности, включённые в AnyConnect PLUS и открывает дополнительные возможности, а именно:

  • подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
  • проверка устройств на соответствие политикам безопасности;
  • криптография нового поколения (Suite B).

Данный тип лицензий подходит для замены SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant.

Лицензия AnyConnect Apex может быть только в виде подписки на 1, 3 или 5 лет.

Лицензии AnyConnect Apex, также, как и AnyConnect Plus, необходимо заказывать на определённое количество пользователей.

Cisco AnyConnect VPN Only licenses

Данный тип лицензий открывает функциональность подключения по VPN:

  • подключение по VPN с помощью клиента AnyConnect как для стационарных, так и для мобильных устройств;
  • подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
  • проверка устройств на соответствие политикам безопасности, но только при подключении по VPN к Cisco ASA;
  • криптография нового поколения (Suite B).

В отличие от AnyConnect Plus/Apex лицензий AnyConnect VPN-Only не предоставляет функциональность:

  • Network Access Module (NAM) – сапликант 802.1Х;
  • ISE Posture - проверка устройств на соответствие политикам безопасности в комплексе с решением Cisco ISE;
  • Web Security Module – подключение к облаку ScanSafe для инспекции web-трафика.

Лицензии Cisco AnyConnect VPN-Only привязываются к конкретному устройству Cisco ASA по серийному номеру.

Лицензии Cisco AnyConnect VPN-Only в отличие от AnyConnect Plus/Apex приобретаются не на определённое количество пользователей, которые потенциально могут подключаться с помощью AnyConnect, а на количество одновременных сессий. Минимальное количество - 25 одновременных сессий, далее есть варианты 50, 100 и т.д.

Установка лицензионных ключей на сетевое оборудование

Как говорилось ранее, новая схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам, кроме лицензий AnyConnect VPN-Only. Однако, для того, чтобы открыть функционал SSL-VPN шлюза на устройстве, в частности, на Cisco ASA, необходимо ввести лицензионный ключ.

При покупке лицензий AnyConnect Plus/Apex пользователю высылается так называемый multi-use Product Activation Key (PAK), т.е. PAK, который можно использовать много раз. С помощью данного PAK и сайта пользователь может сгенерировать лицензионные ключи на неограниченное количество устройств.

При покупке лицензий AnyConnect VPN-Only пользователю высылается Product Activation Key (PAK), который необходимо привязать к серийному номеру Cisco ASA на сайте.

Более подробную информацию по новой схеме лицензирования SSL VPN можно найти на сайте.

Как устройства IronPort обеспечивают высокую доступность?

Cisco WSA

Cisco WSA не объединяются в кластер. Однако, для обеспечения высокой доступности сервисов устройства могут объединяться в отказоустойчивые группы. Для этого используется протокол CARP - Common Address Redundancy Protocol. Данный протокол обеспечивает единый IP-адрес для сервисов, предоставляемых устройствами Cisco WSA, входящими в отказоустойчивую группу. Благодаря этому отказ устройства Cisco WSA в отказоустойчивой группе проходит прозрачно для клиентов.

Для создания отказоустойчивой группы не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.

В отказоустойчивую группу можно объединять виртуальные и физические устройства Cisco WSA. Конфигурации устройств в отказоустойчивой группе не реплицируются автоматически. Целостность конфигураций необходимо обеспечивать вручную.

Cisco ESA

Cisco ESA могут быть объединены в кластер. Но для Cisco ESA кластер не является средством обеспечения высокой доступности. Устройства Cisco ESA не обладают средствами мониторинга состояний «соседа».

Кластер для Cisco ESA является средством централизованного конфигурирования нескольких устройств. Кластер – это набор устройств Cisco ESA с общей конфигурацией. В пределах кластера устройства разделяются на группы. В кластере всегда существует как минимум одна группа. Каждое устройство может принадлежать только единственной группе. Соответственно, конфигурация устройств может быть разделена и детализирована на трёх уровнях: на уровне кластера, группы и конкретного устройства Cisco ESA.

Для создания кластера не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.

В кластер можно объединять виртуальные и физические устройства Cisco ESA. При этом нужно не забыть тонкость с настройкой антиспам и антивирус обновлений.

Обеспечение отказоустойчивости для входящих Email может быть достигнуто путём создания нескольких A-записей с разными приоритетами в MX-записи компании, указывающие на разные устройства Cisco ESA.

Какие подписки на обновления необходимы, если на ASA 5500-Х реализуется какая-либо антивирусная защита?

Для традиционной системы Cisco IPS необходимо обновление базы сигнатур сетевого взаимодействия известных видов атак и вирусов (червей). Для обновления базы сигнатур необходима подписка, получаемая в рамках сервисного контракта SmartNet IPS Svc. Подписка может быть на год, два или три года. Варианты уровней поддержки SmartNet для ASA IPS аналогичны с любыми другими SmartNet.

Для системы ASA CX, реализованной как виртуальный блейд на ASA 5500-X необходима подписка Cisco ASA 5500-X Series CX Subscriptions.

Для открытия функционала NG IPS в рамках функционала CX необходимо наличие подписки на NG IPS. Данную подписку можно заказать либо как дополнение к подпискам CX, либо как отдельный партномер (например, ASA5512-IP3Y=).

Для перенаправление трафика в облачный сервис ScanSafe необходима также соответствующая подписка.

Подробное описание данных подписок приводится в статье Лицензирование Cisco ASA 5500 в разделе Cisco ASA 5500-X Series CX Subscriptions and ScanSafe.

Открытие сервисов FirePOWER на Cisco ASA рассмотрено в рамках отдельного вопроса «Как запустить сервисы FirePOWER на ASA 5500-X?».

Какие решения Next-Generation Firewall (NGFW) предлагает компания Cisco?

NGFW (Next-Generation Firewall) – межсетевой экран (МСЭ), который обеспечивает глубокую инспекцию пакетов, предотвращение вторжений (IPS), и проверку трафика на уровне приложений. Большинство NGFW также поддерживают фильтрацию веб-сайтов, антивирусную проверку, проверку зашифрованного трафика TLS/SSL, интеграцию со сторонними системами управления идентификацией (LDAP, RADIUS и Active Directory).

В портфолио компании Cisco присутствует четыре решения с функциональностью NGFW:

  • Cisco ASA с сервисами FirePOWER;
  • Firepower Treat Defense (FTD);
  • Управляемые из облака устройства Meraki MX серии, на текущий момент (июнь 2019) решение в России не продаётся;
  • Программно-определяемое решение SD-WAN.

Рассмотрим первые два решения. Они оба обеспечивают идентичный функционал. Отличие заключается в архитектуре решения.

Cisco ASA с сервисами FirePOWER – это классический МСЭ под управлением операционной системы ASA OS с сервисами FirePOWER, запущенными в виде виртуальной машины. В этом решении отдельно настраивается функционал Cisco ASA и отдельно Firepower. В случае FTD, мы имеем одну операционную систему, которая выполняет всю функциональность решения. Варианты ОС и интерфейсы управления.

Каждое из этих решений состоит из следующих компонентов:

  1. Аппаратная или виртуальная* платформа. В качестве современной аппаратной платформы могут быть модели Cisco ASA 5508 и выше, Cisco Firepower 1000/2100/4100/9000.
  2. Подписки на функционал: IPS, фильтрацию веб-сайтов, антивирусная проверка. Подписки могут быть на 1/3/5 лет.
  3. Опционально - система управления Firepower Management Center (FMC) в виде виртуальной или аппаратной платформы. Для обеспечения полной функциональности решения, FMC является обязательным компонентом.

* только для решения FTD.

Какие варианты операционных систем используются на решениях Cisco ASA и Cisco Firepower?

Решения Cisco ASA5500-X и новейшие решения Cisco Firepower (FPR) серии 1000/2100/4100/9000 входят в нишу сразу двух класс устройств: межсетевой экран нового поколения (NGFW) и система предотвращения вторжений нового поколения (NGIPS).

Наследственные решения Cisco FirePOWER серии 7000 и 8000 позиционируются в классе NGIPS. Существует несколько вариантов программного обеспечения, которые могут быть запущены на перечисленных платформах:

  • ASA OS – классическая операционная система ASA.
  • FirePOWER Services on ASA – программный модуль FirePOWER для Cisco ASA.
  • FirePOWER NGIPS – классическая операционная система IPS-сенсора FirePOWER.
  • Firepower Treat Defence (FTD) – консолидированная операционная система включающая в себя как функциональность ASA, так и модуля FirePOWER для Cisco ASA.

Устройства и соответствующие им варианты программного обеспечения удобно представить в табличном виде:

  Cisco ASA5500-X Cisco ASA5585 Cisco Firepower серии 1000/2100/4100/9000 Cisco FirePOWER серии 7000 и 8000
ASA OS + + + -
FirePOWER Services on ASA + + - -
FirePOWER NGIPS - - - +
Firepower Treat Defence (FTD) + - + -

Замечание 1: помимо перечисленных решений Cisco для классов NGFW и NGIPS существуют также виртуальные решения для VMWare, KVM и AWS: NGFW Virtual на базе FTDv, NGIPS Virtual Appliance. Кроме того виртуальное решение FTDv может быть запущено на базе UCS E-Series блейд-серверов, которыми могу быть укомплектованы маршрутизаторы ISR G2 и ISR4K. Таким образом, функциональность Firepower может быть добавлена в том числе и на маршрутизаторы Cisco.

Замечание 2: Cisco Firepower серии 2100/4100/9000 используют операционную систему Cisco Firepower eXtensible Operating System (FXOS) как оркестратор и для низкоуровневого управления шасси. ASA OS или FTD являются гостевыми операционными системами относительно FXOS.

Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco Firepower?

Существуют следующие варианты управления:

  • ASA CLI – классическая командная строка Cisco ASA.
  • ASDM – графический интерфейс для управления Cisco ASA и частично сервисами FirePOWER, запущенными на Cisco ASA.
  • FMC (Firepower Management Center) – бывший Defence Center или FireSIGHT. Отдельно стоящая система управления решениями Firepower, включая Firepower Threat Defence.
  • FDM (Firepower Device Manager) – новейшая легковесная система управления, которая работает «из коробки», то есть по умолчанию встроена в образ Firepower Threat Defence.

Некоторые системы управления для некоторых вариантов программного обеспечения предоставляют ограниченные возможности настройки. Например, для ASA с сервисами FirePOWER с помощью ASDM можно настраивать полный функционал ASA, но ограниченный функционал Firepower (подробнее).

Устройства и соответствующие им варианты систем управления удобно представить в табличном виде. Обозначения в таблице:

  • ASA + полное управление ASA;
  • ASA ± ограниченное управление ASA;
  • ASA – управление ASA невозможно;
  • FP + полное управление функционалом Firepower;
  • FP ± ограниченное управление функционалом Firepower;
  • FP – управление Firepower не возможно.
  ASA CLI ASDM FMC FDM
Cisco ASA5500-X + FirePOWER Services ASA +
FP -
ASA +
FP ±
ASA –
FP +
-
Cisco ASA5500-X FTD image - - ASA ±
FP +
ASA ±
FP ±
Cisco ASA5585 + FirePOWER Services ASA +
FP -
ASA +
FP ±
ASA –
FP +
-
Cisco Firepower серии 2100 FTD image - - ASA ±
FP +
ASA ±
FP ±
Cisco Firepower серии 4100/9000 FTD image - - ASA ±
FP +
-
Cisco FirePOWER серии 7000 и 8000 - - FP + -

Замечание 1: ячейки таблицы, в которых отсутствуют красные поля, описывают единую систему управления. То есть настройка как сервисов ASA, так и Firepower может осуществляться из единой консоли управления. Единые системы управления:

  • ASDM - полная ASA, частичная Firepower;
  • FMC - частичная ASA, полная Firepower, должен использоваться софт FTD;
  • FDM – частичная ASA, частичная Firepower, должен использоваться софт FTD.

Замечание 2: в таблице отсутствуют полностью зелёные ячейки. То есть, любая единая система управления на настоящий момент имеет некоторые ограничения.

Замечание 3: если требуется управлять как ASA, так и Firepower без ограничений, на данный момент необходимо использовать различный варианты управления: CLI или ASDM для ASA и FMC для функционала Firepower.

Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

Сервис FirePOWER становится незаменимым инструментом IT-специалиста, сотрудника отдела информационной безопасности и т.д. Данное решение способно надёжно защищать корпоративную сеть от информационных угроз «из вне». Firepower устойчиво занимает лидирующие позиции в области систем предотвращения вторжений по результатам отчётов Gartner, LSS Labs и других.

Преимущества Firepower:

  • Надёжная система предотвращения вторжений нового поколения (NG IPS). Обеспечивает максимальный уровень защиты внутренних ресурсов компании от атак «из вне».
  • Полное видение сети. Технология Network visibility позволяет получать максимально полную информацию об устройствах, участвующих в сетевом взаимодействии. К такой информации относится версия операционной системы устройства, версия программного агента, участвующего в сетевом взаимодействии (браузер, клиент Skype и т.д.), пользователи, работающие на данном устройстве, вероятные уязвимости с точки зрения сетевой безопасности и многие другие параметры. Пример отображения параметров конечного оборудования представлен на рисунке ниже:

Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

  • Распознавание файлов различных типов и проверка файлов на наличии вредоносного кода. Устройство способно распознавать более сотни различных типов файлов (mp3, mp4, bmp, rar, pdf и т.д.). Кроме того, технология Advanced Malware Protection (AMP) позволяет проверять скачиваемые/выгружаемые файлы на наличие вредоносного кода.
  • Ретроспективный анализ. Обеспечивается реакция системы не только до момента атаки или во время атаки, но и после её прохождения. Реакция системы после проведения атаки крайне важна для поддержания необходимого уровня безопасности. Ведь вредоносный код может попасть на конечное оборудование не только через сеть, но и простым подключением зараженного носителя. При таком прохождении атаки Firepower безусловно не может заблокировать вредоносный код на конечном оборудовании. Однако, если занесённый вирус проявит себя в сетевом взаимодействии, например, пытаясь распространиться на другие устройства, Firepower вычислит вирус, проследит заражённый код и пути его распространения по сети.
  • Межсетевой экран нового поколения. Позволяет настраивать гибкие политики доступа. Возможна настройка фильтрации по Интернет-приложениям, URL и категориям URL, репутации сайтов.
  • Интеграция с Active Directory. Политики доступа могут быть применены к конкретным пользователям или группам пользователей AD вне зависимости от клиентского устройства, с которого осуществляется сетевое взаимодействие.
  • Широчайшие возможности мониторинга, создания гибких отчётов. Пример предлагаемых отчётов представлен на рисунке ниже:

Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

  • Гибкие возможности интеграции в сетевую инфраструктуру. Сервис FirePOWER может быть запущен как программный блейд на межсетевом экране Cisco ASA серии 5500, как виртуальная машина для гипервизора VMWare ESXi или как отдельное физическое устройство. В последнем случае предлагается широчайший спектр моделей устройств, рассчитанных на различные требования по производительности. Сервис FirePOWER может быть запущен как в режиме мониторинга, так и в режиме «inline».
Как запустить сервисы FirePOWER на ASA 5500-X?

Для того, чтобы запустить сервисы FirePOWER на Cisco ASA 5500-X необходимо выполнение следующих условий:

  1. Наличие SSD-диска на Cisco ASA. Если в наличие уже имеется Cisco ASA, SSD-диск можно заказать отдельным партномером ASA5500X-SSD120=. Модели ASA5506, 5508 и 5516 оснащены SSD-диском по умолчанию.
  2. Версия программного обеспечения ASA начиная с версии 9.2.2.
  3. Наличие SmartNet для соответствующей модели, покрывающего сервисы FirePOWER. Например: CON-SNT-A12FPK9.
  4. Наличие позиции Control License. Данная позиция является бесплатной, однако должна быть включена в спецификацию. Пример партномера: ASA5516-CTRL-LIC. Control License позволяет применять правила контроля доступа (разрешение/запрет) для пользователей и приложений. Например, запретить доступ для приложения Skype. Запретить пользователю доступ на конкретный URL (для работы с категориями URL, а также репутациями требуется лицензия URL). И пр.
  5. Лицензия-подписка на сервисы FirePOWER. Лицензии-подписки доступны в следующих пяти комбинациях:

    Как запустить сервисы FirePOWER на ASA 5500-X?

    Где IPS (также называется Protection) – система предотвращения вторжений, файловый контроль (разрешение/запрет на передачу файлов) и Security Intelligence фильтрация (использование динамических баз вредоносных хостов в сети интернет);
    URL - URL-фильтрация по репутации и категориям сайтов;
    AMP – борьба с вредоносным кодом и угрозами нулевого дня.

    Пример партномера подписки на 3 года для ASA5516: L-ASA5516-TAMC-3Y

    При использовании резервных устройств на них должны приобретаться те же подписки, что и на основное. Конфигурация также должна быть абсолютно идентична основному устройству.

    Подписки доступны на 1, 3 и 5 лет для новых моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше. Для ASA5512 и ASA5515 – подписки только на 1 год.

  6. Системы управления сервисами FirePOWER. Для полноценного управления сервисами FirePOWER необходимо заказать систему управления Firepower Management Center (FMC). Самый доступный вариант – в виде виртуальной машины. Виртуальная машина может быть скачана бесплатно с сайта cisco.com, однако, для её активации необходимо наличие лицензии:
    • FS-VMW-2-SW-K9 на 2 устройства ASA with FirePOWER services
    • FS-VMW-10-SW-K9 на 10 устройств ASA with FirePOWER services
    • FS-VMW-SW-K9 на 25 устройств FirePOWER или ASA with FirePOWER services
    С версии ASA OS IOS 9.4(2) заказ системы управления FMC является опциональным. Настройка сервисов FirePOWER может быть осуществлена посредством ASDM. FMC необходим при некоторых требованиях, в частности, для построения отчётов, работы IPS и пр. Отличия между управлением сервисами FirePOWER на ASA через ASDM и Firepower Management Center рассмотрены здесь.

В настоящий момент существуют бандлы для ASA55XX-FPWR-BUN для соответствующих моделей Cisco ASA. Бандл включает все вышеперечисленные условия. Для моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше бандл ASA55XX-FPWR-BUN включает в себя как модели K8, так и модели K9 (на выбор), то есть, содержащие в ПО алгоритмы 3DES/AES.

Из-за ограничений в производительности ASA 5506 запуск сервисов FirePOWER или же FTD начиная с версии 6.3 на данной платформе невозможен.

В чём отличие между использованием ASDM и Firepower Management Center (Defence Center, FireSIGHT) для управления сервисами FirePOWER на Cisco ASA?

С выходом версии Firepower 6.0.0.0 появилась возможность управления Firepower с помощью стандартного графического интерфейса Cisco ASA ASDM на всех моделях Cisco ASA серии 5500-X. До этого сервисы FirePOWER на моделях Cisco ASA 5512, 5515, 5525, 5545 и 5555 можно было настраивать только с помощью выделенной системы управления Firepower Management Center (далее FMC, другие названия Defence Center, FireSIGHT).

Однако, на настоящий момент времени (май 2019) ASDM имеет некоторые ограничения при настройке и управлении Firepower, по сравнению с FMC. Перечислим наиболее существенным ограничениям ASDM:

  1. Не поддерживается функциональность Network Discovery (автоматическое обнаружение хостов в сети, составление профилей для каждого обнаруженного хоста, включающего ОС хоста, пользователей хоста, открытые порты, индикаторы компрометации, уязвимости и т.д).
  2. Не поддерживается функциональность Next Generation IPS. Так как нет возможности обнаружения хостов в сети и составление профилей хостов (см. пункт 1), поддерживается только классический IPS.
  3. Не поддерживается автоматическое создание политик IPS. Требуемые для защиты сети сигнатуры IPS необходимо включать вручную. В то время как при использовании FMC система автоматически генерирует политики IPS (FireSIGHT Recommendations) на основании информации о сети, профилей хостов, сетевых транзакций, корреляции и т.д.
  4. Не поддерживается автоматизация обработки событий IPS. Не поддерживается автоматическое составление индикаторов компрометаций, корреляция событий, определение релевантности сигнатур атаки в соответствии с контекстом.
  5. Не поддерживается динамический анализ файлов в рамках функциональности Advanced Malware Protection (AMP), т.е. отправка всего файла в облако для расширенного анализа в файловой
  6. Не поддерживается захват файлов.
  7. Система построения отчётов. ASDM ограничен по возможности построения отчётов по сравнению с FMC. Кроме того, нет возможности экспортировать отчёты в разных форматах (HTML, PDF, CSV).

Управление сервисами FirePOWER на Cisco ASA через ASDM идеально подходит при использовании Cisco ASA в небольших офисах для подключения к Сети Интернет, когда основная задача сводится к настройке функциональности межсетевого экрана нового поколения (NGFW). ASDM предоставляет всё необходимое, чтобы настроить ограничения доступа к сайтам по категориям, ограничения по использованию Интернет-приложений (Skype, Torrent, TeamViewer), реализации политик на основании информации из MS Active Directory, ограничения по скачиванию выгрузки файлов. При этом, ASDM предоставляет средства отчётности начального уровня в виде преднастроенных панелей (Dashboards), на которые выводятся виджеты, отображающие необходимую информацию.

Наличие выделенной системы управления FMC требуется в случаях, когда необходимо обеспечить сервисы «продвинутой» безопасность для корпоративной сети. В частности, при необходимости запуска сервисов системы предотвращения вторжений нового поколения (NGIPS) настоятельно рекомендуется использование FMC. Кроме того, FMC необходим, когда существуют требования к созданию настраиваемых отчётов различного уровня сложности. Например, отчёты по посещению Интернет-ресурсов для конкретных пользователей, отчёты по загрузке Интернет-каналов различными Интернет-приложениями и т.д.

Что такое Firepower Threat Defense?

Firepower Threat Defense (FTD) – это новый образ программного обеспечения для Cisco ASA 5500-X и нового модельного ряда устройств Firepower (FPR) 1000/2100/4100/9000. FTD включает в себя функционал классического ПО Cisco ASA и ПО модуля Firepower. Управление и тем и другим происходит через Firepower Management Centre (FMC). Таким образом мы получаем единую консоль для централизованного управления сервисами Firepower и функционалом Cisco ASA.

Помимо доступа через FMC, на FTD можно попасть и через CLI по SSH. В CLI отсутствует возможность по настройке устройства, но присутствуют команды для мониторинга и траблшутинга. Большинство стандартных команд из категории show ничем не отличаются от таких же команд для «полноценных» ASAv/ASA. Есть команды capture, packet-tracer, debug, test и т.п.

Ещё одним вариантом управления FTD является «on-board» система Firepower Device Manger. Это легковесная система управления, встроенная в образ FTD. Обеспечивает базовые настройки устройства и предлагаем необходимый минимум для запуска устройства в небольшом офисе/филиале.

FTD так же доступен в виде виртуальной машины – vFTD. В этом случае, функции Cisco ASA выполняет ASAv30, сравнимая по производительности с Cisco ASA 5525-X.

Лицензирование FTD, в любых исполнениях, выполняется по новой схеме – Cisco Smart Software Licensing. Схема лицензирования FTD схожа со схемой для сервисов FirePOWER, основное отличие в наименовании лицензий:

Threat Система предотвращения вторжений, файловый контроль (разрешение/запрет на  передачу файлов)
Malware Борьба с вредоносным кодом и угрозами нулевого дня (файловая проверка)
URL Filtering URL-фильтрация по репутации и категориям сайтов
Что такое Cisco Firepower 1000/2100/4100/9000?

Данные устройства представляют собой новую платформу Cisco Firepower (FPR), которая пришла на замену популярным межсетевым экранам Cisco ASA. Они относятся к классу межсетевых экранов нового поколения (NGFW).

Основные особенности данного класса устройств:

  • фильтрация по Интернет-приложениям (более 4000 приложений),
  • фильтрация по URL и категориям URL (более 80 категорий),
  • фильтрация по IP, DNS, репутация сайтов,
  • система предотвращения вторжений нового поколения (NG IPS),
  • проверка файлов на наличии вредоносного кода (Cisco AMP),
  • построение защищённых VPN туннелей: site-to-site (IKEv1 и IKEv2), remote-access (Anyconnect),
  • работа в отказоустойчивом режиме (active/standby, active/active) и кластеризация*,
  • централизованное управление,
  • глубокий мониторинг и создание гибких отчётов,
  • операционная система: Firepower Threat Defense (FTD) или Cisco Adaptive Security Appliance (ASA) OS,
  • защита от DDoS*,

* только для линеек 4100/9000

Модель

NGFW (1024B)

NGIPS (1024B)

IPSec VPN

Интерфейсы

1010 650 Мбит/с 650 Мбит/с 300 Мбит/с 8 x RJ45*
1120 1.5 Гбит/с 1.5 Гбит/с 1 Гбит/с 8 x RJ45, 4 x SFP
1140 2.2 Гбит/с 2.2 Гбит/с 1.2 Гбит/с 8 x RJ45, 4 x SFP
1150 3 Гбит/с 3 Гбит/с 1.4 Гбит/с 8 x RJ-45, 2 x SFP, 2 x SFP+
2110 2.3 Гбит/с 2.3 Гбит/с 800 Мбит/с 12 x RJ45, 4 x SFP
2120 3 Гбит/с 3 Гбит/с 1 Гбит/с 12 x RJ45, 4 x SFP
2130 5 Гбит/с 5 Гбит/с 1.6 Гбит/с 12 x RJ45, 4 x SFP+, 1 x NM-модуль
2140 9 Гбит/с 9 Гбит/с 3.2 Гбит/с 12 x RJ45, 4 x SFP+, 1 x NM-модуль
4110 11 Гбит/с 15 Гбит/с 6 Гбит/с 8 x SFP+, 2 x NM-модуль
4115 26 Гбит/с 27 Гбит/с 8 Гбит/с 8 x SFP+, 2 x NM-модуль
4120 19 Гбит/с 27 Гбит/с 10 Гбит/с 8 x SFP+, 2 x NM-модуль
4125 35 Гбит/с 41 Гбит/с 14 Гбит/с 8 x SFP+, 2 x NM-модуль
4140 27 Гбит/с 38 Гбит/с 13 Гбит/с 8 x SFP+, 2 x NM-модуль
4145 45 Гбит/с 55 Гбит/с 18 Гбит/с 8 x SFP+, 2 x NM-модуль
4150 39 Гбит/с 52 Гбит/с 14 Гбит/с 8 x SFP+, 2 x NM-модуль
9300 до 153 Гбит/с до 175 Гбит/с до 81 Гбит/с шасси: до 24 x SFP+, до 8 x QSFP+, до 8 x QSFP28+

* RJ45 - 10/100/1000Base-T

В чём отличие между Firepower Device Management (FDM) и Firepower Management Console (FMC)?

Оба решения используются для управления решением FTD (Firepower Threat Defense). Ниже представлена информация о доступной функциональности решения FTD при управлении через FDM и FMC.

FDM FMC
Стоимость Бесплатно, встроен в FTD Приобретается отдельно
Количество управляемых FTD Один Один и более
Интерфейс Максимально интуитивно понятный Интуитивно понятный
DHCP, NAT, Site to Site VPN, Remote Access VPN Да Да
QoS (ограничение скорости) Нет Да
Интеграция с AD Да Да
Дешифрация SSL Да Да
Фильтрация на основе L3/L4 заголовков, приложений, URL, пользователей/групп AD Да Да
NG IPS Базовый, выбор профиля Расширенный, настройка сигнатур на основе типа трафика
Network discovery (обнаружение и анализ хостов в сети) Нет Да
Расширенный инструментарий анализа инцидентов (хранение пакетов, файлов, быстрый доступ к различным внешним базам и пр.) Нет Да
Отчёты Нет Да
Корреляция событий Нет Да
Интеграция со сторонними решениями (ISE и пр.) Нет Да
Cisco Firepower или ASA?

Компания Cisco начала продажи устройства Firepower 1000. Это самая младшая линейка относительно нового класса устройств Firepower (FPR).

Данные устройства примечательны очень хорошей производительностью. Как мы помним, сервисы Firepower/FTD можно запустить на аппаратной платформе Cisco ASA начиная с ASA 5508. И если сравнить платформы Cisco ASA c FPR 1000, новые устройства получаются намного интереснее, особенно FPR 1010.

Устройство Производительность NGFW и NGIPS Цена устройства с подпиской TMC* на 3 года** Стоимость 1 Мбит/с
FPR 1010 650 Мбит/с 3 176.40 4,88
FPR 1120 1.5 Гбит/с 11 932.50 7,95
ASA 5508 250 Мбит/с 9 709.40 38,8
ASA 5516 450 Мбит/с 16 193.60 36
* TMC – IPS, URL, AMP
** цена GPL, актуальная на сентябрь 2019 года.

Начиная с версии FTD 6.5/ASA 9.13.1 на всех устройствах FPR (1000/2100/4100/9000) можно запустить как образ FTD, так и ASA OS (классический МСЭ). Поэтому, даже если не планируется использовать Cisco FTD, можно установить образ ASA OS и получить на базе решений FPR (1000/2100/4100/9000) привычный классический МСЭ с очень хорошей производительностью.

По производительности линейка устройств Cisco Firepower полностью закрывает линейку устройств Cisco ASA.

Firepower Management Center 6.X. Что нового?

Firepower Management Center (FMC, предыдущие названия Defence Center, FireSIGHT) – система управления решениями Firepower (сервисы FirePOWER, FTD).

Firepower Management Center 6.2

Версия FMC 6.2 стала доступна в начале 2017 года.
Среди наиболее заметных нововведений:

  • Поддержка TS Agent. Это агент для терминальных серверов, который поможет с аутентификацией пользователей. Подробнее можно почитать в нашем блоге на хабре.

Другие важные доработки касаются в основном Firepower Threat Defence (FTD - что это такое?):

  • Поддержка удобнейших инструментов Cisco ASA – Packet Tracer и Packet Capture. Packet Tracer запускает прохождение виртуального пакета с задаваемыми характеристиками через FTD. Позволяет проверять корректность настроек: будет ли пакет пропущен или отброшен, если отброшен, то каким правилом, какой выходной интерфейс будет выбран, какое правило NAT отработает и т.д.

    Firepower Management Center 6.X. Что нового?

    Packet Capture позволяет захватывать определяемые шаблоны трафика. Крайне удобно в процессе отладки. Например, можно понять, блокируются ли пакеты нашим устройством, или они даже не доходят до него.
  • Firepower Management Center 6.X. Что нового?

  • Integrated Routing and Bridging (IRB). Теперь можно объединить физические L3 интерфейсы в bridge-группу. То есть, интерфейсы будут делать L2-switching и могут быть помещены в один vlan. Это крайне полезно в первую очередь для ASA5506, у которой 8 физических L3-инетфейсов. Теперь при установке ASA5506 в мини-офисе нет необходимости докупать дополнительный коммутатор.

  • Site-to-Site VPN. Поддержка Site-to-Site IPsec была внедрена уже в версии 6.1. Но в той версии VPN можно было настроить только между двумя ASA (с софтом FTD или с обычным софтом). VPN между ASA и маршрутизатором не поддерживался. Авторизация VPN точек поддерживалась только по PSK. В версии 6.2 добавили аутентификацию по сертификатам, вместе с этим стал работать IPsec c маршрутизаторами.

  • URL Lookups. Часто встаёт вопрос, где посмотреть, будет ли знать Firepower категорию и репутацию того или иного сайта. Ранее, для этого необходимо было вручную проверять каждый URL через сайт brightcloud. Теперь это можно сделать непосредственно через FMC сразу для нескольких URL:

  • Firepower Management Center 6.X. Что нового?

    Firepower Management Center 6.X. Что нового?

  • FlexConfig. Позволяет деплоить с помощью FMC некоторые шаблоны CLI-команд ASA. FlexConfig помогает, если на ASA с софтом FTD нужно использовать функциональность, который пока не возможно настроить через FMC. Например:
    • Routing (EIGRP, PBR, and IS-IS);
    • Netflow (NSEL) export;
    • WCCP;
    • И т.д.
  • Remote Access VPN (с версии 6.2.3). Появилась возможность использовать Cisco AnyConnect для удалённого подключения через протокол SSL или IPsec IKEv2.

Firepower Management Center 6.3

Версия FMC 6.3 стала доступна в декабре 2018 года.
Наиболее заметные нововведения:

  • Новая Specific лицензия: позволяет использовать FMC в изолированных сетях. До этого было только два способа использовать smart-лицензии: разрешить FMC доступ в интернет для связи с Cisco Smart Software Manager или настроить связь через специализированный прокси (Satellite License) внутри сети. Теперь же можно установить лицензию на определенный период времени без необходимости доступа куда-либо.
  • FTD устройства теперь поддерживают аппаратное ускорение SSL для платформ Firepower 2100, 4100, 9300.
  • FTD поддерживает двухфакторную аутентификацию для пользователей Anyconnect. Второй фактор: токены RSA или DUO-пароли передаются на мобильное устройство.

Firepower Management Center 6.4

Версия FMC 6.4 стала доступна в апреле 2019 года.
Наиболее заметные нововведения:

  • FMCv может быть развернут на Microsoft Azure.
  • Site-to-site VPN:
    • Можно настроить VPN-соединения между площадками, использующими динамический IP-адрес.
    • Стали доступны для использования динамические крипто карты для топологий point-to-point, hub-and-spoke.
    • Можно настроить VPN-подключение с использованием сертификатов вместо общего ключа.
  • Cisco Threat Response (CTR) можно интегрировать с FTD. Это позволит коррелировать данные о событиях в Firepower с данными из других источников для единого представления угроз в сети.
  • Диспетчер объектов (Object Manager) теперь позволяет просматривать политики, параметры и другие объекты, в которых используется существующий объект network, port, VLAN или URL, что значительно упрощает администрирование.

FirePOWER Management Center 6.5

Версия FMC 6.5 стала доступна в сентябре 2019 года.
Наиболее заметные нововведения:

  • Поддержка VMware vSphere/ESXi 6.7.
  • FMCv поддерживает подключение до 250 сенсоров.
  • Возможность установить ASA OS вместо FTD на новый модельный ряд FPR1010/1120/1140/1150.
  • Firepower 1010:
    • Режим работы внутренних портов: восьми портовый коммутатор или восемь маршрутизируемых портов.
    • Поддержка PoE+ на двух портах.
  • Фильтрация тегов ISE SGT как по источнику, так и по назначению в ACP.
  • Новая версия Firepower User Agent 2.5, которая может интегрироваться с FMC 6.4 и 6.5.
  • Можно использовать бэкап для переноса конфигурации FMC, даже если они не одной модели. Переход можно осуществить только с младших моделей к старшим, но не наоборот.
  • Расширенные возможности командной строки FTD. Получения статистики о количестве обработанных пакетов Prefilter политикой, Snort процессом и т.д.

Firepower Management Center 6.6

Версия FMC 6.6 стала доступна в апреле 2020 года.
Наиболее заметные нововведения:

  • Поддержка Multi-Instance Clustering для платформ FPR 4100 и 9300.
  • Поддержка VRF и VRF-lite (кроме платформы FPR 1010).
  • Возможность использовать резервный пир для Site-to-Site VPN (IKEv1 и IKEv2).
  • Поддержка DTLS 1.2 для Remote-access VPN.
  • Работа ACL в соответствии с определённым временем (time-based ACL и prefilter).
  • Версия VDB больше не влияет на восстановление FMC из бекапа.
  • Тема интерфейса Light theme теперь стала по умолчанию.
Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?

Схема взаимодействия достаточна проста: SFR модуль <- FMC <- облачные сервисы Cisco На FMC из облака загружаются автоматически или вручную обновления URL баз, геолокация (GeoDB), база данных уязвимостей VDB (vulnerability database), IPS сигнатуры. И уже оттуда они устанавливаются на SFR модуль.

Следующая таблица описывает требования доступа к облачным сервисам для определенных функций Firepower:

Функционал Применение Для чего нужен доступ к облачным сервисам
AMP for Networks Management Center Выполняет поиск диспозиции файла в облаке на основе хэш суммы.
Динамический анализ: отправка FMC и SFR модуль Отправляет файлы в облако Threat Grid для динамического анализа.
Динамический анализ: запрос Management Center Запрашивает оценку файловой угрозы у облака AMP, ранее представленной для динамического анализа облаку Threat Grid.
Обновление IPS сигнатур, VDB и GeoDB Management Center Загружает IPS сигнатуры, GeoDB или VDB на устройство.
Локальный анализ вредоносных программ и обновление сигнатур для предварительной классификации файлов Management Center Загружает обновления сигнатур для локальных механизмов анализа вредоносных программ и предварительной классификации.
Security Intelligence фильтрация Management Center Загружает данные службы Security Intelligence из внешних источников, включая предоставленные Cisco.
Обновление системы FMC и SFR модуль Загрузка обновлений системы непосредственно на устройство.
URL фильтрация Management Center Загружает данные о URL категориях и репутациях для ACP (Access Control Policy) и запрашивает неизвестные URL-адреса.

Рассмотрим работу некоторых технологий Firepower подробнее:

  • URL фильтрация
    Предположим у нас настроено правило URL фильтрация по категориям и репутациям. В этом случае если пользователь переходит по URL, то SFR модуль смотрит в локальную БД и определяет категорию и репутацию. База с категориями загружается на SFR модуль заранее. А вот репутация сохраняется, в случае аналогичного запроса ранее. Если в локальной БД этого URL нет, то SFR модуль отправляет запрос на FMC, что бы тот запросил информацию у облака URL. В случае поломки FMC или недоступности URL облака, запрос пользователя не совпадает с правилом Access Control Policy и правило пропускается.
    Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?
  • Проверка AMP
    Предположим на FMC настроена политика, которая производит динамический анализ файлов.
    1. На SFR модуль приходит файл и необходимо определить диспозицию файла (степень его вредоносности). Для этого SFR модуль опрашивает FMC, FMC смотрит локальную базу и, если диспозиция известна, возвращает ответ.
    2. Если диспозиция неизвестна, FMC начинает с некоторой периодичностью опрашивать AMP облако.
    3. Если диспозиция не пришла (или пришла как Unknown) на сенсор в течении 200 мс, файл пропускается, а SFR модуль отправляет файл в облако TG (Threat Grid) для анализа.
    4. TG проверяет его на наличие вредоносного кода.
    5. После проверки TG передаёт диспозицию по данному файлу в AMP облако (хэш файла с пометкой).
    6. FMC периодически опрашивает AMP облако по тем файлам, которые ранее были отправлены для анализа. Получив эту информацию, FMC отмечает у себя в логах.Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?
Что случится если откажет FMC?

Фактически FMC нужно рассматривать только как точку управления для SFR модуля. Конфигурация правил на SFR модуле сначала производится на FMC, и только после этого загружается на него. Если FMC выключен, на SFR модуль это никак не повлияет, и он продолжит работать с последней загруженной конфигурацией и последними загруженными базами. Но обновлять базы он не сможет.

Есть ли у Cisco NG Firewall (FirePOWER/FTD) ASA55xx-X или FPRxxx сертификаты ФСТЭК?

На данный момент сертифицировать решения NG Firewall (МСЭ нового поколения) любых западных производителей во ФСТЭК не представляется возможным, т.к. они все используют в своей работе зарубежные облачные сервисы. Сертифицировать можно только базовый функционал, у Cisco он соответствует функционалу ПО классической ASA. Поэтому сертификация платформ FPRxxx проходит с ПО классической ASA. На данный момент (ноябрь, 2019 г.) проходят сертификацию Firepower 2100 и 4100 серий. Сертификация Firepower 1000 серии планируется в следующем 2020 году.  Напомним, что на сегодня нет обязательных требований по сертификации во ФСТЭК оборудования для защиты персональных данных в коммерческих организациях.

Как лицензируется Cisco Umbrella?

На данный момент (2018) схема лицензирования разделена на две модели:

  1. По количеству пользователей:
    Пакеты Cisco Umbrella Professional, Insights, Platform, и Roaming лицензируются по количеству пользователей (рабочих мест). Рабочее место определяется как уникальное рабочее место имеющее подключение к Интернет. В лицензию Roaming, как и другие лицензии Umbrella не входит лицензирование самого агента AnyConnect.
  2. По количеству устройств (сетевых):
    Пакеты Branch и Wireless LAN лицензируется по количеству маршрутизаторов ISR4k или точек доступа. В данной модели лицензирования не имеет значения число защищаемых устройств.

Разберем каждый пакет подробнее.

Umbrella Professional – предоставляет защиту против Malware, Phishing, вызовов на Command and Control сервера для пользователей, находящихся как внутри сети, так и за её пределами, в дополнение к WEB фильтрации и отчетности.

Umbrella Insights – предоставляет все сервисы пакета Professional и дополнительно включает возможность использования политик защиты с детализацией по пользователям благодаря интеграции с Microsoft Active Directory, фильтрацию URL и IP-уровня, собственные списки фильтрации URL, инспекция файлов на вредоносный контент с использованием Cisco AMP и других антивирусных движков, возможность сохранения логов и расширенная отчетность. Также доступна аналитика использования облачных приложений.

Umbrella Platform - предоставляет все сервисы пакета Insights и дополнительно включает уже преднастроенные и настраиваемые API механизмы интеграции. Также становится доступна консоль расследования Investigate для 50-ти рабочих мест операторов, предоставляющих более глубокий контекст для расследования.

Umbrella Branch - Поддерживает модели ISR: 1100, 4221, 4321, 4331, 4351, 4431 и 4451.

Umbrella Wireless LAN - дает возможность интеграции с контроллерами БЛВС Cisco 2504, 5508, 5520, 8510 и 8540, а также с Wireless Services Module 2 (WiSM2).

Umbrella Roaming – дает возможность установки клиента Umbrella или модуля Anyconnect Umbrella на хостовую машину и его использование как мобильного агента. В лицензию Roaming, как и другие лицензии Umbrella не входит лицензирование самого агента AnyConnect.

Как лицензируется Cisco Umbrella?

Какова схема работы Cisco Umbrella?

Принцип работы корпоративных пользователей (пакеты Professional, Insights, Platform)

Для самого минимального развертывания Umbrella достаточно на всех компьютерах компании назначить в качестве DNS сервера облако Umbrella (или на локальном DNS сервере прописать внешний DNS Umbrella). Базовая защита будет обеспечена, но в этом случае мы не сможем формировать политики по локальным IP адресам и не будем знать какой пользователь запросил тот или иной URL. Что бы это исправить, необходимо внедрить Virtual Appliance (VA).

В локальной сети устанавливается Umbrella VA, у которого всего одна функция: разделять внутренние и внешние DNS запросы. При отправке запроса к локальным ресурсам он отправляет его к локальному DNS серверу, остальные же отправляются в облако Cisco Umbrella. Возможно три варианта решения по запросу: разрешить, блокировать, не известно. В случае «Allowed» пользователю возвращается правильный IP адрес, в случае «Blocked» пользователь получает адрес страницы блокировки. В третьем случае происходит проксирование трафика через облако и его инспекция. Сначала он проверяется антивирусом, чтобы определить, известно ли, что он злонамерен, далее сканирует Cisco AMP, которая блокирует файлы с плохой репутацией на основе контрольной суммы.Какова схема работы Cisco Umbrella?

В данном варианте возможно настраивать политики фильтрации по сети, хосту или пользователю, в последнем случае необходима интеграция с AD. Для интеграции необходимо установить Connector на домен контроллере (или на любой сервер в домене), который передаст через VA список групп и пользователей в облако Umbrella.

Принцип работы удаленных пользователей (пакет Roaming)

Umbrella Roaming Client это DNS клиент, который устанавливается на компьютер. Ошибочно считать его клиентом VPN или антивирусом. Клиент использует IP 127.0.0.1:53 (localhost) и назначает себя DNS сервером, гарантируя что все DNS запросы будут направлены в датацентр Umbrella, при этом взаимодействуя с ресурсами локальной сети с использованием внутренних доменов.

Какова схема работы Cisco Umbrella?

Принцип работы для ISR4k и беспроводных контроллеров Cisco (пакеты Branch и WLAN)

Для развертывания необходимо только обновить ПО на ISR 4000 и можно применять политики. Со стороны пользователей нет необходимости делать какие-либо действия.

Требования для ISR:

  • Установленная security K9 лицензия
  • Cisco IOS XE 16.3 или более поздняя
  • Лицензия на подписку Cisco Umbrella
  • Cisco ISR 4000 устанавливается как шлюз DNS-сервера по умолчанию

Требования для беспроводных контроллеров Cisco:

  • AireOS 8.4 или новее
  • Лицензия на подписку Cisco Umbrella
  • Для первоначальной регистрации, WLC должна иметь доступ к api.opendns.com на порт 443.

Рекомендуемая схема работы

Хост инициализирует DNS трафик и ISR его перехватывает и инспектирует. Если запрос для локального домена, то он передается DNS серверу корпоративной сети. Если запрос предназначен для внешних доменов, то к запросу добавляется Extended DNS (EDNS) запись и отправляется в облако Umbrella. EDNS нужно что бы передать идентификатор устройства в облако и на основе него формировать политики.

В чем особенности различных уровней технической поддержки HPE Packaged Services?

Foundation Care – поддержка реактивного типа, когда разрешение проблем начинается только по факту возникновения инцидентов.

  • Время оказания услуг: 24х7 или 9х5.
  • Сроки действия соглашения о поддержке: 3 года, 4 года, 5 лет.
  • Время реакции: 4 часа (при 24х7) или на следующий рабочий день (при 9х5). Также имеется вариант с опцией CTR от 6 часов.
  • Для сетевого оборудования имеются 2 дополнительные опции: 4 Hour Exchange (замена в течение 4 часов), NBD Exchange (замена на следующий рабочий день).
  • Опции сохранения неисправных запчастей у заказчика: DMR и CDMR.

Proactive Care – поддержка проактивного типа, нацеленная на предупреждение и устранение проблем до их возникновения. Включает условия Foundation Care, а также дополнительные преимущества:

  • Оборудование ставится на мониторинг в HPE. Проводится регулярное сканирование и предоставляются отчёты.
  • Ускоренная обработка инцидентов (приоритет заявок выше, чем в Foundation Care).
  • Удаленный менеджер технической поддержки (не персональный, обращение заказчика направляется общей команде специалистов).

Proactive Care Advanced – дополнительное улучшение Proactive Care. Включает условия Proactive Care, а также услуги персонального менеджера поддержки и 10 сервисных кредитов на поддерживаемое устройство в год. Данные кредиты являются условными единицами, за которые можно приобретать различные технические работы специалистов HPE с поддерживаемым оборудованием. Они помогут повысить производительность и надежность ИТ-ресурсов, а также избежать потенциальных проблем. Примеры работ: анализ пакетов исправлений ОС, проверка работоспособности системы, оценка производительности дисковых массивов.

Datacenter Care – комплексное решение по поддержке уже не отдельных единиц оборудования, а всей ИТ инфраструктуры. Приобретается на всю инфраструктуру целиком в виде контракта, условия которого согласовываются с каждым заказчиком индивидуально. В качестве базовых опций предусматривает аудит площадки заказчика, по результатам которого выбираются требуемые сервисы и работы, а также выделенную команду поддержки. В рамках уровня поддержки Datacenter Care доступны следующие расширения:

  • Datacenter Care Flexible Capacity — модель потребления ИТ-ресурсов «инфраструктура как сервис» с периодической оплатой только за используемые мощности (единицей оплаты может быть сервер, гигабайт емкости, порт сетевого оборудования и т.д.).
  • Datacenter Care Infrastructure Automation — экспертные консультации, поддержка и сопровождение для помощи в переходе к модели программно-определяемого центра обработки данных.
  • Datacenter Care Operational Support Services — мониторинг и удаленное администрирование силами специалистов HPE (передача выполнения рутинных задач, ауттаскинг).
Что такое HPE Pointnext, HPE Packaged Services? Что стало с пакетами услуг HP CarePack?

HPE Pointnext – новое название департамента услуг и сервисной поддержки компании HPE. Pointnext предлагает для заказчиков HPE множество различных сервисов, которые можно объединить в три большие группы:

  • Консультационные услуги и услуги по трансформации – консалтинг, планирование и сопровождение при преобразованиях ИТ-инфраструктуры и внедрениях ИТ-решений у заказчика.
  • Профессиональные услуги – реализация планов по внедрению, развертывание, ввод в эксплуатацию, интеграция с существующей инфраструктурой заказчика.
  • Эксплуатационные услуги – техническая поддержка для ИТ-экосистемы заказчика, различные сервисные работы, а также модели потребления ИТ-ресурсов с оплатой по факту использования.

Пакеты услуг технической поддержки HP CarePack теперь носят название HPE Packaged Services. Они относятся к группе эксплуатационных услуг и представлены следующими уровнями поддержки:

  • Foundation Care;
  • Proactive Care;
  • Proactive Care Advanced;
  • Datacenter Care.

Первые три уровня могут быть приобретены в виде пакета услуг либо контракта на поддержку. Datacenter Care приобретается только в виде контракта.

Какие ограничения имеет стандартная гарантия на оборудование HPE? Какие преимущества дает заказчику приобретение расширенной поддержки?

Стандартная гарантия на оборудование HPE имеет следующие ограничения:

  1. Гарантированное время реакции – не раньше следующего рабочего дня.
  2. График обслуживания по стандартной гарантии – только в рабочее время.
  3. Разный срок гарантии на разные части оборудования. При покупке дополнительных компонентов вместе с основным сервером (если это складская модель), либо впоследствии, они будут иметь собственную гарантию, которая может оказаться меньше гарантии сервера. Например, планки памяти имеют гарантию 1 год. Таким образом, в сервере с гарантией 3 года, гарантия на дополнительно приобретенные планки памяти будет только 1 год.
  4. Для жёстких дисков SATA и NLSAS предусмотрен максимальный срок стандартной гарантии в 1 год, даже если они предустановлены в складскую или CTO модель.
  5. Стандартный срок гарантии – до 3 лет. Обычно оборудование корпоративного класса эксплуатируется больше 3-х лет, и по истечении стандартной гарантии ремонт его заказчик будет вынужден осуществлять за свой счет. Известно, что запасные части для старого оборудования могут дорожать со временем, а срок их поставки достигать 3-4 месяцев.
  6. По условиям стандартной гарантии, при выезде инженера HPE на место установки оборудования, в случае если оно находится более чем за 50 км от сервисного центра, время реакции может быть увеличено или может потребоваться дополнительная оплата.
  7. Стандартная гарантия позволяет получить крайне ограниченный доступ к технической экспертизе HPE.

Заказчик может избежать данных ограничений, приобретя для своего оборудования пакет расширенной поддержки HPE Packaged Services или контракт на поддержку. Расширенная поддержка предусматривает:

  1. Время реакции от 4 часов, возможна опция CTR от 6 часов.
  2. Возможность обслуживания по графику 24х7 (наряду с 9х5).
  3. Выравнивание гарантийного срока на все компоненты оборудования, включая жесткие диски SATA и NLSAS, по длительности приобретаемой расширенной поддержки.
  4. Срок обслуживания до 5 лет.
  5. Обслуживание оборудования корпоративного класса по всей России по заранее определенным условиям (снятие ограничения в 50 км от СЦ).
  6. Доступ к базам знаний, возможность консультаций с экспертами HPE.
Что такое время реакции? Для чего служат обозначения NBD, CSR, CTR, DMR, CDMR?

Время реакции – это период времени с момента регистрации в HPE заявки заказчика, в течение которого технический специалист HPE свяжется с заказчиком и начнет работу над проблемой.

NBD (англ. Next Business Day) – означает следующий рабочий день.

CSR (англ. Customer Self Repair) – используется в описании поставляемых по гарантии комплектующих и означает, что замену указанного компонента заказчик должен производить самостоятельно (HPE может произвести данные работы за дополнительную плату).

CTR (англ. Call-To-Repair) – означает фиксированное время восстановления работоспособности оборудования по условиям технической поддержки.

DMR (англ. Defective Media Retention) и CDMR (англ. Comprehensive Defective Material Retention) – означает опции, позволяющие заказчику не возвращать в HPE вышедшие из строя компоненты при их замене на новые по гарантии (если заказчик озабочен сохранностью своих конфиденциальных данных). DMR распространяется на жесткие диски, а также некоторые SSD и флеш-карты. CDMR доступна только как дополнение к DMR и покрывает остальные устройства, которые могут сохранять информацию (планки памяти, процессоры, контроллеры и т.д.).

Что означает формула вида «3-3-3», описывающая стандартную гарантию на оборудование HPE? С какого момента исчисляется гарантийный срок?

Формула вида X-X-X обозначает сроки, в течение которых действуют различные аспекты стандартной гарантии. Она состоит из трех цифр, например 3-3-3, где:

  • Первая цифра – срок (лет), в течение которого будут предоставляться запасные компоненты в порядке бесплатного гарантийного обслуживания.
  • Вторая цифра – срок (лет), в течение которого будут бесплатно производиться работы по замене запчастей (в сервисном центре или на месте установки*).
  • Третья цифра – срок (лет), в течение которого обслуживание оборудования будет производиться на месте его установки.

* в случае если гарантия предполагает (третья цифра) обслуживание оборудования на месте его установки.

Гарантийный срок исчисляется с даты покупки оборудования или приобретения оборудования в аренду. Если заказчик воспользовался услугами HPE по установке и вводу оборудования в эксплуатацию, гарантийный срок начинает действовать с даты установки. Свидетельством даты покупки или приобретения в аренду является квитанция о продаже или доставке с проставленной датой приобретения изделия. Перед выполнением гарантийного обслуживания HPE может запросить указанные документы в качестве подтверждения актуальности гарантии.

Возможно ли продлить действие гарантии, поддержки или сервисного контракта после окончания их срока?

Действие стандартной гарантии, расширенной поддержки или сервисного контракта можно продлить, приобретя специальный послегарантийный пакет поддержки – HPE Post Warranty Support. Приобрести и активировать данный пакет можно только строго в период «90 дней до – 30 дней после» даты окончания предыдущей гарантии/поддержки/контракта. Его срок действия начинается именно с этой даты.

HPE Post Warranty Support приобретается сроком на один год и может включать условия Foundation Care либо Proactive Care со всеми опциями данных уровней. По истечении действия послегарантийного пакета можно приобрести еще один и т.д. – до тех пор, пока они доступны и пока на оборудование не наступит EoSL (англ. End of Service Life, дата окончания поддержки).

В случае сервисного контракта, его можно заключать и продлевать более чем на год. Для продления необходимо подписание сторонами (заказчиком и HPE) дополнения к соглашению и обновленного варианта приложения 2 — спецификации (состав оборудования и ПО) для нового срока поддержки. Контракт может быть заключен в том числе после завершения гарантийного срока (включая Post Warranty Support).

Аннулируется ли гарантия при установке стороннего компонента в оборудование HPE?

Для оборудования HPE официально поддерживаются только те компоненты, которые перечислены в документации Quickspecs соответствующей модели. Установка стороннего компонента (такого как планка памяти или накопитель) не аннулирует гарантию на само оборудование. Однако, если сторонний компонент вызовет какие-либо проблемы или поломку оборудования, это не будет признано гарантийным случаем. При оказании техподдержки HPE может попросить заказчика удалить сторонний компонент перед проведением дальнейших работ, если имеются подозрения, что именно он вызывает неполадки.

В чем особенность гарантии на SSD накопители для СХД HPE 3PAR?

Массивы HPE 3PAR StoreServ и большинство входящих в их состав компонентов (таких как жесткие диски) имеют стандартную гарантию 3 года. Другие условия предусмотрены для SSD накопителей. Они покрываются безусловной гарантией сроком в 5 лет, то есть замена будет произведена как в случае какой-либо поломки, так и в случае износа флэш-памяти от циклов перезаписи. Кроме того, с февраля 2017 года гарантия SSD на износ флэш-памяти была увеличена до 7 лет. Данное расширение гарантии является бесплатным и действует на всех массивах 3PAR линеек 8000, 9000 и 20000, как новых, так и проданных с 2015 года (требуется наличие действующего контракта на поддержку).

В чем разница между коммерческими (FIX) и корпоративными (FLEX) пакетами расширенной поддержки HPE Packaged Services?

Пакеты расширенной поддержки HPE Packaged Services подразделяются на пакеты коммерческого (FIX) и корпоративного (FLEX) уровней.

Коммерческие пакеты приобретаются отдельно от оборудования и программного обеспечения HPE, как самостоятельная опция. Они требуют последующей регистрации заказчиком (или партнером) в течение 90 дней с даты продажи. В рамках данного типа доступны гарантийные и послегарантийные пакеты. Гарантийные FIX Packaged Services привязываются к дате начала гарантии на оборудование и расширяют ее по сроку и/или уровню на 3, 4 или 5 лет. Послегарантийные FIX Packaged Services привязываются к дате окончания текущей гарантии или расширенной поддержки и продлевают срок ее действия на один год. Формат продуктового номера коммерческих пакетов: U*******E.

Корпоративные пакеты приобретаются вместе с оборудованием и программным обеспечением HPE класса Enterprise (таким как массивы 3PAR StoreServ) и являются неотъемлемой частью заказа. Они начинают действовать с даты продажи оборудования и имеют срок 3, 4 или 5 лет. После их окончания можно заключить сервисный контракт на дальнейшую поддержку оборудования. Формат продуктового номера корпоративных пакетов: HA(G,K,7)****A*.

Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
Программно-определяемая сеть (Software Defined Networks - SDN) - сеть передачи данных, в которой уровень управления сетью отделён от устройств передачи данных и реализуется программно. В качества «мозга» сети обычно выступает контроллер. Он централизованно управляет сетевыми устройствами, собирая с них различные телеметрические параметры (данные по трафику, загрузке оборудованию, качеству связи и пр.). Благодаря такой централизации контроллер обеспечивает автоматизацию в сети, глубокую аналитику её работы, безопасность, а также может реализовать достаточно «хитрую» логику обработки сетевого трафика.

Компания Cisco предлагает следующие решения на базе SDN:
  • SD-Access – решение по построению кампусной сети (проводной и беспроводной). В качестве контролера использует Cisco DNA Center. Контроллер является аплайнсом, который размещается локально на площадке заказчика.
  • SD-WAN – решение по построению распределённой WAN сети, работающей поверх любых каналов связи (Интернет, выделенные каналы, пр.). В качестве контролера используется связка решений vManage, vBond и vSmart. Они поддерживают как облачное, так и локальное размещение (в виде виртуальных машин).
  • ACI – решение по построению сред для обработки данных (ЦОД). Контроллер - Cisco APIC (Cisco Application Policy Infrastructure Controller). Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
Какие преимущества даёт внедрение SD-Access?

SD-Access – программно-определяемая сеть. Ключевым элементом которой является контроллер Cisco DNA Center. Именно он отвечает за работу сети. SD-Access позволяет сетевому администратору абстрагироваться от конкретных технологий и полностью сфокусироваться на настройке сети под требования бизнеса через user-friendly интерфейс. Администратор теперь оперирует абстракциями. А уже контроллер переводит их в машинный язык, т.е. набор команд на сетевом оборудовании.

Основными преимуществами SD-Access являются:

  1. Автоматизация процессов настройки и администрирования оборудования. Это позволяет снизить временные издержки, а также минимизировать сбои в сети, связанные с человеческим фактором. Автоматизация достигается за счёт контроллера Cisco DNA Center. Именно он выполняет все функции автоматизации и оркестрации.
  2. Полная сегментация сети. При подключении устройств к сети происходит их аутентификация и авторизация (802.1x, Active Directory и пр.). Применение политик позволяет гранулярно предоставить доступ к сетевым ресурсам и обеспечить высокий уровень локализации трафика. Для решения данной задачи используются технологии Cisco TrustSec, VRF и пр.
  3. Прозрачность работы сети:
    • единые политики для проводной и беспородной сети,
    • единая точка контроля за сетью (Cisco DNA Center) и визуализация её работы,
    • глубокий мониторинг в связке с машинным обучением позволяет обеспечить преактивную работу сети; минимизация времени на решение инцидентов в сети.
Какие решения являются обязательными для построения SD-Access?
  1. DNA Center на базе физического сервера Cisco (аплайнс),
  2. Решение ISE (в виде аплайнса или виртуальной машины) с необходимым набором лицензий (Basic и Plus),
  3. Сетевая инфраструктура: коммутаторы, маршрутизаторы (опц.), точки доступа с контроллерами (опц.).
  4. Подписка на каждое сетевое устройство: Cisco DNA Advantage или Cisco DNA Premier.

Основными коммутаторами инфраструктуры SD-Access являются Cisco Catalyst 9000. Также могут быть использованы коммутаторы Cisco Catalyst 3850, 4500e, 6500, 6800 и Nexus 7700.

Маршрутизаторы – Cisco ISR 4000, ASR 1000 и CRS 1000v.

Беспроводная инфраструктура: точки доступа x700, x800, 9100; котроллеры 3504, 5520, 8540, 9800.

Так называемая underlay-сеть (транзитная сеть, связывающая между собой fabric edge, fabric border и control plane устройств) может быть построена на любом коммутационном оборудовании. Однако, эта сеть должна быть L3, т.е. обеспечивать маршрутизацию трафика между устройствами SD-Access фабрики. В идеале она должна поддерживать работу протокола IS-IS, что позволить автоматизировать настройку данного оборудования с помощью DNA Center.

Какие преимущества даёт внедрение SD-WAN?

SD-WAN пришёл на смену таким технологиям как DMVPN и iWAN. Данное решение используется для построения защищённой распределённой сети поверх любых каналов связи.

SD-WAN использует три контроллера, отвечающие за работу всего решения, - это vSmart, vManage и vBond. Каждый из них является обязательным элементом. Контроллер vSmart отвечает за распространение политик на устройства. Через vManage осуществляется управление решением. vBond отвечает за связность устройств (аутентификацию, авторизацию, списки устройств и пр.).

Основные преимущества SD-WAN:

  1. Автоматизация процессов настройки (Zero Touch Provisioning): новые устройства автоматически загружают на себя конфигурацию, что существенно уменьшает время запуска новых офисов.
  2. Упрощение администрирования оборудования: централизация настроек – единый портал для всех устройств, гибкая схема шаблонов.
  3. Всестороння аналитика работы WAN сети: телеметрия оборудования, загрузка каналов, качество каналов, разбор трафика по приложениям и пр.
  4. Сегментация и гибкая схема топологий: решение нативно поддерживает сегментацию трафика внутри VPN. На логическом уровне возможно использовать различные топологии VPN: полно связную (Full-mesh), централизованную (Hub-and-Spoke), частично связанную (Partial Mesh) и точка-точка (Point-to-Point).
  5. Интеллектуальная маршрутизация трафика: для разного типа трафика мы можем задать свои критерии маршрутизации, принимая во внимание различные параметры сети.
    • Маршрутизация трафика с учетом качества каналов связи: потери пакетов, задержки, джиттер.
    • Гибкая схема маршрутизации: фильтрация маршрутов, подстановка next-hop’ов, маршрутизация на основе L3/L4/L7 параметров трафика и пр.
    • Выстраивание сервисных цепочек: принудительная маршрутизация трафика через сервисные узлы (МСЭ, балансировщики и пр.).
  6. Встроенные средства безопасности: FW, IPS, AMP, URL-фильтрация.
  7. Оптимизация трафика.
  8. Высокий уровень масштабируемости и отказоустойчивости.
Какие решения являются обязательными для построения SD-WAN?

  1. Контролеры vManage, vBond и vSmart. Поддерживают как облачное (AWS, Azure, Google Cloud Platform), так и локальное размещение (ESXi или KVM).
  2. Сетевые устройства: Cisco ISR 1100 и 4000, ASR 1000, vEdge, ISRv, CRS 1000v.
  3. Подписка на каждое сетевое устройство:  Cisco DNA Essentials, Advantage или Premier. Набор поддерживаемых сервисов определяется типом подписки.

До версии Cisco IOS XE 17.2.1 для работы в экосистеме SD-WAN на сетевом устройстве устанавливается специализированная прошивка (SD-WAN Integrated IOS XE). Начиная с версии 17.2.1 образ операционной системы единый, как для независимого режима работы, так и в составе SD-WAN.

Какие преимущества даёт внедрение ACI?

Фабрика ACI используется для построения сети ЦОД.

Основные преимущества фабрики ACI:

  1. Автоматизация процессов настройки и администрирования.
  2. Всестороння аналитика работы сети ЦОД.
  3. Сегментация на всех уровнях работы сети позволяет строить многопользовательскую среду.
  4. Интеграция со сторонними системами: поддержка различных API-интерфейсов.
Какие решения являются обязательными для построения фабрики ACI?
  1. Контролер Cisco APIC. Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
  2. Коммутаторы Cisco Nexus 9300 и 9500, виртуальный коммутатор приложений Cisco AVS.
Каковы основные преимущества расширенной гарантии (контракта Cisco SmartNet)?

Для расширения базовой гарантии на оборудование и программное обеспечение Cisco можно приобрести дополнительно контракт Cisco SmartNet, который даёт следующие преимущества:

  • Возможность замены оборудования с временем реагирования: на следующий рабочий день (8x5xNBD), через 4 часа (24x7x4), через 2 часа (24x7x2). Оборудование для замены привозит логистическая компания, например, DHL. Новое оборудование приедет с настройкой по умолчанию.
  • Возможность получения круглосуточной технической поддержки при обращении в Cisco Technical Assistant Center (TAC). В рабочее время поддержка осуществляется на русском языке. В другое время на английском.
  • Возможность обновлять программное обеспечение на устройстве, которое покрыто контрактом. Но только в рамках купленного функционала.
  • Доступ в закрытую часть сайта cisco.com.

Более подробную информацию о Cisco SmartNet можно прочесть у нас на сайте в статье «Что такое SmartNet»

Как получить доступ к Вашему сервис-контракту Cisco SmartNet?

Для получения доступа в к Вашему сервис-контракту Cisco SmartNet необходимо:

    1. Зарегистрироваться на сайте www.cisco.com.
    2. Добавить сервисный-контракт к вашему профилю.

Добавить сервисный контракт можно непосредственно в профиле на сайте www.cisco.com или же по телефону. Более подробная инструкция представлена на нашем сайте.

Что такое Cisco Smart Software Licensing?

Cisco Smart Software Licensing – схема лицензирования продуктов Cisco, предоставляющая возможности по централизованному управлению лицензиями на ПО (приобретение, развертывание, контроль, отслеживание и т.п.) через портал Smart Software Manager. Основное направление этой схемы – это отказ от установки лицензионных файлов непосредственно на устройства. Вместо этого, на устройстве, достаточно будет активировать новую схему лицензирования и зарегистрировать его в Smart Software Manager, используя уникальный idtoken. Благодаря настроенной регистрации, устройство будет самостоятельно, раз в 30 дней, проверять актуальность активированных на нем лицензий. В случае невыполнения подтверждения актуальности лицензии (например, отсутствует доступ в интернет на устройстве) будет произведен «откат» на лицензии по умолчанию (например, актуально для ASAv), либо будет запущен «льготный» период на 90 дней, по завершению которого лицензии будут отозваны (например, актуально для сервисов Firepower). Доступ в интернет для устройства, с целью проверки лицензий, может быть реализован напрямую или с использованием HTTP прокси.

Для работы данной схемы лицензирования компания создаёт Smart Account. Именно через него происходит управление лицензиями. 

Что такое Smart Accounts? И почему необходим Smart Account?

Smart Account – учётная запись в облачном сервисе компании Cisco, в которой хранятся данные по лицензированию устройств заказчика. Smart Account используется в рамках схемы лицензирования Cisco Smart Software Licensing.

С выходом версии ПО Cisco IOS XE 16.10.x для корпоративных маршрутизаторов Cisco ISR 1000, ISR 4000, ASR 1000 введены изменения в механизме лицензирования программного обеспечения (ПО) Cisco. Теперь для этих устройств используется схема лицензирования Cisco Smart Software Licensing. Всем заказчикам необходимо создать Smart Account для управления своими лицензиями. В дальнейшем, не имея такого типа учётной записи, заказчики не смогут использовать ПО Cisco.

При обновлении (в том числе «случайном») до 16.10.x существующие на маршрутизаторах PAK и RTU-лицензии будут конвертированы в Evaluation-лицензии со сроком действия 90 дней, по истечении которых необходимо синхронизировать состояние этих лицензий со своим Smart Account.

Что такое Smart Accounts? И почему необходим Smart Account?

С помощью учетной записи Cisco Smart Accounts, Вы можете:

  • Иметь единое место, где вы можете легко просматривать все ваши программные продукты Cisco и управлять доступом в режиме реального времени.
  • Делегировать уровни доступа вашим сотрудникам для работы с вашими программными активами Cisco.
  • Принимать оптимальные решения по использованию лицензий.
  • Контролировать соблюдение лицензионных соглашений.

Виды учетных записей в рамках Smart Accounts

В рамках Smart Accounts существует 2 основных типа учётных записей:

  • Customer Smart Account - учётная запись, ориентированная на конечных пользователей.
  • Partner Holding Smart Account - учётная запись, ориентированная на партнёров (дилеров).

Управление Smart Accounts.

Когда компания создала свой Smart Account, то внутри неё можно делать виртуальные учетные записи (Virtual Accounts).

Лучшие практики по управлению Smart & Virtual accounts

•       На данный момент наличие более 100 виртуальных учетных записей в рамках Умной учетной записи не рекомендуется.

•       Вы можете создать более 100 виртуальных учетных записей, если это требуется Вашей организацией, но не более, чем 1000 (для избежания проблем с пользовательским интерфейсом ).

•       Пользователи виртуальной учетной записи назначаются только на виртуальную учетную запись (Virtual Account), поэтому они могут управлять только лицензиями в этой виртуальной учетной записи.

•       Public. Наименования виртуальных учетных записей видны партнёрам в поисковике Smart Account в CCW .

•       Private. Наименования виртуальных учетных записей не видны в поисковике в CCW, но могут быть назначены партнёром во время создания Квоты /Заказа, указывая точное наименование Виртуальной учетной записи.

Управление Smart Accounts: Выбор ролей

Перейдите на Step 2: Select Roles.

1.   Здесь можете увидеть роли и привязанные к ним привилегии

Smart Account администратор может назначить следующие роли пользователям:

•        Smart Account User

•        Smart Account Administrator

•        Smart Account Approver

•        Assign to Specific Virtual Account only

2.   После того как вы решили, какую роль назначить, выберите соответствующую пометку и нажмите Next.

Управление Smart Accounts.

 

Управление Smart Accounts – лицензионные соглашения

В Customer Smart Account, вы можете рассматривать соглашения(Smart Licensing Agreements), их дату, статус, и Утверждающего/Администратора, кто подписал Соглашение.

Управление Smart Accounts.

 

Управление Smart Accounts: Виды ролей

Smart Account Approver

Smart Account Administrator

Virtual Account Administrator

Может только одобрять юридические соглашения Smart Account-а от имени владельца учетной записи.

Не включает привилегии пользователя или администратора.

Управляет всеми аспектами Smart Account-а и его Virtual Accounts. Администратор Smart Account-a может просматривать и управлять лицензиями на весь Smart Account, а также выполнять операции по управлению учетными записями.

Подобно администратору Smart Account-a, но ограничен выбранными виртуальными учетными записями. Может выполнять действия по управлению лицензиями, а также управлять пользователями для выбранных виртуальных учетных записей.

 

Smart Account User

Virtual Account User

Подобно администратору Smart Account, эта роль позволяет получить доступ ко всем виртуальным учетным записям. Пользователь Smart Account может выполнять действия по лицензированию, но не может создавать новые виртуальные учетные записи или выполнять действия по управлению пользователями.

Подобно пользователю Smart Account-а, но ограничивается виртуальной учетной записью, к которой прикреплен Пользователь. Virtual Account user's могут просматривать все заказы в CCW, которые были депозированы в Виртуальной учетной записи, и назначать их на Smart Account клиента, но не могут добавлять новых пользователей в их виртуальные учетные записи.

 

Более детальная информация доступна в тренинге Smart Accounts Roles Training

 

Клиенты могут предоставить Партнёрам доступ к управлению лицензиями на Smart Account, добавив Партнёра в качестве Пользователя.

Обратите внимание, что, разрешая доступ пользователям-партнёрам к своей учётной записи Smart, клиенты неявно признают, что это позволит партнёрам получить доступ ко всей информации в учётной записи Smart, которая включает лицензии, устройства и т. д.

Кроме того, обратите внимание, что клиент несёт ответственность за все действия своих партнёров, которые включают лицензирование.

Как создать и настроить Smart Account?

Запрос учётной записи Smart Account

1. Зайдите на Cisco Software Central (CSC) – software.cisco.com и нажмите Request a Smart Account чтобы запросить Smart Account. Чтобы запросить доступ к существующему Smart Account выберите Request access to an Existing Smart Account.

 

Как создать и настроить Smart Account?

2. Выберите „Yes, I have the authority to represent my company…” если вы уполномоченное лицо вашей компании и будете авторизировать активизацию Smart Account .

3. Выберите „No, the person specified below should be notified to authorize activation”, если у вас нет права авторизировать или предпочитаете не авторизировать Smart Account или планируете делегировать авторизацию другому лицу.

4. Введите Account Name

5. Нажмите Continue

Как создать и настроить Smart Account?

 

Запрос учётной записи Smart Account – редактирование имени домена организации (опционально)

1.   Если нужно, вы можете редактировать домен, нажав Edit (опционально).

2.   В разделе Edit Account Identifier, поменяйте домен (edit top-level domain /add a prefix).

3.   Нажмите OK для подтверждения нового Domain ID.

4.   Проверьте Account Name и измените, если необходимо.

5.   Теперь вы можете нажать Continue для осуществления запроса на Smart Account.

Как создать и настроить Smart Account?

 

Запрос учётной записи Smart Account – ввод данных о компании (опционально)

Если вы указали No под account authorization, у вас откроется окошко Company information. Вы можете указать имя компании и адрес отличный от имени компании и адреса Вашего профиля на сайте Cisco.

Как создать и настроить Smart Account?

 

Запрос учётной записи Smart Account – номинирование администратора (опционально)

1.   Введите имейлы пользователей, разделенных запятой, для того чтобы номинировать их на получение административного доступа. Выбирая опцию I request access to myself вы номинируете себя на административную роль.

2.   Нажмите Continue, чтобы продолжить.

Как создать и настроить Smart Account?

 

Запрос учётной записи Smart Account – проверка информации и подтверждение запроса

1.   Проверьте информацию в Smart Account information и имена пользователей, для которых запрошен административный доступ.

2.   Нажмите Submit Request.

Как создать и настроить Smart Account?

 

Запрос учётной записи Smart Account – завершение запроса

1.   После подачи запроса вы получите сообщение о подтверждении Smart Account Request Complete. Запрос поставлен в состояние ожидания pending state до тех пор, пока не будет одобрен Cisco.

2.   Вы также получите подтверждение по e-mail.

Как создать и настроить Smart Account?

 

После подачи запроса, временный Smart Account будет создан.

Ваши заказы могут быть привязаны к временному Smart Account, но все закупленные позиции не могут быть использованы пока Smart Account не активизирован.

 

Завершение настройки Smart Account – ссылка на доступ из уведомления на e-mail

Уведомление по электронной почте будет отправлено назначаемому лицу со ссылкой для проверки информации об учетной записи.

1.   Нажмите Complete Smart Account Setup для доступа к Account Authorization странице. 1а. Вам необходим CCO ID. Если нет такого, нажмите register for a new account.

2.   Чтобы узнать более подробно о Smart Accounts, нажмите на ссылку Learn more about Smart Accounts.

Как создать и настроить Smart Account?

 

Завершение настройки Smart Account – активация авторизации

1.   Выберите Yes, I have authority to represent my company… если вы можете представлять вашу компанию для авторизации учетной записи.

Замечание: Если у вас нет полномочий, укажите No, the person specified below must be notified to authorize activation чтобы номинировать пользователя кто может авторизировать создание учетной записи.

2.   Нажмите Continue.

Как создать и настроить Smart Account?

 

Завершение настройки Smart Account

1.   Пересмотрите информацию и нажмите Activate Smart Account для завершения настройки.

Как создать и настроить Smart Account?

 

Завершение настройки Smart Account - Подтверждение

Страница подтверждения. Нажмите Cisco Software Central для просмотра и управления Вашим Smart Account.

Как создать и настроить Smart Account?

 

Доступ на портал Cisco Smart Software Manager

Доступ к управлению устройствами на портале Cisco Smart Software Manager доступен со страницы Cisco Software Central:

Доступ на портал Cisco Smart Software Manager