Cisco

В чем основные отличия между коммутаторами серии Cisco Catalyst 2960?

На данный момент существует несколько линеек серии 2960: 2960, 2960-C, 2960-CX, 2960-L, 2960-SF, 2960-S, 2960-Plus, 2960-X и 2960-XR. Актуальными являются линейки 2960-C, 2960-CX, 2960-L, 2960-Plus, 2960-X и 2960-XR. Часть коммутаторов линеек 2960-Plus (WS-C2960+) и 2960-X (WS-C2960X) производится в РФ и имеют индексы WS-C2960R+ и WS-C2960RX соответственно.

Основные отличия между линейками следующие:

  1. Время появления на рынке: 2960 и 2960-C– старые модели коммутаторов, 2960-S, 2960-SF – более новые, затем выпущены 2960-Plus, 2960-X и 2960-XR, затем - 2960-СX и, наконец, 2960-L.
  2. Линейка 2960-Plus сходна по характеристикам с линейкой 2960. Основное отличие увеличенный объём памяти DRAM и Flash для возможности инсталляции будущих релизов IOS.
  3. Коммутаторы 2960-C, 2960-CX, 2960-L (8,16 – портовые модели) выполнены в компактном исполнении. Для установки в стойку необходимо докупать отдельный монтажный комплект.
  4. Производительность коммутационной фабрики устройства:
    1. 2960-С – 10 Гбит/с;
    2. 2960-СX – 12 Гбит/с;
    3. 2960 и 2960-Plus – до 16 Гбит/с;
    4. 2960-S и 2960-SF – до 88 Гбит/с;
    5. 2960-L – в зависимости от модели, 8 портов - 10 Гбит/с, 16 – 18 Гбит/с, 24 – 28 Гбит/с, 48 – 52 Гбит/с;
    6. 2960-X - 50 Гбит/с (LAN Lite) и 108 Гбит/с (LAN Base);
    7. 2960-XR – 108 Гбит/с.
  5. Медные порты доступа:
    1. 2960С, 2960-CX- 10/100 Mbps и 10/100/1000 Mbps;
    2. 2960, 2960-SF и 2960-Plus - 10/100 Mbps;
    3. 2960-L,2960-S, 2960-X и 2960-XR - 10/100/1000 Mbps.
  6. Определённые модели коммутаторов 2960-S, 2960-X и 2960-XR поддерживают трансиверы SFP+ 10 Гбит/с (до двух).
  7. Коммутаторы 2960-S и 2960-SF могут стекироваться между собой, используя технологию FlexStack. Стековый комплект (C2960S-STACK=) покупается отдельно на каждый коммутатор. Данный комплект содержит пол метровый кабель (CAB-STK-E-0.5M). Общая пропускная способность стека – до 40 Гбит/с; в стек могут быть объединены до 4-х коммутаторов. Следует отметить, что стекирование поддерживается только в коммутаторах LAN Base.

    Коммутаторы 2960-X могут стекироваться между собой, используя технологию FlexStack-Plus или FlexStack-Extended. Стековый комплект (C2960X-STACK, C2960X-FIBER-STK или C2960X-HYBRID-STK) покупается отдельно на каждый коммутатор. Например, комплект C2960X-STACK содержит пол метровый кабель (CAB-STK-E-0.5M). При этом C2960X-FIBER-STK и C2960X-HYBRID-STK не комплектуются кабелем/оптическими трансиверами (SFP+). Они покупаются отдельно. Общая пропускная способность стека – до 80 Гбит/с для FlexStack-Plus и до 40 Гбит/с для FlexStack-Extended; в стек могут быть объединены до 8 коммутаторов. Стекирование поддерживается только в коммутаторах LAN Base. Коммутаторы 2960-X могут стекироваться с коммутаторами 2960-S и 2960-SF, стек начинает работать по технологии FlexStack.

    Коммутаторы 2960-XR могут стекироваться только между собой, используя технологию FlexStack-Plus или FlexStack-Extended. Стековые комплекты аналогичным образом покупаются отдельно.

  8. Коммутаторы 2960-CX, 2960-S, 2960-SF, 2960-L, 2960-X и 2960-XR поддерживают PoE+ - 30 Вт на порт. Доступны модели с бюджетом PoE до 740 Вт.
  9. Коммутаторы 2960, 2960-S и 2960-X могут подключаться к Cisco Redundant power system (RPS) 2300. В коммутаторы 2960-XR можно установить второй блок питания.
  10. Коммутаторы 2960-X и 2960-XR поддерживают технологию NetFlow-Lite.
  11. Коммутаторы 2960-XR поддерживают динамические протоколы маршрутизации, а также расширенные функции 3-го уровня модели OSI: RIP, OSPF, PBR, HSRP и пр.

Стек коммутаторов 2960-X

Чем отличаются коммутаторы Cisco Catalyst 3650 и 3850?

Основные характеристики:

  1. Элементная база
    Архитектура коммутаторов 3650 и 3850 построена на новой универсальной элементной базе (Unified Access Data Plane). Это позволяет на базе коммутатора запускать различные сервисы.
  2. Производительность коммутационной фабрики 3650 и 3850:
    • до 176 Gbps для 3650*
    • до 1280 Gbps для 3850*
    * Производительность варьируется в зависимости от модели коммутатора
  3. Основные порты в коммутаторах 3650 - 10/100/1000 Мбит/с. Коммутаторы 3850 доступны в следующих вариантах основных портов:
    • медные порты 10/100/1000 Мбит/с (24, 48);
    • порты SFP (12, 24);
    • порты SFP+ (12, 24, 48);
    • медные порты Multigigabit 100Mbps/1/2.5/5/10 Gbps (24, 48).
  4. Технология стекирования
    3650 и 3850 поддерживают стек по шине данных:
    • 3650 - Cisco StackWise-160 (160 Гбит/с пропускная способность стека, стековый комплект покупается отдельно)
    • 3850 - Cisco StackWise-480 (480 Гбит/с пропускная способность стека, стековый комплект встроен в коммутатор)
    В стек могут быть объединены до 9 коммутаторов.
    Коммутаторы 3850 поддерживают стек по питанию (StackPower). В стек могут быть объединены до 4-х устройств. Коммутатор 3850 с 48-ю портами SPF+ (WS-C3850-48XS) не имеет поддержки стека.
  5. Uplink порты
    Uplink порты в коммутаторах 3650 фиксированы и зависят от конкретной модели. Бывают модели со следующими Uplink портами: до 4-х SFP, 2 SFP+ и 2 SFP, 4 SFP+.
    В коммутаторах 3850 Uplink порты представлены в виде модулей. Доступны следующие варианты:
    • C3850-NM-4-1G — для установки до 4-х SFP
    • C3850-NM-2-10G — для установки 2-х SFP+ и 2-х SFP
    • C3850-NM-4-10G — для установки 2-х SFP+
    • C3850-NM-8-10G — для установки 8-ми SFP+
    • C3850-NM-2-40G — для установки 2-x QSFP+ (40 Гбит/с)
    Необходимо заменить, что данные модули поддерживаются не во всех моделях линейки коммутаторов 3850.
  6. Блоки питания
    Оба коммутатора поддерживают установку двух блоков питания.
  7. Лицензирование - для серий коммутаторов 3650 и 3850 существует три набора функций:
    • LAN Base — расширенные функции L2, статическая маршрутизация;
    • IP Base — расширенные функции L2 и базовая маршрутизация (статическая маршрутизация, RIP, stub EIGRP, OSPF for routed access), беспроводные сервисы;
    • IP Services — расширенные функции L2 и L3, беспроводные сервисы.
  8. Поддержка сервисов беспроводной сети
    Коммутаторы 3650 и 3850 могут работать как контроллер беспроводной сети в двух режимах (Mobility agent - MA и Mobility controller - MC):
    • 3650 – до 25 точек доступа на стек
    • 3850 – до 50 точек доступа на стек
    Точки доступа должны быть подключены напрямую в коммутатор.
  9. Поддержка протокола Flexible NetFlow (FNF) для получения данных по трафику на всех портах коммутатора.
Какова линейка коммутаторов Cisco Catalyst 9000?

Cisco Catalyst 9000 – коммутаторы нового поколения (next generation) для сетей предприятий (Enterprise). Позиционируются для обеспечения унифицированного проводного и беспроводного доступа, интернета вещей (IoT) и облаков.

Коммутаторы построены на базе многоядерных x86 ЦПУ и программируемых ASIC’ов второго и третьего поколения Cisco Unified Access Data Plane (UADP 2.0 и 3.0). Присутствует возможность установки SSD-диска. В качестве операционной системы используется Cisco IOS XE. Всё это обеспечивает поддержку программно-определяемых сетей, богатого функционала и широких возможностей по интеграции новых сервисов. Cisco Catalyst 9000 являются основой для архитектуры Cisco Software-Defined Access (SD-Access).

Коммутаторы Cisco Catalyst 9000 поддерживают следующие технологии:

  • стекирование на базе технологии Cisco StackWise (StackWise-80/160/320/480 или StackWise Virtual), Cisco StackPower,
  • сегментация трафика на базе VRF, LISP, VXLAN, MPLS*,
  • высокая отказоустойчивость (NSF/SSO),
  • поддержка PoE+ и UPoE,
  • программируемость: NETCONF, RESTCONF, YANG, Python,
  • поддержка со стороны Cisco DNA Center, APIC-EM, ISE,
  • расширенные функции безопасности: MACsec AES-256, Encrypted Traffic Analytics (ETA) – анализ зашифрованного трафика на наличие в нём вредоносного кода,
  • функции мониторинга и анализа трафика: Flexible NetFlow (FNF) и NBAR2,
  • трансляция адресов NAT и PAT (доступно на Catalyst 9500 и 9600).
* На коммутаторах 9200L/9200 поддержки технологий MPLS и ETA нет, технология MACsec поддерживается с длиной ключа AES-128.
Платформа Позиционирование
Cisco Catalyst 9200L/9200 Фиксированный, уровень доступа
Cisco Catalyst 9300L/9300 Фиксированный, уровень доступа
Cisco Catalyst 9400 Модульный, уровень доступа
Cisco Catalyst 9500 Фиксированный, уровни ядра и агрегации
Cisco Catalyst 9600 Модульный, уровни ядра и агрегации
Cisco Catalyst 9200L/9200 (фиксированной конфигурации):
  • количество фиксированных портов: 24 или 48,
  • тип фиксированных портов: медные 10/100/1000,
  • поддержка PoE+,
  • фиксированные Uplink-порты для 9200L и NM-модуль для 9200: 4x1G, 4x10G (SFP/SFP+),
  • поддержка StackWise-80 (9200L) и StackWise-160 (9200),
  • SD-Access: 9200L – 1 virtual network (VN), 9200 – 4 VN.

Cisco Catalyst 9300L/9300 (фиксированной конфигурации):

  • количество фиксированных портов: 24 или 48,
  • тип фиксированных портов: медные 10/100/1000 или Multigigabit,
  • поддержка PoE+ или UPoE,
  • фиксированные Uplink-порты для 9300L и NM-модуль для 9300: 4x1G, 8x10G (SFP/SFP+) или 2x40G (QSFP+),
  • поддержка StackWise-320 (9300L) и StackWise-480 (9300) и StackPower (9300),
  • встроенный контроллер беспроводной сети: 50 ТД на 9300L и 200 ТД на 9300,
  • SD-Access: 9300L – 64 VN, 9300 – 256 VN.

Cisco Catalyst 9400 (модульный):

  • шасси: 4, 7 или 10 слотов,
  • отказоустойчивость за счёт установки двух супервизоров,
  • до 240 Gbps на линейную карту, до 1.44 Tbps на все слоты,
  • линейные карты с поддержкой PoE+ и UPOE,
  • линейные карты c портами RJ-45 (100/1000 и mGig), SFP/SFP+,
  • Uplink-порты на супервизорах: 8x10G (SFP/SFP+), 2x25G (SFP28), 2x40G (QSFP+),
  • поддержка StackWise Virtual.

Cisco Catalyst 9500 (фиксированной конфигурации):

  • тип фиксированных портов: 1G/10G (SFP/SFP+), 25G (SFP28), 40G (QSFP), 100G (QSFP28),
  • Uplink-порты (NM-модуль): 8x10G (SFP/SFP+) или 2x40G (QSFP+),
  • поддержка StackWise Virtual.

Cisco Catalyst 9600 (модульной конфигурации):

  • шасси: 6 слотов,
  • возможна установка двух супервизоров,
  • 2.4 Tbps на линейную карту, до 9.6 Tbps на все слоты для супервизора C9600-SUP-1,
  • линейные карты: SFP+, SFP28, QSFP+, QSFP28,
  • поддержка StackWise Virtual.

Какой коммутатор покупать, 2960X или 9200L/9200?

Cisco позиционирует коммутаторы 9200L/9200 как замена линейке 2960X/2960XR. Они сравнимы по своей базовой функциональности, а также ценовой политике.

Коммутаторы Catalyst 9200/9200L во всех отношениях имеют более современную аппаратную платформу, чем Catalyst 2960X/2960XR.

Аппаратная часть:

Catalyst 9200 Series Catalyst 9200L Series Catalyst 2960X Series Catalyst 2960XR Series
DRAM (DDR3) 4 GB 2 GB 512 MB 512 MB
Flash 4 GB 4 GB 128 MB 256 MB
Stacking (module) StackWise-160 StackWise-80 FlexStack-Plus/
Extended module
FlexStack-Plus/
Extended module
Пропускная способность стека 160 Gbps 80 Gbps 80 Gbps 80 Gbps
Количество коммутаторов в стеке 8 8 8 8
Модули питания 2 2 1 2
Максимальная мощность PoE 1440W 1440W 740W 740W
Модульные uplinks + - - -
Uplinks Модульные:
4x 1G SFP
4x 10G SFP+
Фиксированные:
4x1G SFP
4x10G SFP+
   
Фиксированные:
4x1G SFP
2x10G SFP+
2x 10/100/1000BT

Фиксированные:
4x1G SFP
2x10G SFP+

Catalyst 9200/9200L в своей работе использует операционную систему Cisco IOS-XE. Это обеспечивает поддержку таких технологий, как SD-Access, TrustSec, MACsec, чего раньше не было на коммутаторах Catalyst 2960X/2960XR.

Программное обеспечение:

Catalyst 9200 Catalyst 9200L Catalyst 2960X  Catalyst 2960XR 
OS IOS-XE IOS-XE IOS IOS
Поддержка VRF +* +* - -
RIP + + + +
IS-IS +* +* - -
EIGRP +* +* + (EIGRP stub)  + (EIGRP stub) 
OSPF +* +* + (OSPF stub)  + (OSPF stub) 
VRRP + + - +
HSRP +* +* - +
SD-Access + + - -
IEEE 802.1X + + + +
MACsec-128 + + - -
Cisco TrustSec + + + +
Security Group Access Control List (SGACL) + + - -
* Необходима лицензия Network Advantage для полноценного функционала.

Таким образом при выборе между 2960X или 9200L предпочтение лучше отдавать новым коммутаторам.


Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960 следующих серий: 2960, 2960-S, 2960-SF, 2960-Plus?

Для всей линейки коммутаторов 2960 LAN Lite и LAN Base – это две разные аппаратные платформы.

Аппаратной частью:

  • возможностью подключения Cisco Redundant power system (RPS) 2300 (для ряда моделей);
  • поддержкой до 4-х портов SFP (для ряда моделей);
  • поддержкой всего перечня SFP трансиверов (в т.ч. GLC-BX-D/U);
  • поддержкой до 2-х портов 10 GE SFP+ (для ряда моделей 2960-S);
  • поддержкой PoE/PoE+ (для ряда моделей 2960-S/SF);
  • возможностью стекирования - FlexStack (для моделей 2960-S/SF).

Программной частью:

  • поддержкой статической маршрутизации (до 16 статических маршрутов);
  • поддержкой расширенных функций безопасности: возможность применять ACL на порт, IPSG, DAI, NAC;
  • поддержкой до 255 VLAN для LAN Base и 64 для LAN Lite;
  • поддержкой RSPAN;
  • поддержкой расширенных функций QoS (ingress policing, AutoQoS и пр.).

Переход с LAN Lite на LAN Base и обратно невозможен.

Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960-X?

Это две разные аппаратные платформы.

Аппаратной частью:

  • возможностью подключения Cisco Redundant power system (RPS) 2300;
  • поддержкой всего перечня SFP трансиверов (в т.ч. GLC-BX-D/U);
  • поддержкой до 2-х портов 10 GE SFP+ (для ряда моделей);
  • поддержкой PoE/PoE+ (для ряда моделей);
  • возможностью стекирования - FlexStack Plus и FlexStack-Extended.

Программной частью:

  • поддержкой статической маршрутизации (до 16 статических маршрутов);
  • поддержка Policy-based Routing (PBR);
  • поддержка динамической маршрутизации: RIPv1/v2, OSPF for Routed Access (в том числе OSPFv3), PIM;
  • поддержкой расширенных функций безопасности: возможность применять ACL на порт, IPSG, DAI, NAC;
  • поддержкой до 255 VLAN для LAN Base и 64 для LAN Lite;
  • поддержкой RSPAN;
  • поддержкой расширенных функций QoS (ingress policing, AutoQoS и пр.).

Переход с LAN Lite на LAN Base и обратно невозможен.

Какой набор функций поддерживается на Cisco Catalyst 2960-L?

Для коммутаторов 2960-L существует только вариант Lan Lite.

Это линейка исключительно L2-коммутаторов, без поддержки маршрутизации. Однако, для данных коммутаторов присущи и некоторые более продвинутые функции Lan Base, такие как:

  • Port Access Lists (pACL);
  • 802.1x;
  • Продвинутый QoS. Появилась возможность перемаркировки CoS на основании IP-адресов и номеров портов из IP-заголовка. Также появилась поддержка Weighted Round Robin (WRR), Weighted Tail Drop (WTD).
Чем отличается IP Lite для 2960-XR от IP Base для остальных моделей 2960?

IP Lite поддерживается только на коммутаторах 2960-XR. IP Lite включает все функции IP Base 2960-X.

Кроме этого он поддерживает дополнительные функции:

  • Enhanced Interior Gateway Routing Protocol (EIGRP) stub
  • RIPng, EIGRPv3 stub, PIMv6 stub
  • Private VLAN (PVLAN)

Таким образом 2960-XR с IP Lite по функционалу напоминает коммутаторы 3000 (3650, 3850 и пр.) с IP Base.

Как лицензируются коммутаторы серии Cisco Catalyst 3650, 3560X/3750X и 3850?

Существует три набора функций:

  • LAN Base — расширенные функции L2, статическая маршрутизация;
  • IP Base — расширенные функции L2 и базовая маршрутизация (статическая маршрутизация, RIP, stub EIGRP, OSPF for Routed Access);
  • IP Services — расширенные функции L2 и L3.

Сравнительная таблица программного обеспечения:

Версия ПО  Функционал
LAN Base Все функции L2 коммутации;
Статическая маршрутизация;
IGMP;
Базовая поддержка Security: port ACL, 802.1x, DHCP snooping, DAI, IPSG;
Базовая поддержка QoS: Ingress policing, AutoQoS, Trust Boundary, DSCP mapping.
IP Base Все функции L2 коммутации;
Статическая маршрутизация, RIP, stub EIGRP, stub PIM, OSPF for Routed Access;
Протоколы семейства FHRP: HSRP, VRRP, GLBP;
Policy-based routing (PBR);
Полная поддержка PIM;
Полная поддержка Security (PVLAN, TrustSec и пр.);
Полная поддержка QoS;
StackPower и EEM;
Mobility controller (только для 3650/3850);
Flexible NetFlow (только для 3650/3850).
IP Services Все функции L2 коммутации;
Статическая и динамическая маршрутизация (EIGRP, OSPF, BGP, VRF-lite и т.д.);
Полная поддержка Security;
Полная поддержка QoS;
StackPower, EEM, IPSLA;
Mobility controller (только для 3650/3850);
Flexible NetFlow (только для 3650/3850).
Какова схема лицензирования коммутаторов Cisco Catalyst 9000?

Доступно два основных пакета:

  • Network Essentials
  • Network Advantage

Оба пакета являются постоянными лицензиями и не требуют продлений.

Network Essentials предоставляет базовую функциональность. Ближайшим аналогом является IP Base для коммутаторов серии Catalyst 3000.

Network Advantage предоставляет расширенную функциональность. Ближайшим аналогом является IP Services для коммутаторов серии Catalyst 3000.

Пакет Функциональность
Network Essentials

Основные технологии коммутации и маршрутизации: STP, trunking, PVLAN, static routing, PBR, Routed Access OSPF (до 1000 маршрутов), EIGRP stub, RIP, VRRP, MACsec-128, SSO и пр.

Программирование: NETCONF/YANG, PnP, ZTP/Open PnP

Телеметрия и мониторинг: sampled NetFlow, SPAN, RSPAN

Network Advantage

Расширенные технологии коммутации и маршрутизации: BGP, EIGRP, Full OSPF, IP SLA, HSRP, CBWFQ и пр.

Сегментация: VRF, VXLAN, LISP, SGT, MPLS, mVPN

Стекирование: Stackwise Virtual

Отказоустойчивость: Nonstop Forwarding (NSF), Graceful Insertion and Removal (GIR), Fast Software Upgrade (FSU)

Безопасность: MACsec-256

Интернет вещей: COAP, PTP

При начальном заказе оборудования к основному пакету обязательно приобретается подписка DNA (на 3, 5 или 7 лет):

  • DNA Essentials для пакета Network Essentials
  • DNA Advantage или DNA Premier для пакета Network Advantage

Подписка DNA обеспечивает:

  • доступность технологий программно-определяемых сетей, расширенного мониторинга и безопасности,
  • обновление программного обеспечения (IOS XE),
  • возможность обращения в Cisco TAC для получения технической поддержки.
DNA Essentials DNA Advantage DNA Premier
Full Flexible NetFlow, EEM Да Да Да
ERSPAN, AVC (NBAR2), app hosting (in containers/VMs), Wireshark - Да Да
Encrypted Traffic Analytics (ETA) - Да Да
Автоматизация настройки и обслуживания на базе DNA Center Да Да Да
Управление обновлениями на базе DNA Center - Да Да
SD-Access - Да Да
Базовый мониторинг на базе DNA Center Да Да Да
Всесторонний мониторинг и аналитика на базе DNA Center (network assurance and analytics) - Да Да
Подписки ISE и Stealthwatch - - Да

Более детальную информацию, какая функциональность доступна с той или иной подпиской, можно найти на сайте вендора по каждому семейству (раздел Packaging):

В качестве схемы лицензирования используется Smart Licensing.

Какие коммутаторы Cisco производятся в России?

Локальное производство (завод в Твери) налажено для следующих моделей коммутаторов:

2960 Plus 2960-X 3850
WS-C2960R+24TC-S WS-C2960RX-48FPS-L WS-C3850R-48T-S
WS-C2960R+24PC-L WS-C2960RX-48LPS-L WS-C3850R-48T-E
WS-C2960R+24PC-S WS-C2960RX-48FPD-L WS-C3850R-48T-L
WS-C2960R+48TC-L WS-C2960RX-48LPD-L WS-C3850R-24T-S
WS-C2960R+48TC-S WS-C2960RX-48TS-L WS-C3850R-24T-E
WS-C2960R+48PST-L WS-C2960RX-24TS-L WS-C3850R-24T-L
WS-C2960R+48PST-S WS-C2960RX-24PS-L WS-C3850R-48U-S
    WS-C3850R-48U-E
    WS-C3850R-48U-L
    WS-C3850R-48P-S
    WS-C3850R-48P-E
    WS-C3850R-48P-L

Технически модели ничем не отличаются от обычных (без дополнительной литеры R), на них устанавливается стандартное ПО.

Какие варианты соединения на скорости более 1 Гбит/с доступны на оборудовании Cisco для технологии Ethernet?

10 Гбит/с по медному или оптическому кабелю

На данный момент подключение на скорости 10 Гбит/с возможно по витой паре, специализированному медному кабелю и оптическому каналу.

Подключение по витой паре - стандарт 10GBASE-T. Используется витая пара категории 6 (до 55 метров), 6a и 7 (до 100 метров). Такой тип подключения поддерживается на определённых моделях коммутаторов Cisco Catalyst и Nexus.

Для подключения каналов связи на скорости 10 Гбит/с по специализированному медному кабелю или оптическому каналу используются три типа трансиверов: XENPAK, X2, SFP+. Самый новый — SFP+. Трансиверы SFP+ обеспечивают передачу данных на скорости 10 Гбит/с по оптическим линиям связи (одномод и многомод), по специализированному медному (CU) или оптическому (AOC) кабелю. Для подключения устройств на небольших расстояниях (до 10м) используется готовый комплект с трансиверами с обеих сторон и напаянным в заводских условиях кабелем (так называемый DAC-кабель). Это самый дешевый вариант соединения устройств на скорости 10 Гбит/с. Например, партномера для заказа кабеля 10м — Cisco SFP-10G-AOC10M или Cisco SFP-H10GB-ACU10M.

                      

Трансиверы типа Twinax с медным кабелем (слева) и AOC с интегрированным оптическим кабелем.

Трансиверы XENPAK и X2 — это первые трансиверы для 10 GE. Трансиверы XENPAK и X2 обеспечивают передачу данных на скорости 10 Gbps по оптическим линиям связи (одномод и многомод) и по специализированному медному проводу (CU). Но в отличие от SFP+ готового комплекта для передачи по медному проводу нет. Т.е. надо покупать отдельно трансиверы XENPAK-10GB-CX4 или X2-10GB-CX4 и отдельно провод CX4.

В X2 трансивер можно установить TwinGig и получить два порта SFP.

Все три типа трансиверов могут работать друг с другом. Единственно должны совпадать технологические параметры лазера или диода.

Multigigabit Ethernet

На текущий момент на рынке доступен стандарт IEEE 802.3bz, который позволяет передавать данные на скорости 2,5 и 5 Гбит/с по обычному медному кабелю 5e и 6 категории (витая пара). Также активно прорабатывается стандарт NBase-T, позволяющий передавать данные на скорости до 10 Гбит/с.

На оборудовании Cisco поддерживается технология Multigigabit Ethernet (mGig). Она позволяет передавать данные на скоростях 1, 2.5, 5 и 10 Гбит/с по витой паре (5е до 5 Гбит/с, 6/6e/7 до 10 Гбит/с). Multigigabit Ethernet доступен на коммутаторах Catalyst 3000, 4500E, 9000 и точках доступа Cisco Aironet 3800. Важной особенностью технологии является её совместимость со стандартными скоростями. К порту коммутатора mGig мы может подключать устройства, которые не поддерживают подключение на скорости 100 Мбти/с (100base-T), 1 Гбит/с (1000base-T) и 10 Гбит/с (10Gbase-T).

Более 10 Гбит/с (по оптике)

Оборудование Cisco поддерживает технологии передачи данных на скоростях:

  • 25 Гбит/с (оптические трансиверы SFP28),
  • 40 Гбит/с (оптические трансиверы QSFP),
  • 100 Гбит/с (оптические трансиверы QSFP28, QSFP-100G, CPAK и CFP модули).

Доступны варианты с трансиверами и DAC-кабелями.

Можно ли установить в оборудование Cisco SFP (SFP+) трансиверы других производителей?

Такая возможность есть. Однако в этом случае достаточно сложно гарантировать работоспособность решения, так как никаких официальных документов по совместимости неродных трансиверов нет.

Как подключить сервер к коммутатору Cisco на скорости 10 Гбит/с?

Если сервер производства компании Cisco (т.е. Cisco UCS), самый дешевый и простой вариант – использовать twinax-кабели (расстояние до 10 метров).

Если сервер производства другой компании, например, HPE, использовать twinax-кабели может не получится, так как совместимость никто из вендоров не гарантирует. В этом случае соединить устройства можно по меди (если и сервер, и коммутатор поддерживают порты 10GBASE-T) или по оптике. В случае оптического соединения необходимо будет приобрести трансиверы одинакового типа (например, 10G-SR) для каждого устройства отдельно. А также приобрести необходимый оптический патч-корд. К примеру, SFP+ имеют разъём типа LC, а трансивер типа 10G-SR работает по многомодовому волокну. В этом случае нам потребуется оптический многомодовый патч-корд с разъемами LC-LC.

Какие преимущества предоставляет стекирование?

Технология стекирования обеспечивает:

  • единую точку управления всеми коммутаторами в стеке (management-plane), что упрощает администрирование устройств,
  • агрегацию каналов, подключённых к разным сетевым устройствам (Multi-Chassis Link Aggregation - MC-LAG), за счёт единого control-plane.

MC-LAG в свою очередь позволяет:

  • минимизировать использование в сети протоколов семейства Spanning Tree Protocols (STP),
  • использовать агрегированную полосу пропускания,
  • обеспечивать отказоустойчивое подключении устройств (ниже стоящих коммутаторов, сервер и пр.).
Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?

На оборудовании Cisco в зависимости от платформы используются следующие основные технологии стекирования коммутаторов Cisco Catalyst:

  • StackWise;
  • StackWise Plus;
  • StackWise-80;
  • StackWise-160;
  • StackWise-320;
  • StackWise-480;
  • StackWise Virtual;
  • FlexStack;
  • FlexStack Plus;
  • FlexStack Extended;
  • Virtual Switching System (VSS).

Технология StackWise позволяет объединить в стек до 9 коммутаторов 3750 и 3750G. Для соединения используется специализированный стековый кабель, который идёт в комплекте с каждым коммутатором. При этом длина кабеля в комплекте всего 50 см, чего не достаточно для объединения большого количества коммутаторов распределённых по коммутационной стойке.

Стек представляет собой два кольца с пропускной способностью 16 Гбит/с каждое. Кольцо замыкается на коммутационную фабрику каждого коммутатора. Из-за этого пакет, попав на порт любого коммутатора стека, обязательно проходит через всё кольцо, даже если исходящий порт находится на том же коммутаторе, что и входящий. Такой алгоритм работы называется source stripped. Таким образом, объединяя коммутаторы в стек по технологии StackWise, общая пропускная способность стека не превысит 32 Гбит/с.

Технология StackWise Plus отличается то технологии StackWise тем, что в коммутаторах 3750E и 3750X добавлена выделенная коммутационная фабрика для стековых колец. Это позволяет делать локальную коммутацию пакетов без их появления в стековом кольце. Также это позволило использовать алгоритм destination stripped, при котором пакет сразу же удаляется из стекового кольца, как только он достиг коммутатора, на котором находятся исходящий порт. Данные новшества позволили увеличить общую пропускную способность стека до 64 Гбит/с.

Допускается использование в одном стеке любых коммутаторов серии 3750. В этом случае коммутаторы 3750E и 3750X, использующие технологию StackWise Plus будут работать по технологии StackWise. При этом коммутация пакетов между локальными портами будет осуществляться только внутри коммутатора 3750E или 3750X без появления в стековом кольце.

Технология StackWise-80 позволяет объединить в стек коммутаторы серии Cisco Catalyst 9200L. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-80 можно объединить до 8 коммутаторов. Пропускная способность стека – 80 Гбит/с. Стековый комплект для коммутаторов 9200L покупается отдельно.

Технология StackWise-160 позволяет объединить в стек коммутаторы серии Cisco Catalyst 3650 и 9200. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-160 можно объединить до 9 коммутаторов 3650 и до 8 коммутаторов 9200. Пропускная способность стека – 160 Гбит/с. Стековый комплект для коммутаторов 3650/9200 покупается отдельно. Между собой коммутаторы 3650 и 9200 не стекируются.

Технология StackWise-320 позволяет объединить в стек коммутаторы серии Cisco Catalyst 9300L. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-320 можно объединить до 8 коммутаторов. Пропускная способность стека – 320 Гбит/с. Стековый комплект для коммутаторов 9300L покупается отдельно.

Технология StackWise-480 позволяет объединить в стек коммутаторы Cisco Catalyst серии 3850 и 9300. Со старыми версиями (StackWise и StackWise Plus) данная технология не совместима, хотя частично алгоритмы работы заимствованы у технологии StackWise Plus. На данный момент в стек StackWise-480 можно объединить до 9 коммутаторов 3850 и до 8 коммутаторов 9300. Пропускная способность стека – 480 Гбит/с. Необходимо заменить, что добавлять коммутаторы в стек можно «на ходу», т.е. без отключения существующих. Так же в стеке StackWise-480 более совершенно организована синхронизация текущего состояния основного коммутатора с резервными, реализован полноценный SSO (позволяет передавать трафик в момент аварийного переключения).

Технология StackWise Virtual позволяет объединить в стек до двух коммутаторов Cisco Catalyst 3850-48-XS или 9500. С другими версиями StackWise данная технология не совместима. В качестве стековой шины используются обычные порты Ethernet (10 Гбит/с или 40 Гбит/с); до 4х портов. StackWise Virtual поддерживает SSO/NSF (переключение с сохранением состояния и передачей пакетов в момент переключения). Схема работы StackWise Virtual похожа на схему работы технологии VSS.

Технология FlexStack позволяет объединить в стек до 4-х коммутаторов 2960s. Для объединения коммутаторов используется специализированный кабель с пропускной способностью 10 Гбит/с (full duplex). Максимальная длинна кабеля – 3 метра. Стековый кабель работает на скорости 10 Гбит/с в каждую сторону (full duplex). Стековый модуль имеет два разъёма для подключения стекового кабеля. Поэтому Cisco Systems указывает, что общая пропускная способность стека, собранного по технологии FlexStack, составляет 40 Гбит/с.

Архитектура стека FlexStack отличается от StackWise Plus тем, что передача пакетов между коммутаторами стека происходит hop-by-hop, т.е. каждый коммутатор для каждого пакета определяет, куда его отправить (на обычный порт или на стековый порт). Такое взаимодействие напоминает работу нескольких коммутаторов, подключённых друг к другу по протоколу Ethernet. Отличие в том, что связь между коммутатора стека обеспечивает протокол FlexStack.

Технология FlexStack Plus является наследником технологии FlexStack. FlexStack Plus увеличивает пропускную способность между коммутаторами стека в два раза по сравнению с FlexStack. Теперь пропускная способность составляет 40 Гбит/с при использовании одного интерфейса стекового модуля на каждом коммутаторе, и 80 Гбит/с, при объединении в кольцо (по два стековых порта на каждом коммутаторе). Технология FlexStack Plus позволяет объединять до восьми коммутаторов 2960-X или 2960-XR в стек. Максимальная длина стекового кабеля – 3 метра.

Технология FlexStack Plus обратно совместима с FlexStack. В один стек можно объединять 2960-S и 2960-Х, но при этом будет работать FlexStack: не более четырёх коммутаторов в стеке, пропускная способность стека до 40 Мбит/с. Коммутаторы 2960-XR нельзя объединять в стек ни с 2960-S, ни с 2960-Х. Эта линейка коммутаторов стекируется исключительно между собой.

Технология FlexStack Extended следующее развитии FlexStack. Позволяет объединять в стек территориально разнесённые коммутаторы 2960-Х или 2960-ХR. Это обеспечивается тем, что FlexStack Extended может использовать для стекирования оптические линии. Стековый модуль FlexStack Extended имеет разъём(ы) SFP+ (в C2960X-HYBRID-STK – один, в C2960X-FIBER-STK - два). Используются стандартные SFP+ трансиверы или DAC-кабели. Правда из-за этого пропускная способность снизилась до 40 Гбит/с (при объединении в кольцо). Максимальное количество коммутаторов осталось прежним – 8 штук.

Технология Virtual Switching System (VSS) позволяет объединить в стек два коммутатора серии 4500, 6500 или 6800. Если быть более точными, VSS — это технология виртуализации коммутаторов. Главным отличием является то, что в качестве среды для связи коммутаторов между собой используется Ethernet. Таким образом, коммутаторы можно разнести между собой на расстояние до 40 км. Оба коммутатора являются активными и обеспечивают передачу пакетов. При этом управление происходит на одном из устройств. Другими словами, уровень обработка данных (data plane) и коммутационная фабрика (switch fabric) активны на обоих устройствах. А вот уровень управления (control plane) только на одном. При этом постоянно происходит репликация управляющих данных с одного коммутатора на другой, что обеспечивает быстрое время восстановления в случае отказа. Общая производительность системы в этом случае увеличивается до 1600 Гбит/с для коммутаторов серии 4500 и до 4000 Гбит/с для коммутаторов серии 6500 с супервизором Supervisor Engine 2T. Пропускная способность между коммутаторами может быть до 80 Гбит/с при агрегировании 8 каналов 10 Гбит/с. При агрегировании портов 40 Гбит/с пропускная способность может быть выше.



Сравнительная таблица технологий стекирования/кластеризации:

Технология Серия коммутаторов  Количество коммутаторов в стеке/кластере  Максимальная длина стекового кабеля Пропускная способность стека/кластера
FlexStack 2960-S, 2960-SF, 2960-X, 2960-XR 4 до 3х метров 40 Гбит/с
FlexStack Plus 2960-X, 2960-XR 8 до 3х метров 80 Гбит/с
FlexStack Extended 2960-X, 2960-XR 8 до 70 км 40 Гбит/с
StackWise 3750, 3750G, 3750-E, 3750-X 9 до 3х метров 32 Гбит/с
StackWise Plus 3750-E, 3750-X 9 до 3х метров 64 Гбит/с
StackWise-80 9200L 8 до 3х метров 80 Гбит/с
 StackWise-160 3650, 9200 9 (3650), 8 (9200) до 3х метров 160 Гбит/с
StackWise-320 9300L 8 до 3х метров 320 Гбит/с
StackWise-480 3850, 9300 9 (3850), 8 (9300) до 3х метров 480 Гбит/с
StackWise Virtual 3850-48-XS, 9500 2 до 70 км до 2 Тбит/с
Virtual Switching System (VSS) 4500, 6500, 6800 2 до 70 км до 4 Тбит/с
Поддерживается ли стекирование в коммутаторах Cisco Nexus?

Нет, не поддерживается.

Стекирование предполагает общий control-plane и management-plane. А это возможная точка отказа. Хоть аппаратные ресурсы коммутаторов независимы, существуют сбои (не связанные с железом), при которых стек коммутатор может перестать корректно функционировать. Например, в случае, если contrl-plane «зависнет» из-за утечки оперативной памяти.

Коммутаторы Nexus позиционируются как решение для сред (в первую очередь ЦОД'ов), где отказоустойчивость стоит на одном из первых мест. Поэтому на этих устройствах стекирование отсутствует.

Для реализации функций MC-LAG используется технология vPC. В этом случае каждый коммутатор Nexus имеет свой независимый control-plane/management-plane. При этом мы можем агрегировать каналы, распределённые между двумя коммутаторам. Такая схема даёт большую надёжность, так как даже если и произойдёт сбой в работе vPC, он будет менее фатален на инфраструктуры.

Отсутствие стекирования в плане управления компенсируется за счёт:

  • Использования выносных расширителей Nexus (Fabric Extender - FEX). Это специализированные коммутаторы, в которых функции control-plane/management-plane вынесены на основной (родительский) коммутатор.
  • Возможности синхронизации конфигурации между двумя коммутаторами (Configuration Synchronization). В этом случае control-plane/management-plane остаются независимыми.
Можно ли агрегировать порты (объединять в один логический канал) подключённые к двум разным коммутаторам Cisco?

Это возможно, если коммутаторы, к которым производится подключение, объединены в стек или кластер. Например, это могут быть коммутаторы Cisco Catalyst серий 2960-S, 2960-SF, 2960-X, 2960-XR, 3750X, 3850, 4500-X, 4500-E, 6500, 6800, 9300 и 9500. Также агрегация каналов возможна при использовании технологии vPC доступной на коммутаторах семейства Nexus. В этом случае коммутаторы не объединяются в стек, но благодаря vPC порты на разных коммутаторах Nexus можно объединить в одну группу. Кроме vPC на коммутаторах Nexus поддерживается технология vPC+. Она позволяет агрегировать порты подключённые к коммутаторам Nexus в рамках Cisco FabricPath.

Как обеспечить резервное питание для оборудования Cisco?

Большая часть оборудования Cisco среднего и верхнего сегмента позволяет установить два блока питания с резервированием и возможностью горячей замены. Это серии маршрутизаторов 3800/3900, 4400, 7200, 7600, ASR 1000 и другие. Коммутаторы 2960-XR, 3560-X, 3750-X, 3850, 4500, 6500, nexus 5000, nexus 7000. ASA 5580, а также ASA серии 5500-X начиная с 5525-X.

Маршрутизатора 2811, 2821, 2851 и 3825, а также серии коммутаторов Catalyst Express 500, 2950, 2960, 2960-S, 2960+, 2960X, 3560-E, 3750-E поддерживают систему резервирования питания Cisco RPS 2300. Маршрутизаторы при этом должны быть оснащены RPS коннектором. Когда встроенный блок питания перестает питать устройство, система RPS 2300 начинает функционировать как внешний резервный блок питания.

Автоматическое обратное переключение после устранения неисправности, а также продвинутые функции управления системой RPS доступны только при использовании ее с коммутаторами серий 3560-E и 3750-E. RPS 2300 способен поддерживать резервное питание для одного или двух маршрутизаторов/коммутаторов одновременно. Всего можно подключить до 6-ти устройств.

Кроме того, коммутаторы 3750-X и 3850 можно объединить в с стек по питанию Cisco StackPower. В этом случае выход из строя даже двух блоков питания на одном коммутаторе не приведет к его отключению. Важно отметить, что данная система полностью совместима с технологией PoE и позволяет перераспределить питание, если на одном коммутаторе будут перегружены его собственные блоки питания. Объединить в кольцо можно до четырех коммутаторов 3750-X.

До 9-ти коммутаторов 3750-X и/или 3560-X позволяет объединить система XPS 2200. Эта система объединяет мощности всех блоков питания в единый общий пул, так же как и в предыдущем случае. Второй режим работы – из общего пула исключается мощность самого мощного блока питания. Хотя система XPS 2200 позволяет установить 2 блока питания (также как и RPS 2300), их установка является опциональной.

Что такое RPS 2300 и XPS 2200?

RPS 2300 – устройство, которое работает, как «а ля» второй блок питания для коммутаторов (2960, 3560, 3750 и т.д.) и маршрутизаторов (2811, 2821, 2851, 3825), только внешний.

К одному шасси RPS 2300 можно подключить до 6 устройств. В шасси RPS2300 можно поставить один или два блока питания.

Например, мы подключили 6 коммутаторов Cisco к RPS 2300 с одним блоком питания. В нормальном состоянии все коммутаторы работают, используя свой собственный блок питания. Но если он откажет (например, сгорит), то коммутатор продолжит работать от блока питания, установленного в RPS 2300. Если откажут блоки питания в двух или более коммутаторах, RPS 2300 с одним блоком питания сможет обеспечить работу только одного устройства. Соответственно RPS 2300 с двумя блоками питания сможет обеспечить работу двух устройств.

RPS 2300 не поддерживает коммутаторы 3560X и 3750X.

XPS 2200 является аналогом RPS 2300 для коммутаторов 3560X и 3750X. Ключевым отличием является то, что данное устройство поддерживает умное распределение питания. В XPS 2200 можно подключить до 9-ти коммутаторов 3560X или 3750X. XPS 2200 так же как и RPS 2300 позволяет поставить два дополнительных блока питания. Однако XPS 2200 способен работать вовсе без них, питаясь от блоков питания, установленных в коммутаторах. Всего XPS 2200 поддерживает 3 режима:

  • Режим общей нагрузки (аналогично кольцу StackPower из 4х коммутаторов 3750X).
  • Режим отказоустойчивости – когда в бюджет питания не включаются ватты самого мощного блока питания, при этом можно задать приоритеты для коммутаторов в случае нескольких сбоев.
  • Режим RPS – используется коммутаторами 3560X, которые не поддерживают другие режимы. Аналогичен RPS 2300 по логике работы, может использоваться в комбинации с другими режимами, если требуется одновременно питать коммутаторы разных серий - 3750X и 3560X.

XPS 2200 не имеет порта Ethernet или консольного порта. Данные передаются через кабели питания XPS, которыми система подключается к коммутаторам, поэтому она может быть настроена из консоли любого коммутатора.

RPS 2300

XPS 2200

Схема подключения коммутаторов к RPS/XPS

Какие технологии передачи питания по Ethernet поддерживаются на оборудовании Cisco?

На данный момент в зависимости от платформы поддерживаются четыре технологии:

  • Inline Power (поддержка на старых коммутаторах Cisco);
  • Power over Ethernet (PoE);
  • Power over Ethernet Plus (PoE+);
  • Universal Power Over Ethernet (UPOE).
Технические характеристики Inline Power PoE PoE+ UPOE
Минимальная категория кабеля Cat5 Cat5e Cat5e Cat5e
Стандарт IEEE Нет стандарта    802.3af    802.3at    Нет стандарта   
Максимальная мощность на порт 7 Вт 15.4 Вт 30 Вт 60 Вт
Максимальная мощность на оконечное устройство (с учётом потерь) 6.49 Вт 12.95 Вт 25.5 Вт 51 Вт
Количество используемых пар для передачи питания 2 2 2 4
Можно ли монтировать в стойку маршрутизаторы Cisco 880/890/1100/4000?
  • Cisco 880 – нельзя;
  • Cisco 891 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-890-RM-19);
  • Cisco 1100 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-1100-RM-19);
  • Cisco 4000 – можно, «уши» идут в комплекте.
Что такое маршрутизаторы Cisco ISR 4000 Series?

Маршрутизаторы Cisco ISR 4000 Series были выпущены на замену серии маршрутизаторов Cisco ISR G2 2900, 3900 (на данные модели объявлен EoS).

Основные отличия новых маршрутизаторов:

  • Более производительные (за счёт многоядерной архитектуры); производительность не деградирует при включении сервисов (NAT, ZFW и пр.);
  • Возможность увеличения производительности ключом активации. Например, было 50Мбит/с, ввели ключ, получили 100 Мбит/с;
  • Виртуализация приложений – можно запускать различные приложения (например, WAAS, Snort и пр.) на базе маршрутизатора без потери в производительности и дополнительных модулей;
  • Платформа оптимизирована для использования технологи iWAN (Intelligent WAN);
  • Маршрутизаторы поддерживают новые форм-факторы модулей. Например, вместо EHWIC используется NIM;
  • Модульное программное обеспечение Universal IOS XE.

Схема соответствия между новыми маршрутизаторами ISR 4000 Series и маршрутизаторами ISR G2:

Схема лицензирования новых маршрутизаторов полностью совпадает со схемой лицензирования маршрутизаторов ISR G2 2900/3900.

Какой функционал отсутствует в IOS XE для Cisco ISR 4000?

На маршрутизаторах Cisco ISR 4000 на данный момент (май 2019) не удастся настроить доступные ранее (на ISR G1/G2):

  • SSL VPN (в том числе для подключения через клиент Anyconnect);
  • VXML скрипты, например, для реализации функций авто-секретаря;
  • функции межсетевого экранирования на базе технологии CBAC. При этом есть поддержка ZBF.
Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 4000?

Для маршрутизаторов Cisco ISR 4000 существует два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN).

Лицензирование IOS XE может быть реализовано двумя схемами:

  • классическая схема лицензирования,
  • схема лицензирования на основе подписок DNA.
Классическая схема включает следующие лицензии:

IP Base – только функции маршрутизации; в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.

SEC (Security) – включает функции безопасности: межсетевой экран и VPN (IPSec, DMVPN и пр.).

UC (Unified Communications) – функций передачи голоса (кроме ISR 4221).

AppX – лицензия Application Experience включает поддержку следующих технологий:

  • WaaS (Wide Area Application Services) - оптимизация каналов связи между офисами.
  • AVC (Application Visibility and Control) совместно с NBAR2 - распознавание приложений.
  • Cisco Performance Routing (PfRv3) - интеллектуальное распределение трафика приложений по существующим каналам связи.
  • Overlay-технологии: LISP, OTV, VPLS, EoMPLS.
  • Другие технологии: IP SLA, L2TPv3, MPLS, Akamai Connect.

Используется один универсальный образ ПО IOS XE. Каждый тип функционала IOS открывается отдельной лицензией. IP Base идет в базовой поставке.

Замечания:

  • Существует специальный IOS с убранными функциями шифрования. В его названии идет аббревиатура NPE – Non Payload Encryption;
  • Для IOS NPE не подходит стандартная лицензия SEC. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию SEC-NPE. Все остальные лицензии (UC и AppX) могут быть использованы для IOS NPE без ограничений.
  • HSEC позволяет снять ограничение SEC лицензии: 250 Мбит/с шифрования и 1000 туннелей (для версии 16.8.1 и выше).
  • Часть функций, например, CUCMe, CUBE, SSL VPN и пр. лицензируются отдельно.
  • Для маршрутизаторов существует бандл AX. Этот бандл включает в себя лицензии AppX и SEC.
  • Для ISR 4000 существуют лицензии Performance и Booster Performance, которые программно увеличивают производительность устройства.

Схема лицензирования на основе подписок DNA

Данная схема лицензирования используется при подключении сетевого оборудования к решению Cisco DNA Center. Cisco DNA Center – контролер, отвечающий за централизованное управление, автоматизацию, аналитику и безопасность в сети. 

Доступно три вида подписок: Cisco DNA Essentials, Cisco DNA Advantage и Cisco DNA Premier.

Cisco DNA Essentials Cisco DNA Advantage Cisco DNA Premier
Encrypted Traffic Analytics (ETA*) - Да Да
Software-Defined Access (SD-Access) - Да Да
Расширенный контроль состояния сети (Assurance) - Да Да
Базовая автоматизация и мониторинг Да Да Да
Лицензии на ISE и Stealthwatch - Покупаются отдельно Включены
Классические технологии IP Base + SEC IP Base + SEC + AppX IP Base + SEC + AppX
* ETA – технология обнаружения вредоносного трафика, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки TLS-сессии.
Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 1000?

Для маршрутизаторов Cisco ISR 1000 существует два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN).

Схема лицензирования IOS XE следующая:

IP Base – базовые функции маршрутизации (Routing protocols, ACL, NAT, QoS и пр.); в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.
SEC – включает функции безопасности: межсетевой экран и VPN (IPsec, DMVPN и пр.). Скорость шифрования до 50 Мбит/с. 
APP – лицензия Application Experience, активирует поддержку следующих функций: L2TPv3, MPLS, PfRv3, NBAR2, AVC, IPSLA Initiator, LISP, VPLS, Ethernet over MPLS.
IPSec Performance (VPERF) – увеличивает скорость шифрования до 150 Мбит/с для ISR 1100-4P и 250 Мбит/с для ISR 1100-8P; покупается вместе с лицензией SEC.
HSEC - лицензия HSEC полностью снимает ограничения на шифрование; покупается вместе с лицензией SEC.

Замечания:
  • Существует специальный IOS с убранными функциями шифрования вообще. В его название идет аббревиатура NPE – Non Payload Encryption;
  • Для IOS NPE не подходит стандартная лицензия Security. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию Security NPE (SEC-NPE).

Для IOS XE-SDWAN в рамках архитектуры SD-WAN доступны лицензии в виде подписок: Cisco DNA Essentials, Cisco DNA Advantage и Cisco DNA Premier.

Поддерживает ли маршрутизатор Cisco с лицензией IP Base функционал IP SLA?

Нет. Для работы IP SLA технически необходима одна из лицензий SEC, SECNPE, UC или AppX. Официально использовать IP SLA можно только при наличии лицензии AppX.

Какова производительность маршрутизаторов Cisco ISR G2?

Средняя производительность маршрутизаторов Cisco ISR G2 с включенными сервисами представлена на диаграмме:

Какова производительность маршрутизаторов Cisco ISR 1000?

Производительность маршрутизаторов ISR 1000 без шифрования – до 1 Гбит/с. 

Производительность маршрутизаторов ISR 1000 с шифрованием:

  С лицензией SEC С лицензиями
SEC + HSEC + IPSecPerformance
Четырёх портовые модели (-4P) 50 Мбит/с 150 Мбит/с
Восьми портовые модели (-8P) 50 Мбит/с 250 Мбит/с
Какова производительность маршрутизаторов Cisco ISR 4000?

Пропускная способность маршрутизаторов Cisco ISR 4000 представлена на диаграмме. Включение различных сервисов на маршрутизаторах ISR 4000 не приводит к существенной деградации пропускной способности в связи с новой архитектурой (операционная система IOS XE, многоядерные процессоры и пр.).

В чем основные отличия между коммутаторами 3560V2, 3560G, 3560E и 3560X?

Большая часть линеек коммутаторов Cisco 3560 сняты c продаж (для 3560X дата окончания продаж 30 октября 2016). Из линейки 3560 остались только компактные коммутаторы 3560-CX. В качестве замены рекомендуется рассматривать коммутаторы Cisco 3650.

Основные отличия:

  1. Производительность коммутационной фабрики устройства:
    • 3560V2 – до 32 Gbps;
    • 3560G – до 32 Gbps;
    • 3560E – до 160 Gbps;
    • 3560X – до 160 Gbps.
  2. Коммутаторы 3560V2 имеют основные порты 10/100 Мбит/с.
  3. Коммутаторы 3560G, 3560E и 3560X имеют основные порты 10/100/1000 Мбит/с.
  4. Коммутаторы 3560E поддерживают трансиверы X2 10 Гбит/с (до двух).
  5. Коммутаторы 3560X поддерживают трансиверы SFP+ 10 Гбит/с (до двух). Для установки таких трансиверов необходимо приобрести отдельный модуль (C3KX-NM-10G=).
  6. Для подключения к коммутатору SPF или SFP+ трансиверов необходимо докупать отдельно модули:
    • C3KX-NM-1G — для установки до четырёх SFP;
    • C3KX-NM-10G — для установки двух SFP и двух SFP/SFP+ (не поддерживается GLC-T);
    • C3KX-NM-10GT — два порта 10 Гбит/с по меди;
    • C3KX-SM-10G — сервисный модуль с двумя портами SFP+ и поддержкой Netflow и MACsec шифрованием.
    В коммутатор можно установить один такой модуль.
  7. В коммутатор 3560X можно установить два блока питания. По умолчанию идет один.
  8. На коммутаторах 3560X следующая схема лицензирования программного обеспечения. Существует три набора функций LAN Base, IP Base и IP Services.

Коммутаторы Cisco 3560X

В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?

Все линейки коммутаторов Cisco 3750 сняты c продаж (для 3750X дата окончания продаж 30 октября 2016). В качестве замены рекомендуется рассматривать коммутаторы Cisco 3850.

Данная серия отличается от серии 3560 тем, что она поддерживает стекирование (как по шине передачи данных, так и по питанию).

Cisco 3750X, объединённые в стек

Основные отличия:

1. Производительность коммутационной фабрики устройства:

  • 3750V2 – до 32 Gbps;
  • 3750G – до 32 Gbps;
  • 3750E – до 160 Gbps;
  • 3750X – до 160 Gbps.

2. Коммутаторы 3750V2 имеют основные порты 10/100 Мбит/с.

3. Коммутаторы 3750G, 3750E и 3750X имеют основные порты 10/100/1000 Мбит/с.

4. Коммутаторы 3750E и 3750X поддерживают более совершенную (производительную) технологию стекирования Cisco StackWise Plus:

  • Стековая шина для 3750V2/3750G (Cisco StackWise) – 32 Гбит/с;
  • Стековая шина для 3750E/3750X (Cisco StackWise Plus) – 64 Гбит/с;
  • У коммутаторов 3750E и 3750X более совершенные алгоритмы работы стека:

5. В стек можно объединять разные модели коммутаторов, например, 3750E и 3750X. Объединяться в стек могут до 9 коммутаторов. Следует отметить, что если в один стек объединить коммутаторы 3750V2/3750G и 3750E/3750X стек будет работать на скорости 32 Гбит/с. Для коммутаторов 3750X объединение в один стек коммутаторов с ПО LAN Base и IP Base/IP Services не возможно.

6. Коммутаторы 3750E поддерживают трансиверы X2 10 Гбит/с (до двух).

X2 трансивер

7. Коммутаторы 3750X поддерживают трансиверы SFP+ 10 Гбит/с (до двух). Для установки таких трансиверов необходимо приобрести отдельный модуль (C3KX-NM-10G=).

8. Для подключения к коммутатору SPF или SFP+ трансиверов необходимо докупать отдельно модули:

  • C3KX-NM-1G — для установки до 4-х SFP
  • C3KX-NM-10G — для установки 2-х SFP+
  • C3KX-NM-10GT — два порта 10 Гбит/с по меде
  • C3KX-SM-10G — сервисный модуль с двумя портами SFP+ и поддержкой Netflow и MACsec шифрованием.

В коммутатор можно установить один такой модуль.

Модуль 4 SFP (C3KX-NM-1G=)

9. В коммутатор 3750X можно установить два блока питания. По умолчанию идет один.

Блоки питания для 3750X

10. Коммутаторы 3750X поддерживают стекирование по питанию. Встроенными средствами можно объединить в стек по питанию StackPower до 4-х коммутаторов. До 9-ти коммутаторов позволяет объединить система XPS 2200. Существует два режима работы: отказоустойчивый и общее использование питания. В обоих режимах мощности всех блоков питания объединяются и распределяются между всеми коммутаторами. «Свободные» ватты формируют общий бюджет питания. Основное отличие режимов в том, что в отказоустойчивом режиме в общий бюджет питания не включаются ватты самого мощного блока питания. Эта мощность резервируется и используется после сбоя одного из блоков питания, позволяя сети продолжить работу без прерывания. В режиме общего распределения может оказаться так, что общий бюджет израсходован, например, на подключение дополнительных PoE устройств, и в случае отказа одного из блоков питания, мощностей его компенсировать уже не будет. Для создания такого стека используются кабели CAB-SPWR-30CM (для коммутаторов IP Base/IP Services идёт в комплекте) или CAB-SPWR-150CM.Поддержка StackPower для коммутаторов LAN Base появилась начиная с релиза 15.0(2)SE и выше.

Стекирование питания для 3750X

11. На коммутаторах 3750V2, 3750G и 3750E схема лицензирования включает два набора функций: IP Base и IP Services. На коммутаторах 3750X схема лицензирования включает три набора функций: LAN Base, IP Base и IP Services.

Что означает «Standard Image» (IP Base) и «Enhanced Image» (IP Services) в описании коммутаторов серии 3560 и 3750. В чем разница?

Enhanced Image более продвинутый в качестве набора функций. В Enhanced Image в отличие от Standard Image есть следующее:

  • Поддержка динамических протоколов маршрутизации OSPF, EIGRP, BGPv4;
  • Policy-based Routing (PBR) — возможность гибкой настройки локальных правил маршрутизации трафика;
  • Private VLAN (PVLAN) — поддержка функции частных VLAN-ов, которая позволяет сегментировать доступ между хостами в рамках одного VLAN;
  • Поддержка динамических протоколов маршрутизации multicast-трафика PIM и DVMRP.

Для серий коммутаторов 3560E/3750E схема лицензирования совпадает со схемой для ISR G2. Т.е. существует универсальный IOS, а функционал (IP Base или IP Services) открывается по средствам активации лицензий.

Какие архитектуры построения беспроводной сети на базе оборудования Cisco существуют?

У Cisco есть несколько вариантов по построению беспроводных сетей, в зависимости от масштаба, производительности, требуемых функций и типа управления сетью.

Автономный (Autonomous)

Данный вариант предполагает установку автономных (независимых друг от друга) точек доступа. Каждая точка настраивается и управляется отдельно. Трафик беспроводной сети коммутируется локально на каждой точке.

Централизованный (Centralized)

В данном варианте весь функционал по настройке и мониторингу находится на контроллере беспроводной сети. Весь трафик беспроводной сети проходит через контроллер, что позволяет обеспечить максимальную управляемость и функционал. Это стандартный режим работы сети для внедрения в одной локации.

Контроллер на точке доступа (Mobility Express)

В качестве альтернативы централизованному варианту, для небольших офисов можно использовать режим Mobility Express. В данном варианте, в качестве контроллера выступает точка (или кластер из нескольких точек) доступа 1540, 1560, 1815, 1830, 1850, 2800, 3800. Подключаться к такому «контроллеру» могут все актуальные точки доступа (x600, x700, x800 и др.). Для быстрой настройки сети используется специальный веб-мастер или мобильное приложение. Трафик на точках доступа коммутируется локально (частный случай FlexConnect). Поддерживается до 100 точек доступа и 2000 клиентов. Лицензии не требуются.

Гибкое подключение (FlexConnect)

Данный режим используется в основном для подключения точек доступа в удаленных офисах компании. Управление и мониторинг точек в данном режиме осуществляется централизованно на контроллере (установленном, как правило, в центральном офисе). C точки зрения аутентификации клиентов и коммутации трафика FlexConnect является наиболее гибким вариантом: можно подключать пользователей и коммутировать трафик как локально на точке, используя ресурсы в удаленном офисе, так и на контроллере в центральном офисе.

Стоит отметить, что режим FlexConnect имеет ряд ограничений по сравнению с режимом Centralized, что продолжает делает актуальным использование режима Centralized в определённых случаях.

Конвергентный доступ (Converged Access)

В данном варианте для подключения точек доступа обязательно используются коммутаторы 4500E, 3850, 3650. Точки доступа обязательно должны быть подключены к коммутатору(-ам) напрямую. Для настройки и мониторинга сети может использоваться как один из указанных коммутаторов (или стек), так и выделенный контроллер, например, 5760. Подход Converged Access является наиболее современным и обеспечивает единые политики доступа для беспроводной и проводной сети, высокую скорость коммутации трафика, сохраняя при этом централизованное управление и мониторинг сетью. Все политики качества обслуживания (QoS), доступа (ACL), анализа трафика (AVC) применяются непосредственно на порту коммутатора, к которому подключена точка доступа. Таким образом, больше нет необходимости пропускать весь трафик через контроллер беспроводной сети, для получения полноценного мониторинга и управляемости, что позволяет стоить высокопроизводительные беспроводные сети с большим количеством подключений.

Какие основные преимущества дает использование контроллера беспроводной сети?

Контроллер беспроводной сети позволяет организовать централизованное управление точками доступа, в том числе, установленных в филиалах. Это позволяет:

  1. Упростить эксплуатацию беспроводной сети: очень просто добавлять новые точки доступа, вносить изменения, мониторить, выявлять неисправности. Все происходит из единой консоли. Не надо по десть раз настраивать одну и ту же функцию на всех точках доступа.
  2. Получить бесшовный роуминг — при переходе беспроводного абонента с одной точки доступа на другу связь не рвется.
  3. Отказоустойчивость за счет перераспределения мощности сигнала на точках доступа (механизм автоматического управления радио средой).
  4. Предотвращение влияния точек доступа друг на друга (механизм автоматического управления радио средой).
  5. Поиск нелегальных точек доступа в сети.
  6. Возможность на базе такого решения внедрения расширенных сервисов, например, определения местоположения беспроводного абонента.
  7. Гостевые сервисы.

Контроллер беспроводной сети Cisco WLC 3504

Контроллер беспроводной сети может быть выполнен в виде:

  • отдельного устройства (например, 2500, 3500, 5500, 7500 и пр.);
  • модуля в коммутатор 6500 (WiSM2);
  • виртуальной машины (vWLC), в том числе на базе модуля в маршрутизатор;
  • встроенного функционала в коммутатор (3650 и 3850);
  • на точке доступа (x800).
В чем ключевые особенности и преимущества использования стандарта 802.11ac? В чем отличие 802.11ac wave 1 от 802.11ac wave 2?

Стандарт 802.11ac работает в диапазоне 5ГГц, совместим со стандартом 802.11a/n. Теоретически, стандарт позволяет обеспечить скорость подключения до 6.7 Гбит/с.

Такое кардинальное увеличение скорости обеспечивается в основном за счет:

  • увеличения ширины канала – до 160 Мгц (вместо 40 в 802.11n);
  • увеличение числа пространственных потоков для передачи информации – до 8 (вместо 4 в 802.11n);
  • улучшенная модуляция, позволяющая передать больше информации в единицу времени (256QAM вместо 64QAM в 802.11n).

Также есть несколько ключевых улучшений в работе стандарта по сравнению с предшественниками. Это, например, формирование диаграммы направленности (Beamforming, аналог Cisco ClientLink), а также использование режима MU-MIMO. В классическом режиме MIMO (или SU-MIMO, поддерживается в 802.11n) точка доступа может использовать множественный прием-передачу (несколько антенн) и пространственное мультиплексирование (несколько независимых потоков данных) только для одного клиента в один момент времени. MU-MIMO позволяет обеспечить одновременную передачу нескольких потоков разным клиентам.

Все эти улучшения, а также использование более «широкого»(больше частот – больше каналов) и наименее «загруженного» диапазона 5 ГГц (в сравнении с 2.4 ГГц) делает стандарт 802.11ac наиболее перспективным для дальнейшего использования в современных беспроводных WiFi сетях.

Технически довольно сложно обеспечить переход на устройства нового стандарта с полным функционалом (да и не всегда удается реализовать все теоретические возможности стандарта), поэтому реализация обеспечивается в несколько этапов (или волн). Для устройств wave 1 (2013 год) характерно использование каналов до 80 Мгц, модуляции 256QAM, до 3х потоков SU-MIMO, что позволяет обеспечить скорость подключения до 1.3 Гбит/с. Для устройств wave 2 (2015 год) характерно увеличение ширины канала до 160 Мгц, использование MU-MIMO и до 4х пространственных потоков, что позволяет обеспечить скорость подключения до 3.47 Гбит/с.

Для оборудования Cisco, устройствами wave 1, например, являются точки доступа 1700/2700/3600(с доп. модулем)/3700/1570. Wave 2 устройствами являются точки доступа Cisco 1800/2800/3800.

Что такое Wi-Fi 6? В чем его отличие от других стандартов?

wi-fi

Wi-Fi 6 – это программа сертификации устройств на соответствие новому стандарту беспроводной связи 802.11ax. То есть надпись на коробке «Wi-Fi 6 Certified» говорит о том, что устройство протестировано и поддерживает ключевые функции стандарта 802.11ax (те, что прописаны в сертификации). Сам стандарт должен быть опубликован в конце 2019 года. Новое цифровое обозначение более удобно для отображения «поколений» устройств. Для обозначения соответствия другим (предыдущим) стандартам-поколениям придумана аналогичная нумерация: 802.11n – Wi-Fi 4, 802.11ac – Wi-Fi 5. Например, по значку в интерфейсе можно сразу определить какое поколение Wi-Fi используется на устройстве.

wi-fi

Далее мы используем обозначения сертификации (например, Wi-Fi 6) и стандарта (например,802.11ax) как синонимы, хотя это не совсем верно (устройства Wi-Fi 6 могут не поддерживать какие-то функции стандарта 802.11ax).

Стандарт 802.11ax похож на 802.11ac, но поддерживает несколько технологий и улучшений, в основном направленных на улучшение качества работы сети, её эффективность за счет одновременной работы с несколькими абонентами, более эффективного использования эфира.

Поддержка OFDMA (множественный доступ с ортогональным частотным разделением). Позволяет использовать полосу пропускания для передачи нескольким пользователям (разделив её на поднесущие для разных пользователей). Ранее канал передачи использовался только одним пользователем (OFDM). Режим MU-MIMO обеспечивал передачу нескольких потоков разным пользователям одновременно, то есть тоже решал задачу одновременной передачи информации, но другим способом. В Wi-Fi 6 обе технологии будут работать совместно.

wi-fi

Модуляция 1024-QAM. Позволяет передать больше информации в единицу времени (то есть увеличивает пропускную способность сети).

wi-fi

BSS Coloring. Позволяет более эффективно использовать среду передачи (передавать трафик одновременно с другими «соседними» точками доступа на канале).

TWT (target wakeup time). Экономия энергии для устройств IoT за счёт нового механизма «пробуждения» устройств. 

2.4 ГГц. В отличие от 802.11ac (Wi-Fi 5), который работает только в диапазоне 5ГГц, 802.11ax (Wi-Fi 6) поддерживает диапазон 2.4 ГГц. Стандарт полностью совместим с предыдущими стандартами – 802.11a/g/n/ac.

Важно. На сегодняшний день (июнь 2019) клиентских устройств с поддержкой Wi-Fi 6 нет, как нет и итоговой версии самого стандарта. Поэтому массовый переход на новый стандарт планируется не ранее чем через 2-3 года.

Вкратце, отличия  Wi-Fi 4, 5, 6 друг от друга по ключевым параметрам представлены в таблице.

Параметр Wi-Fi 4 Wi-Fi 5 Wi-Fi 6
Ширина канала (МГц) 20, 40 20, 40, 80, 80 + 80, 160 20, 40, 80, 80 + 80, 160
Частота 2.4 и 5 ГГц 5 ГГц 2.4 и 5 ГГц
Максимальная скорость подключения 150 Мбит\с 3.5 Гбит\с 9.6 Гбит\с
Модуляция 64-QAM 256-QAM 1024-QAM
Пространственные потоки 1 4 8
Стандарт IEEE 802.11n IEEE 802.11ac IEEE 802.11ax
В чем основные преимущества использования технологий CleanAir и ClientLink на оборудовании Cisco?

Технология Cisco CleanAir является программно-аппаратной реализацией. Ключевая особенность этой технологии состоит в способности обнаруживать и локализовать источники помех, способные повлиять на работоспособность беспроводной сети. В отличие от других систем обнаружения помех, технология CleanAir позволяет обнаруживать именно помехи, влияющие на работу WiFi, отделяя их от других сетевых помех. Таким образом точки доступа с поддержкой технологии CleanAir обеспечивают более надежную беспроводную связь, и могут быть использованы в условиях с более высокой вероятностью радиочастотной интерференции, то есть в условиях, где радиоканалы сильно загружены и имеется много источников помех (Bluetooth-устройства, микроволновые печи и т.д.).

При обнаружении помехи на определенной частоте, система автоматически переключает каналы. Технология Cisco CleanAir использует сбор и анализ данных для точного обнаружения и распознавания более 20 типов помех, меняя каналы только в тех случаях, когда она определяет, что помехи достаточно сильны, чтобы повлиять на работу сети. При смене каналов CleanAir сначала анализирует всю структуру сетевых каналов и только потом выбирает предпочтительный вариант смены каналов. Кроме того, технология увеличивает уровень безопасности беспроводной сети. Могут быть локализованы радиоустройства злоумышленников, работающих на нестандартных частотах, также, могут быть отслежены угрозы типа «отказ в обслуживании».

Технология Cisco ClientLink (текущая версия 4.0) позволяет повысить производительность всех мобильных устройств стандарта 802.11a/g/n/ac, работающих в одном, двух или трех пространственных потоках (от старших моделей ноутбуков, смартфонов и планшетных компьютеров до специфических отраслевых устройств и устаревшего беспроводного оборудования). Технология оптимизирует сигнал, транслируемый от точки к клиенту за счет проведения дополнительных вычислений и мониторинга сигнала для каждого клиента на приеме. В частности, точка доступа запоминает с какими характеристика пришёл сигнал на каждую из антенн от клиента (фаза и амплитуда) и далее использует полученные данные для формирования сигнала в обратную сторону, т.е. к клиенту (происходит формирование диаграммы направленности). В результате увеличивается площадь покрытия сети и решается проблема надежного подключения относительно "медленных" устройств, таких как планшетные компьютеры, в среде со слабым уровнем беспроводных сигналов. Также одним из ключевых плюсов использования технологии и её распространения является отсутствие каких-либо требований или дополнительных настроек на клиенте. То есть она работает для всех.

Как оборудование Cisco помогает бороться с помехами в беспроводной сети?

Указанный ниже функционал действует для диапазонов 2.4 и 5 ГГц, однако приведены примеры для 2.4 ГГц, как наиболее используемого и загруженного(в т.ч. не WiFi устройствами) диапазона. На качество работы беспроводной сети могут влиять различные устройства: другие точки доступа, устройства Bluetooth, микроволновые печи и пр.

Как известно, для диапазона 2,4 ГГц существует всего три непересекающихся канала. Таким образом, при большой плотности установки точек доступа велика вероятность взаимного влияния друг на друга. Также, диапазон 2.4 ГГц часто «загружен» другими точками доступа.

Оптимизировать работу сети позволяют встроенные средства мониторинга и управления радиоресурсами (RRM, Radio Resource Management) на контроллере. Механизм позволяет осуществлять управление мощностью точек доступа, распределение каналов, мониторинг загрузки каналов, и др, и автоматически регулировать параметры радио на точках доступа, в зависимости от изменений среды.

Мониторинг работы соседних сетей осуществляется с помощью технологии обнаружения «вражеских» точек доступа (Rogue Detection). В зависимости от степени «легитимности» устройства, его можно оставить или попробовать изолировать.

Интерференция.

Устройства Bluetooth работают на тех же частотах, что и беспроводные сети. На рисунке представлена спектрограмма для диапазона 2.4 ГГц реально действующей сети, на которой видно мозаичное заполнение всех каналов помехами от устройств Bluetooth. Таким помехи приводят к существенному падению скорости передачи трафика при небольшом удалении от точки доступа.

Спектрограмма для диапазона 2,4 ГГц.

Технология CleanAir позволяет обнаружить соседние источники интерференции, определить их тип и минимизировать их влияние на беспроводную сеть.

Также, любая точка с поддержкой CleanAir может выступать в качестве анализатора спектра, при использовании ПО Cisco Spectrum Expert.

В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой?
Cisco Catalyst 9115 Cisco Catalyst 9117 Cisco Catalyst 9120

Точки доступа Catalyst 9115, 9117, 9120 – первая линия точек доступа с поддержкой стандарта Wi-Fi 6. Точки доступа являются частью архитектуры Cisco DNA (серия устройств 9000), однако могут использоваться и без контроллера DNA.

Точки доступа поддерживаются на всех актуальных контроллерах (3504, 5520, 8540, vWLC, 9800). Планируется поддержка Mobility Express.

Все точки имеют гибкий режим работы питания и поддерживают стандарты PoE (802.3af) (в ограниченном режиме) и выше. Разъем для подключения блока питания отсутствует.

Модели Catalyst 9115 Catalyst 9117 Catalyst 9120
Стандарты 802.11a/b/g/n/ac/ax 802.11a/b/g/n/ac/ax 802.11a/b/g/n/ac/ax
Антенны Встроенные, внешние Встроенные Встроенные, внешние
OFDMA + + +
MIMO MU-MIMO 4x4:4
(4 пространственных потока)
2.4 ГГц MU-MIMO 4x4:4
5 ГГц MU-MIMO 8x8:8
MU-MIMO 4x4:4
Bluetooth Low Energy (BLE) + + +
Cisco RF ASIC* - - +
Flexible Radio** - - +
Mobility Express + + +
Uplink mGig (multigigabit) 2.5 Гбит/с mGig 5 Гбит/с mGig 2.5 Гбит/с
Питание PoE+ 802.3at
PoE 802.3af
PoE 802.3bt
PoE+ 802.3at
PoE 802.3af
PoE 802.3bt
PoE+ 802.3at
PoE 802.3af
Блок питания - - -
Температурный режим 0-50C – встроенные антенны
-20-50C – внешние антенны
0-50C – встроенные антенны 0-50C – встроенные антенны
-20-50C – внешние антенны

*чип (Cisco RF ASIC) для работы CleanAir и доп. функций мониторинга сети
**Flexible Radio Assignment (FRA) - возможность одновременной работы двух радиомодулей в диапазоне 5 ГГц

В чем отличие точек доступа x700 и x800?

Основным отличием серии х800 является поддержка стандарта 802.11ac wave2, работающем в диапазоне 5ГГц. Точки доступа поддерживают технологию многопользовательской одновременной передачи (MU-MIMO), а также каналы шириной до 160 МГц (в 2800,3800 серии).

Точки доступа 1815/1830/1850/2800/3800 поддерживают технологию Cisco Mobility Express – интегрированный в точку доступа контроллер, с подключением до 25 точек доступа.

Точки доступа 2800/3800 используют выделенный процессор (на точке доступа) и осуществляют локально анализ трафика по приложениям (Application Visibility and Control). Это позволяет снизить нагрузку на контроллер беспроводной сети.

Также, в точках доступа 2800/3800 серии появилась возможность использовать оба радиомодуля в одном диапазоне 5 ГГц (на разных каналах). Таким образом можно организовать работу сети 802.11a/n/ac с разделением на ячейки (микро, макро), максимально утилизируя ресурсы точки доступа, использовав возможности стандарта 802.11ac. Для точек доступа с внешними антеннами функция доступна при использовании дополнительно переходника Smart Antenna Connector.

Стоит отдельно отметить точки доступа 3800. Данная линейка точек доступа поддерживает технологию Multigigabit Ethernet (IEEE 802.3bz) и позволяет подключать точку доступа к сети по обычному медному кабелю (кат. 5е, 6, 6а) на скорости до 5 Гбит/с и добиться высокой производительности при использовании стандарта 802.11ac. Для точек 2800 можно использовать 2 порта Gigabit Ethernet, настроив агрегацию. Также на точке доступа 3800 есть порт для подключения доп. модуля (например, мониторинг, определение местоположения).

В чем отличие точек доступа х800 между собой?
Модели Aironet 1815* Aironet 1830 Aironet 1840 Aironet 1850
Стандарты 802.11a/b/g/n/ac 802.11a/b/g/n/ac 802.11a/b/g/n/ac 802.11a/b/g/n/ac
Антенны Встроенные Встроенные Встроенные Встроенные, внешние
MIMO MU-MIMO 3x3:2
(2 пространственных потока)
MU-MIMO 3x3:2 MU-MIMO 4x4:4 MU-MIMO 4x4:3
CleanAir, ClientLink - - - -
Mobility Express + (до 50ТД) + (до 50ТД) + (до 50ТД) + (до 50ТД)
Uplink 3х1GE (1 порт с PoE) для 1815t
1х1GE для 1815i, 1815w, 1815m
1х1GE 2х1GE 2х1GE
Питание PoE+ 802.3at
PoE 802.3af
PoE+ 802.3at
PoE 802.3af
PoE+ 802.3at
PoE 802.3af
UPOE
PoE+ 802.3at
PoE 802.3af
Блок питания - AIR-PWR-C - AIR-PWR-C
Температурный режим 0-40C 0-40C 0-40C 0-40C – встроенные антенны
-20-50C – внешние антенны

* имеют настольное (1815t) или настенное (1815w) исполнение

* точка доступа 1815m имеет большую мощность встроенных антенн, по сравнению с 1815i, для обеспечения большего покрытия

Модели Aironet 2800 Aironet 3800 Aironet 4800
Стандарты 802.11a/b/g/n/ac 802.11a/b/g/n/ac 802.11a/b/g/n/ac
Антенны Встроенные, внешние Встроенные, внешние Встроенные
MIMO MU-MIMO 4x4:3 (3 пространственных потока) MU-MIMO 4x4:3 MU-MIMO 4x4:3
Bluetooth Low Energy (BLE) + + +
Flexible Radio + + +
CleanAir, ClientLink + + +
Hyperlocation* - - + (встроенная антенна Hyperlocation)
Mobility Express + (до 100ТД) + (до 100ТД) + (до 100ТД)
Uplink 2х1GE 1 1GE, 1 mGig (multigigabit) (5 Гбит/с) 1 1GE, 1 mGig (5 Гбит/с)
Питание 802.3at PoE+ 802.3at PoE+
Universal PoE
802.3at PoE+
Universal PoE
Блок питания - AIR- PWR-50 AIR- PWR-50
Температурный режим 0 to 40C – встроенные антенны (2802i)
-20 to 50C – внешние антенны (2802e)
0 to 40C – встроенные антенны (3802i)
-20 to 50C – внешние антенны (3802e)
0 to 40C

* функционал позиционирования с высокой точностью (Hyperlocation)

Есть ли у Cisco всепогодные точки доступа корпоративного класса?

У компании Cisco в корпоративном сегменте есть защищенные точки доступа в металлическом корпусе для сложных условий внешней среды (складские помещения, заводы). Эти точки доступа имеют диапазон рабочих температур от -20° до +55° С. Однако, они не имеют защиту от воды (конденсат, дождь), поэтому должны использоваться с защитным контейнером при установке на улице.

В сегменте Outdoor (всепогодный Wi-Fi) представлены в основном дорогостоящие решения с функционалом для провайдеров связи (серия 15x0). Для корпоративного сегмента предлагается использовать компактные точки доступа для улицы - Cisco Aironet 1530, 1540, 1560 (с поддержкой 802.11acW2) Outdoor Access Point. Их можно использовать в компании в качестве всепогодного решения. Для ввоза этих моделей требуется получать дополнительное разрешение на ввоз оборудования.

Какие точки доступа Cisco производят в России?

Локальное производство налажено для точек доступа Cisco Aironet серии 1700, 2700, 3700, 2800, 3800.

Что означает R в партномере точки доступа AIR-AP1832I-R-K9?

Для стран существуют различные требования, предъявляемые при использовании радиочастот. В России использование радиочастот Wi-Fi контролируется Государственной комиссии по радиочастотам (ГКРЧ).

В партномерах точек доступа Cisco на месте литеры R (в данном случае R — Russian Federation) стоит обозначение регуляторного домена (regulatory domain). Указанные точки доступа полностью отвечают нормативным требованиям Российской Федерации, а значит заказ и ввоз точек доступа AIR-AP1832I-R-K9 на территорию РФ разрешен и разрешение подтверждено необходимой лицензией. Точки, производимые локально, также имеют литеру R.

Для диапазона 5 ГГц (802.11a/n/ac) на точках доступа Cisco домена R разрешены к использованию диапазоны частот 5150-5350,5470-5850 (каналы 34-165).

Для диапазона 2,4 ГГц (802.11g/n) на точках доступа Cisco домена R разрешены к использованию диапазоны частот 2400-2472 (каналы 1-13).

Какие варианты питания точек доступа Cisco существуют?

В комплект поставки точек доступа блок питания не входит.

Доступны следующие варианты питания точек доступа:

  • С помощью блока питания.
  • С помошью инжектора питания.
  • С помощью коммутатора с поддержкой технологии подачи питания по Ethernet (PoE,PoE+,EPoE,UPoE).

Варианты питания по моделям в общем случае представлено в таблице. Потребление увеличится при использовании на точке доступа дополнительных функций (доп. модуль, порт USB, подача питания на доп. порт Ethernet на точке).

  1700 2700 3700 (без модуля) 1810 1830 1850 2800 3800
Потребление (Вт) 15 15 16,1 15,4 (без PoE out) 16 20,9 26 (без USB) 30 (без USB)
802.3af PoE (до 15.4 Вт) + +(3x3:3 - 5Ггц,
2x2:2 - 2.4Ггц)
+(3x3:3) + + +(2x3:2 2.4ГГц) - -
802.3at PoE+ (до 30Вт) + +(3x4:3) +(4x4:3) + + + + +
Cisco UPOE (до 60 Вт) + + + + +   + +
Ethernet инжектор питания AIR- PWRINJ4
AIR- PWRINJ5   
AIR- PWRINJ4    AIR- PWRINJ4    AIR -PWRINJ5
AIR -PWRINJ6   
AIR- PWRINJ5    AIR- PWRINJ4
AIR- PWRINJ5   
AIR- PWRINJ6 AIR- PWRINJ6   
Блок питания AIR- PWR-B AIR- PWR-B AIR- PWR-B AIR- PWR-D AIR- PWR-C AIR- PWR-C отсутствует разъем AIR- PWR-50
Чем отличаются друг от друга контроллеры серий 2500, 3500, 5500, vWLC?
  2500 3500 5508 5520 vWLC
Форм-фактор Физическое устройство Виртуальное устройство
Кол-во обслуживаемых клиентов 1000 3000 7000 20000 6000
Кол-во точек доступа 75 150 500 1500 200
Производительность 1 Gbps 4 Gbps 8 Gbps 20 Gbps 500 Mbps
Кол-во WLAN 16 16 512 512 512

Следует отметить, что все контроллеры гибко лицензируется по количеству точек доступа. Например, можно приобрести контролер 2504 на 5 точек доступа, и далее в процессе эксплуатации докупать лицензии, которые увеличивают количество поддерживаемых точек доступа с шагом 1, 5 или 25 точек доступа.

Отличия по функциональным возможностям:

  • Виртуальный контроллер vWLC поддерживает подключение точек доступа только в режиме FlexConnect (локальная коммутация трафика или на контроллере), не поддерживаются режимы Local и Mesh.
  • Виртуальный контроллер vWLC - отсутствует поддержка технологии Application Visibility and Control (AVC) позволяющей осуществлять мониторинг, контроль и приоритезацию трафика по приложениям.
  • Виртуальный контроллер vWLC не поддерживает проводной гостевой доступ. Для некоторых предприятий важно иметь возможность предоставления контролируемого Интернет-доступа для клиентов, партнёров и консультантов компании. При этом доступ должен отвечать требованиям безопасности – гости должны иметь ограниченный и контролируемый доступ к ресурсам компании. Доступ организуется следующим образом: коммутатор доступа направляет трафик от гостей на WLC. WLC передаёт необходимые настройки гостевому оборудованию (IP-адрес, DNS и т.д.) для предоставления Интернет-доступа и проводит процедуру Web-аутентификации пользователя.
  • WLC 2500 не поддерживает ограничение скорости (bandwidth contract). Контроллеры серии 5500 предоставляют возможность ограничить полосу пропускания для каждого пользователя.
  • WLC 2500 и vWLC не поддерживают service port. Нет возможности выделить отдельный физический порт для управления устройством.
Какие варианты резервирования контроллеров серии 2500, 3500, 5500, 7500, 8500, vWLC существуют?

Для указанных контроллеров существуют следующие типы резервирования:

  1. N+1
    Описание работы: на контроллере для точек доступа указывается первичный, вторичный и третичный контроллеры. В случае отказа основного контроллера, точка доступа регистрируется на вторичном контроллере.
    Время переключения: переключение занимает десятки секунд.
    Совместимость: для резервирования могут использоваться разные модели контроллеров. Например, первичный 5500, вторичный 2500.
    Поддержка: данный тип резервирования поддерживается на всех типах контроллеров.
  2. Stateful Switchover (SSO)
    Описание работы: два контроллера образуют отказоустойчивую пару Active-Standby с репликацией конфигурации и состояния (точки доступа, клиенты, ключи и т.п.) В случае отказа активного контроллера, точка доступа переключается на резервный контроллер с сохранением состояния. Повторная аутентификация клиента не требуется (для ПО версии 7.5 и выше).
    Время переключения: переключение занимает менее секунды
    Совместимость: для формирования отказоустойчивой пары требуются контроллеры одной модели с одинаковым ПО.
    Поддержка: из указанных контроллеров, данный тип резервирования поддерживается на 3500, 5500, 7500, 8500.

С точки зрения лицензирования, для заказа в качестве резервного контроллера часто используется отдельный партномер (например, AIR-CT2504-HA-K9, AIR-CT5508-HA-K9), не имеющий лицензий на точки доступа. Данный контроллер используется только для резервного подключения точек в случае отказа основного контроллера в одном из указанных вариантов резервирования. При этом, например, для контроллеров 3500, 5520 такого парт-номера не существует и покупается контроллер без лицензий (AIR-CT5520-K9, AIR-CT3504-K9).

Режимы резервирования можно использовать совместно. Контроллер НА (например, AIR-CT2504-HA-K9, AIR-CT5508-HA-K9) в режиме N+1 можно использовать для резервирования нескольких контроллеров.

Будет ли работать автономная точка доступа с контроллером?

Все корпоративные точки доступа Cisco поддерживают как работу в автономном режиме, так и работу в «облегченном» режиме с контроллером. Для этого необходимо только установить на точку доступа необходимое ПО (требуется сервисный контракт для скачивания).

Контроллер поддерживает работу точек доступа только в локальной сети?

Контроллеры беспроводной сети поддерживают как локальные точки доступа (режим local, весь трафик идет через контроллер), так и точки доступа в удаленных сетях(например, филиал). Подключив точку доступа в удаленном офисе в режиме flexconnect, можно выбрать различные режимы работы(например, локальная коммутация трафика, централизованная аутентификация пользователей и т.п.)

Почему после обновления ПО контроллера точки доступа не могут зарегистрироваться на контроллере?

Перед обновлением рекомендуется изучить Release Notes для планируемого к установке ПО, либо проверить по таблице совместимости. Например, в ПО 8.4.100.0 не поддерживаются точки доступа серии Cisco Aironet 600, 1550, 1040, 1140, 1260.

Можно ли подключить к контроллеру беспроводной сети точку доступа, встроенную в маршрутизаторы серии 860, 880, 890?

Да, точки доступа, встроенные в маршрутизаторы 860, 880, 890 (AP801, AP802) можно подключить к контроллеру.

Какие функции поддерживаются в Mobility Express?

По умолчанию архитектура Mobility Express предполагает работу точек доступа в режиме «Connected, Local Switching». Коммутация трафика происходит локально на точке доступа (Local Switching), а аутентификация происходит централизованно на точке с функцией контроллера беспроводной сети (Master-AP). Такой режим работы практически полностью совпадает с FlexConnect в архитектуре с выделенным контроллером (режим Central Auth, Local Switching). В случае, если по какой-то причине контроллер становится недоступен, точка доступа переходит в режим «Standalone, Local Switching», в котором некоторые функции не работают (это логично, ведь контроллер не доступен).

Узнать какие функции поддерживаются в Mobility Express и в каких режимах они работают можно в следующем документе (для ПО версии 8.5.100).

Какие точки доступа поддерживают работу в режиме Cisco Mobility Express?

В качестве управляющей (Master) точки доступа могут выступать Cisco Aironet 1540, 1560, 1815, 1830, 1850, 2800, 3800, 4800. В качестве управляемой (кроме уже указанных моделей) могут использоваться точки доступа Cisco Aironet 700i, 700w, 1600, 1700, 1810W, 2600, 2700, 3500, 3600, 3700.

Могу ли я подключить точку доступа с поддержкой Mobility Express к полноценному контроллеру? Можно ли установить на ТД с Mobility Express «автономное» ПО?

Любую точку доступа с ПО ME можно подключить к контроллеру. Для этого достаточно перевести точку доступа в соответствующий режим с помощью команды ap-type capwap. «Перепрошивка» точки доступа в данном случае не требуется, однако, существует возможность заказа\установки ТД с «облегченным» ПО (только для работы с контроллером).

В чем отличие точек доступа Cisco Aironet 1810/1810W?

Точки доступа Cisco серии 1810 - это компактные двухдиапазонные точки доступа стандарта 802.11ac Wave 2, предназначенные для небольших офисов, подключения удаленных сотрудников, установки в гостиницах, жилых помещениях и др. Точки доступа имеют интегрированные антенны, поддерживают технологию MU-MIMO 2х2 с двумя пространственными потоками, каналы до 80 МГц (867 Мбит/с для 802.11ac). Точки доступа имеют один 1 Гбит/с аплинк порт и три LAN порта 1 Гбит/с (1 с PoE). Поддерживается питание по Ethernet 802.3af/at, инжекторы AIR-PWRINJ5, AIR-PWRINJ6, блок питания AIR-PWR-D.

Точки доступа 1810 Office Extend:

  • установка на стол (подставка в комплекте);
  • поддерживают шифрование данных в канале между точкой доступа и контроллером (DTLS) для разворачивания корпоративной беспроводной сети для мобильных сотрудников;
  • порты Ethernet могут использоваться для подключения к корпоративной сети.

Точки доступа 1810w:

  • различные варианты монтажа (на стену\стол);
  • модуль Bluetooth 4.1 BLE для внедрения дополнительных сервисов.
Поддерживают ли контроллеры предыдущего поколения (4400,2100) новые точки доступа?

К сожалению, последняя версия ПО, которую можно установить на контроллеры 2100 и 4400 7.0.240.0. В этой версии точки доступа 1600, 2600, 3600 не поддерживаются.

В чем отличие точек доступа 700 и 1600 между собой?

Точки доступа 1600 обеспечивают работу в режиме 3 х 3 MIMO с двумя пространственными потоками (до 300 Мбит/с). Поддерживается технология ClientLink 2.0 (до 32 клиентов на радио) Поддержка технологии CleanAir Express заявлена в будущем. Имеет две модификации: 1600i – для офисных помещений, с интегрированными антеннами (3 шт.) и 1600e – для сложных условий внешней среды (складские помещения, заводы), с внешними антеннами.

Точки доступа Aironet 700 офисного исполнения и выпускаются только с интегрированными антеннами (2 шт.). Обеспечивают работу в режиме 2 х 2 MIMO с двумя пространственными потоками (до 300 Мбит/с). Не поддерживают технологии ClientLink и CleanAir. Также, на текущий момент (март 2014), точки доступа 700 серии не поддерживаются для построения сети по технологии Converged Access (контроллеры на базе коммутаторов 3650, 3850 и др.).

Также, хотелось бы отметить, что обе линейки поддерживают такие технологии как BandSelect, VideoStream. Каждая из точек выпускается только с двумя радиомодулями (2.4ГГц и 5ГГц). Поставляются в автономном и облегченном (для работы с беспроводным контроллером) вариантах.

В чем отличие точек доступа x600 и x700?

Линейки точек доступа x600/ x700 состоят из трёх серий 1600/1700, 2600/2700 и 3600/3700. Точки доступа x700 пришли на смену x600.

Точки доступа Cisco Aironet 1600 - это начальная линейка точек доступа 802.11n второго поколения. Точки доступа 1600 обеспечивают работу в режиме 3 х 3 MIMO с двумя пространственными потоками (до 300 Мбит/с). Поддержка технологии CleanAir Express.

Точки доступа Cisco Aironet 2600 обеспечивают помехоустойчивое, высокоскоростное подключение и оптимизированы для концепции BYOD (Bring Your Own Device, принеси собственное устройство). Aironet 2600 обеспечивают работу в режиме 3 х 4 MIMO с тремя пространственными потоками (до 450 Мбит/с). Точки доступа поддерживают технологию CleanAir.

Также, хотелось бы отметить, что обе линейки поддерживают такие технологии как ClientLink 2.0, BandSelect, VideoStream. Каждая из линеек имеет две модификации: 1600i, 2600i – для офисных помещений, с интегрированными антеннами и 1600e, 2600e – для сложных условий внешней среды (складские помещения, заводы), с внешними антеннами. Каждая из точек выпускается только с двумя радиомодулями (2.4ГГц и 5ГГц), точки с внешними антеннами рассчитаны на использование двухдиапазонных антенн.

Cisco Aironet 3600 поддерживает 4x4 MIMO с тремя пространственными потоками (до 450 Мбит/с). Поддержка технологии ClientLink (версия 2.0). Cisco Aironet 3600 оборудована функцией модульного расширения. Это позволяет продлить жизненный цикл точки доступа и иметь возможность устанавливать модули по мере необходимости. Один из таких модулей – Security Monitor Module позволяет точке доступа, на которой установлен этот модуль, одновременно работать в режиме wIPS MM и передавать клиентский трафик даже при полной загрузке канала. Вторым модулем расширения для Aironet 3600 является радиомодуль с поддержкой 802.11ac. Это новый стандарт беспроводных сетей со скоростью подключения до 1.3 Gbit/s. Также доступен модуль Cisco 3G Small Cell Module (позволяет строить 3G сети внутри компании).

Главное отличие новой серии х700 это поддержка стандарта 802.11ac wave1 (до 867 Мбит/с для 1700 и до 1.3 Гбит/с для 2700/3700), работающем в диапазоне 5ГГц. Остальные технологии также доработаны для поддержки нового стандарта – это ClientLink 3.0 и Cleanair 2.0. Поддержка нового стандарта, оптимизация указанных технологий и работы роуминга составляют технологию Cisco High Density Experience (HDX) для высокоскоростных сетей с высокой плотностью клиентов (HDX не поддерживается на точках 1700, нет технологии ClientLink, есть поддержка только CleanAir Express).

В остальном, по ключевым техническим параметрам серии точек доступа схожи:

  • Передача х Получение:Пространственные потоки (MIMO):
    1600/1700 - 3 x 3:2
    2600/2700 - 3 x 4:3
    3600/3700 - 4 x 4:3
  • Варианты исполнения с интегрированными (есть небольшие отличия в мощности) и внешними антеннами (кроме 1700 – только встроенные антенны, внешние антенны обратно совместимы).
  • Обратная совместимость с предыдущими стандартами.

В дальнейшем Cisco обещает для точек доступа 3600/3700 выпустить модуль с поддержкой стандарта 802.11ac Wave 2 (более 1,3 Гбит/с).

Так же как и 1600/2600 точки доступа 2700/3700 могут быть как со встроенными антеннами, так и с внешними.

Существует два разных решения по IP-телефонии на базе CUCM и CUCMe. Каковы основные различия между решениями?
  1. Решение на базе CUCM – это решение на базе виртуальной платформы WMware, запущенной на сервере (например, на базе Cisco UCS). Данное решение позволяет создавать отказоустойчивую кластерную систему с распределением сервисов по различным серверам для разделения нагрузки. Решение на базе CUCME – это решение на базе маршрутизатора. Продукты компании Cisco позволяют использовать один маршрутизатор одновременно для различных задач, например, CUCME, firewall, VPN и т.д.
  2. Кластер CUCM позволяет поддерживать до 40000 абонентских устройств, CUCMe может поддерживать максимум 450 абонентских устройств.
  3. При организации IP-телефонии на базе CUCM Вы получите решение с кластером CUCM в центральном офисе и голосовыми шлюзами в филиалах, позволяющее централизованно управлять всем оборудованием, гибкий номерной план и политики управления вызовами. При выборе в качестве IP-ATC CUCMe Вы получаете систему с децентрализованным управлением (в каждом офисе будет своя АТС);
  4. При организации IP-телефонии на базе CUCM Вы получите решение с большими возможностями по резервированию. Голосовые шлюзы в филиалах с функционалом SRST при потери связи с кластером CUCM обеспечат временную регистрацию абонентов и предоставят базовый функционал телефонии;
  5. Решение на базе CUCM отличается более высоким уровнем модульности и способности к масштабированию, чем решение на базе CUCMe.

Какова схема лицензирования CUCMe (версии 12.0 и выше)?

На маршрутизаторе должна быть установлена лицензия UC (Unified Communications) для активации функций телефонии. Парт номер выглядит следующим образом (пример для ISR 4321): SL-4320-UC-K9.

Модель лицензирование CUCMe с версии 12.0 претерпела изменения. Она включает в себя два типа лицензий: лицензия на функционал и лицензии на пользователей.

Лицензия на функционал FL-CME означает, что на маршрутизаторе будет использоваться функционал Cisco Unified Communications Manager Express. Данная позиция стоит ноль.

Лицензия на пользователя (CME-UL) – это Smart Account лицензия, дающая право на использование одним абонентом любого телефона при работе с CUCMе. Таким образом с версии 12.0 не важно какой тип телефона используется пользователем, схема лицензирования стала универсальной.

На какие серверы можно установить решение Cisco Unified Communication Manager (CUCM)?

Установка самой последней версии CUCM 10.Х возможна только на виртуальные машины, установка на «голое» железо невозможна.

Официальные требования для установки Cisco UCM прописаны в политике Cisco UC Virtualization Supported Hardware. На данный момент выделены 3 группы серверов для установки:

  1. Серверы Cisco UCS TRC (tested reference configuration). Это модели серверов Cisco с определённые конфигурацией, которые продаются в виде бандла. В данном случае приложение Vmware vSphere обязательно, Vmware vCenter – опционально.
  2. Серверы Cisco USC Specs-based. Серверы Cisco, которые отвечают требованиям Cisco для работы приложений UC – четко прописанные модели процессоров, а также требования к остальным комплектующим (оперативной памяти, дисковой подсистеме и пр.). В этом случае Vmware vSphere и Vmware vCenter обязательны к установке.
  3. Серверы третьих производителей. Серверы любого производителя, выполняющие требования политики Cisco (оснащены процессорами, поддерживаемыми Cisco UC, необходимым объёмом оперативной памяти, дисковой подсистемой и т.д.). В данном случае приложения Vmware vSphere и Vmware vCenter обязательны к установке. Также, в случае использования серверов стороннего производителя поддержка Cisco TAC будет распространяться только на приложения Cisco UC, но не на сервер.

Ранее (версия CUCM 9.X и ниже) помимо указанных были доступны следующие варианты установки:

  1. На базе серверов Cisco MCS 7800 (установка на «голое» железо, сняты с продаж, дата последнего заказа данного продукта - 29 октября 2013 года);
  2. На базе сертифицированных серверов HP или IBM, была возможна установка как на «голое» железо, так и на виртуальные машины, однако в обоих случаях предъявлялись конкретные требования к комплектующим серверов.

Следует заметить, что с выходом новых версий CUCM требования к серверам могут меняться, поэтому данную информацию необходимо проверять на сайте производителя.

Какова схема лицензирования для решения Cisco Unified Communication Manager (CUCM)?

Решение CUCM лицензируется по пользователям независимо от того сколько серверов будет в кластере. Начиная с версии 10.x для решения CUCM существуют два класса лицензий: User Connect Licensing (UCL) и Unified Workspace Licensing (UWL).

Лицензии UCL бывают следующих типов:

  • Essential – покрывает аналоговые устройства, а также телефоны 3905 и 6901;
  • Basic – покрывает телефоны 7811 и 7821;
  • Enhanced - покрывает телефоны 784X, 786X, 88xx, SIP телефоны третьих производителей, Cisco Jabber (Desktop и Mobile), DX/EX серию;
  • Enhanced Plus – покрывает те же устройства, что и Enhanced, при этом позволяет пользователю использовать одновременно два устройства, например, стационарный телефон и Cisco Jabber,
  • TelePresence Room – покрывает иммерсивные или многоцелевые TelePresence системы (например, Webex Room Kit).

Лицензии UWL бывают следующих типов:

  • UWL Standard - позволяет использовать для одного пользователя до 10 любых устройств, а также голосовую почту Unity Connection;
  • UWL Meetings – включает возможности UWL Standard + поддержка решения WebEx, а также лицензию на видеоконференцсвязь Personal Multiparty Plus на базе Cisco Meeting Sever.

Следует отметить, что при просчёте решения CUCM, существуют множество нюансов, которые необходимо учитывать. Поэтому приведённая информация является ознакомительной, но не достаточной для проработки полноценного решения. Для этого рекомендуем обращаться к специалистам компании CBS. Схема лицензирования может меняться производителем. Представленные данные актуальны для версии 10.x и выше на момент публикации.

Что такое Cisco Business Edition?

Cisco Business Edition (BE) – платформа унифицированных коммуникаций. На данный момент существует три платформы: BE 4000 (до 200 телефонов), BE 6000 (до 150 и до 1000 абонентов), а также BE 7000 (более 1000 абонентов).

BE является законченным решением (бандлом), включающим в себя следующие продукты (кроме BE 4000):

  • сервер Cisco UCS или UCS E;
  • платформа виртуализации VMware;
  • программное обеспечение.

Программного обеспечение, которое может быть запущено на платформе BE (кроме BE 4000):

  • IP-АТС;
  • система голосовой почты;
  • сервер мгновенных сообщений и состояния присутствия;
  • сервер оповещений;
  • контакт-центр;
  • решения для видео конференцсвязи;
  • решения по централизованному управлению;
  • и т.д.

Список решений, которые могут быть запущены на базе BE, включает, как практически все продуты компании Cisco в области унифицированных коммуникаций, так и решения сертифицированных партнёров компании Cisco.

В качестве аппаратной платформы для решения BE выступают следующие серверы:

  • аплайнс BE 4000 (до 200 телефонов),
  • UCS E160D – решение BE 6000 (до 150 абонентов),
  • UCS 220 – решение BE 6000 (до 1000 абонентов),
  • UCS 240 – решение BE 7000 (более 1000 абонентов).

BE 4000 является гибридным решением. Его управление происходит через облачный сервис компании Cisco. Само решение предоставляет традиционные сервисы IP-телефонии и голосовой почты. Встроен функционал автосекретаря (IVR). На данный момент (июль 2018) данное решение в России не продаётся.

Что такое BE 6000?

Cisco Unified Communications Manager Business Edition 6000 – платформа унифицированных коммуникаций, предназначенная для удовлетворения потребностей среднего бизнеса (до 1000 пользователей). BE 6000 представляет собой бандл (сборку). Решение представлено в трёх вариантах:

  • BE6000H - 1000 пользователей, до 9 виртуальных машин на сервере, до 2500 поддерживаемых устройств;
  • BE6000M - 1000 пользователей, до 5 виртуальных машин на сервере, до 1200 поддерживаемых устройств;
  • BE6000S - 150 пользователей, до 5 виртуальных машин на сервере, до 300 поддерживаемых устройств.

В стартовом варианте BE6000M и BE6000H включены следующие продукты:

  • Сервер Cisco UCS 220 M5 в конфигурации BE6000H:
    • 1000 пользователей,
    • до 8 виртуальных машин сервисов collaboration и одной виртуальной машины для настройки (provisioning) на сервере,
    • до 2500 поддерживаемых устройств.
  • Или в конфигурации BE6000M:
    • 1000 пользователей,
    • до 4 виртуальных машин сервисов collaboration и одной виртуальной машины для настройки (provisioning) на сервере,
    • до 1200 устройств.
  • Виртуальная платформа Vmware ESXi 6.x;
  • Cisco Unified Communication Manager – полноценная IP-АТС (в отличие от CUCMe), до 1000 пользователей (2500 устройств максимум);
  • Instant Messaging and Presence with the Cisco Jabber – сервер мгновенных сообщений и состояния присутствия, на базе клиента Cisco Jabber, до 1000 пользователей;
  • Cisco Unity Connection – сервер голосовой почты, до 1000 пользователей;
  • Prime Collaboration Provisioning - решение по централизованному управлению продуктами Cisco из области UC;
  • Cisco Enterprise Licensing Manager (ELM) – решение по централизованному управлению лицензиями продуктов Cisco из области UC.

В стартовом варианте BE6000S включены следующие продукты:

  • Блейд сервер UCS E160D M2 на базе Cisco 2921-V;
  • Виртуальная платформа Vmware ESXi 5.0;
  • Cisco Unified Communication Manager – полноценная IP-АТС (в отличие от CUCMe), до 150 пользователей (300 устройств максимум);
  • Instant Messaging and Presence with the Cisco Jabber – сервер мгновенных сообщений и состояния присутствия, на базе клиента Cisco Jabber, до 150 пользователей;
  • Cisco Unity Connection – сервер голосовой почты, до 150 пользователей;
  • Prime Collaboration Provisioning - решение по централизованному управлению продуктами Cisco из области UC;
  • Cisco Paging Server – сервер оповещений (на базе решения InformaCast).

Также на платформе BE6000M и BE6000H можно развернуть ряд дополнительных серверов (всего не более 5 или 9 в зависимости от типа сервера с учетом CUCM, IM and Presence, Unity Connection, Unified Provisioning Manager):

  • Cisco Meeting Server – сервер видео конференцсвязи;
  • Cisco Expressway – сервер подключения к корпоративной системе унифицированных коммуникаций из вне;
  • Cisco Unified Contact Center Express – контакт центр, до 100 агентов;
  • Cisco Unified Attendant Console (CUxAC) – сервер управления программными консолями секретаря (три редакции: Business, Department, Enterprise);
  • Cisco Paging Server – сервер оповещений (на базе решения InformaCast);
  • Cisco Emergency Responder (CER) – сервер управления и мониторинга экстренных вызовов;
  • Решения для управления инфраструктурой унифицированных коммуникаций:
    • Cisco Prime Collaboration Provisioning – сервер автоматизации начальной настройки;
    • Cisco Prime Collaboration Deployment – сервер для помощи при миграции, обновления и начальной установки приложений UC;
    • Cisco TelePresence Managemant Suite – сервер планирования проведения конференций;
  • Помимо этого, на BE6000 могут быть установлены сторонние приложения от партнеров Cisco (максимум 3 приложения на сервере, максимум 6 приложений от партнеров в кластере).

Некоторые преимущества решения BE6000:

  • Cisco BE6000M и BE6000H поддерживает до 3-х серверов в кластере (но не более 1000 абонентов);
  • Поддерживается миграция пользовательских лицензий на полноценную систему с отдельно стоящими серверами (при росте количества абонентов более 1000);
  • Cisco IM and Presence – начиная с версии 9.0 распространяется и лицензируется бесплатно, в составе CUCM. То есть, заказчик покупает только лицензии на пользователей, а установка и использование мессенджера Cisco Jabber (функционал аналогичен Microsoft Lync) бесплатна.
Что такое BE 7000?

Cisco Unified Communications Manager Business Edition 7000 – платформа унифицированных коммуникаций, предназначенная для удовлетворения потребностей среднего и крупного бизнеса (более 1000 пользователей). BE 7000 представляет собой бандл (сборку). Решение представлено в двух вариантах:

  • BE7000M - до 6 виртуальных машин на сервере;
  • BE7000H - до 10 виртуальных машин на сервере;

В стартовом варианте BE7000M и BE7000H включены следующие продукты:

  • Сервер Cisco UCS 240 M4, поддерживающий до 5000 пользователей на сервер, до 15000 устройств на сервер. Для увеличения емкости сверх указанной, добавляют необходимое количество дополнительных серверов.
  • Виртуальная платформа Vmware ESXi 5.0;
  • Cisco Unified Communication Manager – полноценная IP-АТС (в отличие от CUCMe);
  • Instant Messaging and Presence with the Cisco Jabber – сервер мгновенных сообщений и состояния присутствия, на базе клиента Cisco Jabber;
  • Cisco Unity Connection – сервер голосовой почты;
  • Prime Collaboration Provisioning - решение по централизованному управлению продуктами Cisco из области UC;
  • Cisco Enterprise Licensing Manager (ELM) – решение по централизованному управлению лицензиями продуктов Cisco из области UC.

Также на платформе BE7000M и BE7000H можно развернуть ряд дополнительных серверов (всего не более 6 или 10 в зависимости от типа сервера с учетом CUCM, IM and Presence, Unity Connection, Unified Provisioning Manager):

  • Решения для видео конференцсвязи:
    • Cisco TelePresence Server – сервер многоточечных конференций;
    • Cisco TelePresence Conductor – сервер управления ресурсами конференций;
    • Cisco TelePresence Managemant Suite – сервер планирования проведения конференций;
    • Cisco TelePresence Content Server – сервер записи и вещания конференций;
  • Cisco Expressway VCS – сервер подключения к корпоративной системе унифицированных коммуникаций из вне;
  • Cisco Unified Contact Center – контакт центр;
  • Cisco Unified Attendant Console (CUxAC) – сервер управления программными консолями секретаря (три редакции: Business, Department, Enterprise);
  • Cisco Emergency Responder (CER) – сервер управления и мониторинга экстренных вызовов;
  • Cisco Paging Server – сервер оповещений (на базе решения InformaCast);
  • Помимо этого, на BE7000 могут быть установлены сторонние приложения от партнеров Cisco.
Требуется телефон для возможности совершения видео-звонков. Какие основные варианты существуют?

Для организации видео вызовов компания Cisco Systems предлагает использовать несколько решений:

  1. Телефоны 8845 и 8865. Имеют встроенную видеокамеру и позволяют совершать видеозвонки по протоколу H.264 с качеством картинки 720p HD.
  2. Телефон Cisco DX650. Имеет встроенную 1080p камеру, сенсорный экран, работает на базе ОС Android, может напрямую подключаться к студиям телеприсутствия Cisco Telepresence.
  3. Настольные терминалы DX70, DX80 и EX90. Позволяют совершать видеовызовы FullHD качества.
  4. Cisco Jabber - программный клиент, устанавливаемый на ПК, Mac или планшетный компьютер позволяет совершать видеозвонки FullHD качества.
Какие существуют способы обеспечить электропитание для IP-телефонов Cisco? В чем преимущество каждого из способов?

А. Технологии Power over Ethernet (PoE), PoE+, UPoE. Питание телефона осуществляется от коммутатора по стандартной витой паре в сети Ethernet. Коммутатор должен поддерживать данную технологию и обладать необходимой мощностью. Различные модели телефонов имеют различные требования по мощности.

Преимущества:

  • отсутствие кабельной инфраструктуры для подачи электропитания;
  • возможность установки оборудования в наиболее подходящих для этого местах, невзирая на отсутствие сети электропитания;
  • сокращение времени установки IP-телефонов;
  • легкость обеспечения резервирования питания;
  • экономия энергии за счет индивидуального выделения требуемой мощности на каждый порт.

Недостатки:

  • Необходимо наличие коммутатора, поддерживающего технологию PoE.

Б. Инжекторы питания PoE. Могут быть отдельными устройствами на каждый порт, либо эта функция интегрирована в патч-панель.

Преимущества:

  • отсутствие кабельной инфраструктуры для подачи электропитания;
  • возможность установки оборудования в наиболее подходящих для этого местах, невзирая на отсутствие сети электропитания;
  • сокращение времени установки IP-телефонов;
  • возможность обеспечить питание по кабелю Ethernet, если приобретенный ранее коммутатор не поддерживает PoE.

Недостатки:

  • сложнее обеспечить резервирование питания;
  • нет управления выделяемой мощностью.

В. Стационарные блоки питания. Каждый телефон имеет свой блок питания, подключаемый в общую сеть электропитания.

Преимущества:

  • Масштабируемость. Нет зависимости от количества имеющихся PoE портов на коммутаторах, нет необходимости наращивать мощность коммутаторов.

Недостатки:

  • Необходимо наличие розетки сети электропитания;
  • Увеличенное время установки IP-телефона;
  • При перебоях в сети электропитания телефоны будут более подвержены риску простоя.
Что такое PVDM?

PVDM (packet voice/data module) — это модуль, на котором находятся специализированные процессоры DSP (digital signaling processor). Изначально он предназначался для обработки голоса. Основная задача данного модуля преобразовать голос из одного типа в другой (например, из E1 в IP и наоборот). То есть когда голосовое соединение приходит на маршрутизатор, например, по аналоговым линиям, его необходимо в реальном времени без задержек преобразовать в данные, которые будут отправлены по IP. ЦПУ такую задачу выполнить не может, так как он занимается обработкой широкого спектра задач. Поэтому используются специализированные процессоры DSP.

Так же PVDM модуль позволяет преобразовывать один кодек в другой (например, G711 в G729), собирать голосовые потоки в один, то есть обеспечивать работу голосовой конференции, реализовывать различные функции по управлению качеством голоса (компрессию, борьбу с эхом, определение качества вызовов и пр.).

Современные PVDM модули (PVDM3, PVDM4 и SM-X-PVDM) умеют обрабатывать также и видео. При обработке видео основной их задачей является обеспечение работы видео конференции (объединение нескольких видео потоков в один).

Для маршрутизаторов ISR 4000 кроме установки на материнскую плату существует вариант установки в модуль T1/E1, а также ввиде сервисного модуля SM-X-PVDM в слот SM.

Сам модуль PVDM устанавливается на материнскую плату в маршрутизаторе.

Какие модули PVDM можно устанавливать в маршрутизаторы Cisco разных поколений?

На данный момент существует четыре версии PVDM модулей: PVDM2, PVDM3, PVDM4 и SM-X-PVDM. В маршрутизаторы ISR G1 можно устанавливать только модули PVDM2. В маршрутизаторы ISR G2 можно устанавливать модули PVDM2 и PVDM3. Однако PVDM2 можно установить в ISR G2 только посредством специального адаптера PVDM2–ADPTR=. Модули PVDM4 можно установить только в ISR 4000. Также в ISR 4000 могут быть установлены сервисный модуль SM-X-PVDM.

Работают ли 3rd Party SIP телефоны с Cisco CUCM?

Устройства были настроены для работы с IP АТС Cisco CUCM 9.1 как Basic SIP Phone (Enhanced лицензия на CUCM). Проведена базовая конфигурация. Работоспособность некоторых функций может быть достигнута путем установки дополнительных элементов системы и их тонкой настройки.

В первую очередь, хочется обратить внимание, что использование телефонов не поддерживаемых официально сильно увеличивает трудоемкость процесса настройки системы, а также ее последующего администрирования. Такие телефоны, в отличие от сертифицированных аппаратов, необходимо настраивать полностью вручную, что увеличивает время настройки системы во много раз и становится практически невозможным для крупных систем.

Также, следует подчеркнуть, что 3rd Party SIP телефоны используют Enhanced лицензию (наиболее дорогую) Cisco CUCM, в то время как имеют только базовый функционал работы.

В конечном итоге, экономия от покупки более дешевых аппаратов сводится на нет более дорогими лицензиями, урезанным функционалом и высокой стоимостью эксплуатации.

Протестированные устройства:

  • Gigaset C610A IP;
  • Linksys SPA502G;
  • Linksys SPA921;
  • Linksys SPA941;
  • Linksys SPA500S.

Протестированные функции:

Базовый функционал

  • Постановка вызова на удержание – работает (при удержании с 3rd Party SIP, не работает music on hold, только стандартное оповещение в виде двойного гудка);
  • Трансфер вызовов между 3rd Party SIP телефонами, между 3rd Party SIP и стандартными сертифицированными телефонами – работает;
  • Смешанные hunt группы из сертифицированных и 3rd Party SIP телефонов – работают (для сертифицированных телефонов, информация о том, что вызов приходит на hunt группу отображается при звонке, для 3rd Party SIP такие данные не отображаются).

Конференции

  • Конференция на 3х участников между 3rd Party Sip телефонами, между 3rd Party Sip и стандартными сертифицированными телефонами – работает
  • Advanced ad-hoc. Конференции более трех участников на базе тестируемых устройств работают следующим образом: добавление участников в аудио-конференцию происходит по цепочке, каждый телефон может добавить не более 1 участника(ресурсы внешнего Conference Bridge не используются). Конференция созданная на базе сертифицированного телефона может использовать внешний Conference Bridge и добавлять неограниченное количество тестируемых телефонов(по емкости Conference Bridge).
  • MeetMe конференции, создаваемые на сертифицированных телефонах, могут использоваться SIP телефонами без ограничения. Создавать MeetMe конференцию на тестируемых SIP аппаратах нельзя Поддержка отказоустойчивых конфигураций CUCM для данных телефонов
  • Тестируемые телефоны, не поддерживают получение адреса CUCM по DHCP, а также не скачивают конфигурационный файл с TFTP сервера, а значит, переключение адреса CUCM в случае выхода из строя основного сервера должно происходить вручную для каждого телефона.
  • Как альтернативное решение, можно использовать DNS адрес CUCM, настроенный на телефоне, тогда при выходе сервера из строя, необходимо будет заменить его адрес только на DNS сервере.

Поддержка систем записи

  • Существует две основные модели работы систем записи телефонных разговоров. Используя JTAPI соединение и используя SPAN порт. Тестируемые телефоны поддерживают только режим SPAN порта, при котором на коммутаторе происходит зеркалирование всего сетевого трафика от телефонов к серверу записи.

Особенности работы

  • Настройка телефонов происходит в ручном режиме, через встроенный web интерфейс. Для каждого телефона необходимо настроить учтённые данные на CUCM.
  • Телефоны не загружают Route Plan с CUCM. Вызов набранного номера осуществляется только по нажатию соответствующей клавиши
  • Gigaset C610A IP:
    • Каждая базовая станция поддерживает до 6-ти беспроводных трубок и 6-ти различных аккаунтов. Однако, в случае с CUCM данная схема не функционирует, так как АТС различает устройства по IP адресам, и не регистрирует более 1 устройства с 1 IP адресом (адресом базы). В итоге, возможно, завести несколько телефонных номеров под одним аккаунтом, но тогда, при входящем вызове все трубки будут звонить одновременно.
  • Модуль секретаря SPA500S:
    • Кнопки на панели секретаря работают только в режиме быстрого набора.
    • Индикация состояния присутствия не функционирует.
    • Настройка клавиш быстрого набора проходит в режиме ввода специальных команд.
Более выгодная покупка – CUCM Express или BE6000?

Cisco Unified Communication Manager Express представляет собой IP АТС на базе маршрутизатора Cisco ISR. Преимущества данного решения в том, что один маршрутизатор можно использовать одновременно для различных задач, например, CUCME, firewall, VPN. Простота настройки и интеграция многих сервисов в одной коробке делает данное решение незаменимым для небольших компаний и филиалов с децентрализованной системой IP телефонии.

Cisco Business Edition 6000 также представляет собой продукт предназначенный для сравнительно небольших компаний (до 1000 сотрудников). Однако данное решение представляет собой уже отдельный сервер, с виртуализованным программным обеспечением.

Для понимания соотношения стоимости данных систем, предлагаем обратить внимание на диаграмму. При построении диаграммы были взяты системы в следующей конфигурации (перечислены ключевые элементы):

BE6000

  • Сервер и ПО
  • Лицензии типа Enhanced 
  • Маршрутизатор Cisco 2901 (в роли голосового шлюза)
  • Сервисные контракты SMARTnet и SWSS

CME

  • Маршрутизатор
  • Лицензии типа Enhanced
  • Сервисный контракт SMARTnet

Из диаграммы видно, что для системы с более чем 150 абонентами (Cisco ISR 2951) внедрение CME становится дороже BE6000. Предыдущая же модель Cisco ISR 2921, поддерживающая до 100 абонентов отличается по стоимости незначительно.

Так же стоит отметить, что сравнивать два этих продукта напрямую, по стоимости, немного неверно, так как спектр их возможностей заметно отличается. Платформа BE6000 является системой унифицированных коммуникаций, сочетающей в себе IP телефонию, сервис присутствия и мгновенных сообщений, работу с клиентами на мобильных платформах, контакт центр и систему ВКС. В то время как CME представляет собой исключительно систему IP телефонии. Расширение системы BE6000 (до 1000 пользователей) также заметно выше этих показателей у CME (2911 до 50, 2921 до 100, 2951 до 150, и, к примеру, 3945E до 450 пользователей).

Какие варианты организации автосекретаря (IVR) возможны на базе решений Cisco?

1. На базе контакт-центра (UCCE или UCCX).

Максимально функциональное и гибкое решение. UCCX устанавливается в качестве виртуальной машины. Настраивается функционал IP IVR. Сам скрипт IVR создаётся с помощью Cisco Unified CCX Editor. Решение UCCX интегрируется с CUCM. Максимальное количество сессий ограничивается мощностью виртуального сервера (шаблона) и количеством приобретенных лицензий.

2. На базе решения Cisco Unity Express (CUE).

Данное решение представлено в виде модуля в маршрутизатор Cisco (например, ISM-SRE-300-K9, SM-SRE-700-K9 и т.д.). Скрипт IVR создаётся с помощью Cisco Unity Express Editor IVR. Решение является достаточно функциональным. Логика создания и работы сильно пересекается с решением на базе UCCX. При этом есть жёсткое ограничение на максимальное количество сессий (максимум 10 для ISM-SRE-300-K9 и 32 для SM-SRE-700 - SM-SRE-910).

3. На базе решения Cisco Unity Connection (CUC).

Данное решение является голосовой почтой и устанавливается на отдельную виртуальную машину. Встроенные средства CUC позволяет создать логику работы автосекретаря (используются встроенные обработчики - handler). Необходимо отметить, что так как используются стандартные конструкции для создания автосекретаря, это налагает определённые ограничения на его функциональность. Так же часть встроенных фраз (например, «вызываемый абонент занят») нельзя заменить на собственные, запись приветствий возможна только через компьютер или телефон – нельзя загрузить предварительно записанные приветствия. Решение интересно в первую очередь тем, что идёт в составе бандла BE 6000.

4. На базе скрипта. В данном случае функционал автосекретаря может быть реализован с помощью TCL или VXML языков.

Существует скрипт, написанный, на базе TCL, который официально поддерживает Cisco - Basic automatic call distribution (B-ACD) and auto-attendant (AA) service. Его существенное ограничение – это запрограммированная логика работы.

Можно создать собственный скрипт на базе TCL или VXML. Скрипт загружается на маршрутизатор Cisco. Необходимо отметить, что при использовании скриптов возможны случаи, когда не все SIP сообщения отрабатываются корректно.

Решение Сравнительная стоимость (GPL)
На базе контакт-центра (UCCX) В составе решения BE6000 минимальная стоимость CCX – 995 у.е., 100 сессий.
На базе решения Cisco Unity Express (CUE) Минимальная стоимость решения на 2 сессии с модулем ISM-SRE-300-K9 – 1000 у.е.
На базе решения Cisco Unity Connection (CUC) При покупке решения BE6000 CUС является обязательны компонентом, 25 сессий.
На базе скрипта (TCL, VXML) TCL не лицензируется, VXML лицензия на одну сессию – 150 у.е.
Какие существуют технологии записи разговоров для IP-телефонии?

Принципиально существуют 2 технологии записи:

SPAN-based – с помощью сетевого оборудования весь сетевой трафик с IP-телефонов, шлюзов, IP-АТС дублируется на сервер записи.

  • Плюсы
    • Не зависит от типов IP-телефонов, шлюзов, IP-АТС
  • Минусы
    • Относительная сложность настройки
    • Не все модели сетевого оборудования поддерживают технологию SPAN
    • Повышенная нагрузка на сетевое оборудование и сервер записи
    • В большинстве случаев требует отдельного сервера записи для каждой площадки (офиса)

SPAN-less – с помощью технологий встроенных в IP-телефоны (для оборудования Cisco это Built-in-Bridge), шлюзы (для оборудования Cisco это CUBE), IP-АТС только голосовой трафик интересующих вызовов отправляется на сервер записи.

  • Плюсы
    • Относительная легкость настройки (не требует перенастройки сетевого оборудования)
    • Низкая нагрузка на сетевое оборудование
    • Возможность записи вызовов в удаленных офисах без дополнительных серверов записи
    • Возможность проигрывать предупреждение о записи, если это требует законодательство
  • Минусы
    • Необходима поддержка данной технологии со стороны IP-телефонов, шлюзов, IP-АТС
Какие телефоны не поддерживаются Cisco Unified Communication Manager (CUCM) версии 11.5?

Начиная с версии CUCM 11.5(1) компания Cisco прекратила поддержку следующих устаревших моделей телефонов:

  • Cisco IP Phone 12S, 12SP, 12SP+
  • Cisco IP Phone 30SP+, 30VIP
  • Cisco Unified IP Phone 7902G, 7905G
  • Cisco Unified IP Phone 7910, 7910G, 7910+SW, 7910G+SW
  • Cisco Unified IP Phone 7912G
  • Cisco Unified Wireless IP Phone 7920
  • Cisco Unified IP Conference Station 7935

Если у вас имеются телефоны перечисленных моделей, то после обновления до CUCM 11.5, они не смогут зарегистрироваться на сервере.

Что такое NPE?

Данная аббревиатура (NPE — No payload encryption) означает, что в программном обеспечении отсутствуют функции любого шифрования, кроме шифрования данных, передаваемых при управлении устройством, а именно протоколом SSH, SSL в рамках HTTPS и SNMPv3. Маршрутизаторы и межсетевые экраны Cisco с программным обеспечением NPE попадают в категорию С2.

Что означает K7, K8 и K9 в парт-номере ASA5500? Почему можно без проблем заказывать только K7 и K8?

На данный момент серии ASA 5500 существует два варианта поставки K8 и K9, а для серии ASA 5500-X три – K7, K8 и K9.

Символ "K7" означает, что на ASA загружено программное обеспечение NPE. Такое оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K8" означает, что на ASA загружено программное обеспечение, которое поддерживает алгоритмы шифрования с длиной ключа меньше 56 бит. Это так называемые слабые алгоритмы шифрования. Таким алгоритмом шифрования является алгоритм DES. Это справедливо как для алгоритмов шифрования пользовательского трафика, так и для алгоритмов шифрования трафика управления. Данное оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K9" означает, что на ASA загружено программное обеспечение с лицензией 3DES/AES, которое поддерживает стойкие алгоритмы шифрования (больше 56 бит) и для шифрования пользовательского трафика и для шифрования трафика управления. Такое оборудование попадает в категорию C3 и требует получения лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.

Изменить K7 на K8 можно только загрузкой нового ПО (это два разных образа ПО). Для выполнения этой операции необходимо иметь действующую расширенную гарантию (Smartnet) или приобрести отдельно возможность разового обновления ПО (ASA-SW-UPGRADE=, ASA 5500 Series One-Time Software Upgrade for Non-SMARTnet).

Изменить K8 на K9 можно загрузив специализированную лицензию, так как K9 – это расширение функционала образа K8. Данную лицензию можно получить бесплатно на сайте компании Cisco.

Какие варианты организации защищенного VPN соединения в центральном офисе на базе маршрутизатора Cisco существуют?

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования. Выбор маршрутизатора происходит, исходя из требуемой производительности.

Пример конфигурации:

Парт-номер Описание Кол-во 
ISR4321-SEC/K9 Cisco ISR 4321 Sec bundle w/SEC license 1

Б. Использование решения от компании C-терра.

Модуль NME-RVPN, также как и модуль МСМ-950 сняты с производства.

Актуальное решение - С-Терра CSCO-STVM. Это программный модуль, в виде виртуальной машины (OVA). Данный модуль устанавливается на маршрутизаторы серии ISR4000.

Данное решение обладает ФСТЭК и ФСБ сертификатами и обеспечивает шифрование по ГОСТу.

Для того, чтобы данный программный модуль можно было установить на маршрутизатор, необходим Cisco SSD-диск для маршрутизатора и RAM+FLASH не менее 8 ГБ.

Производительность решения:

Пример конфигурации на базе ISR4321:

Парт-номер Описание Кол-во   
ISR4321/K9 Cisco ISR 4321 (2GE,2NIM,4G FLASH,4G DRAM,IPB 1
MEM-4320-4GU8G 4G to 8G DRAM Upgrade (Fixed 4G + additional 4G) for ISR4320 1
MEM-FLSH-4U8G 4G to 8G eUSB Flash Memory Upgrade for Cisco ISR 4300 1
SSD-MSATA-200G 200 GB, SATA Solid State Disk for Cisco ISR 4300 Series 1
STVM-С1-ST-КС1 до 200 туннелей. Программный комплекс С-Терра Шлюз для маршрутизаторов Cisco 4321, 4331 с ограничением на 1 процессорное ядро 1

В. Использование сторонних (не Cisco) средств для шифрования. При этом подключение к сети Интернет и маршрутизацию трафика осуществляем на оборудовании Cisco. Например, используем полноценное решение от компании С-Терра - С-Терра Шлюз 1000 (прежнее название - CSP VPN Gate):

Парт-номер Описание Кол-во
CISCO2901/K9 Cisco 2901 w/2 GE,4 EHWIC,2 DSP,256MB CF,512MB DRAM,IP Base 1
S29NPEK9-15102T Cisco 2901-2921 IOS UNIVERSAL - NO PAYLOAD ENCRYPTION 1
HWIC-4ESW= Four port 10/100 Ethernet switch interface card 1
G-1000-D-4111-4-ST-KC2 DEPO Sky 1140, 4xLAN 1GB, Redundant PS, Rack mount 1U, СПДС-USB-01 1

В данной спецификации приведён модуль HWIC-4ESW для увеличения количества портов. К нему и будет подключен С-Терра Шлюз 1000.

Также, шлюз безопасности С-Терра доступен в виде виртуальной машины для различных платформ виртуализации (С-Терра Виртуальный шлюз).

Требуется решение для подключения дополнительного офиса с поддержкой стойкой шифрации. Какие возможны варианты?

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования. Выбор маршрутизатора происходит исходя из требуемой производительности, например:

Парт-номер Описание Кол-во
C881-K9* Cisco 880 Series Integrated Services Routers 1

* В качестве альтернативного варианта можно также использовать 891F.

Помимо маршрутизатора Cisco, можно рассмотреть вариант приобретения межсетевого экрана Cisco ASA. Во многих случаях решение Cisco ASA предоставляет весь необходимый функционал для подключения небольшого офиса к сети Интернет и организации защищённого соединения с ЦО.

Парт-номер Описание Кол-во
ASA5506-K9 ASA 5506-X with FirePOWER services, 8GE, AC, 3DES/AES 1

Б. Если организация является банком и хочет подключить удаленный офис, то можно использовать следующее решение:

Парт-номер Описание Кол-во
CISCO867VAE-PCI-K9* Cisco 867VAE Secure router with VDSL2/ADSL2+ over POTS 1

Данное решение не требует лицензии Минпромторга России на ввоз, так как попадает в одно из исключений и обладает нотификацией.

* Поддерживается подключение к Интернет по GigabitEthernet и VDSL/ADSL через телефонную линию. Не поддерживаются протоколы динамической маршрутизации EIGRP, OSPF, функционал DMVPN.

В. Покупка оборудования Cisco и С-терра.

Можно приобрести, например, маршрутизатор Cisco 881 с образом NPE и шлюз С-Терра Шлюз 100.

Другой вариант – ISR4321 + программный модуль С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»).

Почему возникли проблемы с поставкой крипто-содержащего оборудования на территорию РФ?

В соответствии с Российским законодательством (Указ 334 от 1995 года, ПП 957 2007) ввоз на территорию РФ крипто-содержащих средств с длиной ключа более 54 бит (алгоритмы шифрации 3DES/AES) разрешен только при получении лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на каждую единицу оборудования.

Как может быть использовано оборудование Cisco совместно с другими производителями при выполнении функций шифрования?

Сам процесс шифрования можно перенести на другие устройства, то есть, маршрутизатор Cisco отправляет трафик на другое устройство, которое его шифрует и возвращает обратно на маршрутизатор. При этом подключение к сети Интернет, маршрутизацию трафика, создание GRE туннеля, поддержку DMVPN (без шифрации данных) осуществляем на оборудовании Cisco.

Существует следующие варианты построения таких решений:

  • Маршрутизаторы Cisco ISR G2 или ISR4K совместно с блейд-серверами Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2, на которых установлен виртуальный шлюз С-терра;
  • Маршрутизаторы Cisco ISR4k совместно с программным модулем С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»);
  • Использование сторонних средств для шифрования, которые никак не интегрируются с оборудование Cisco. Например, С-терра Gate.
Требуется решение по построению VPN сети. При этом не предъявляется особых требований к стойкости алгоритмов шифрации. На каком оборудовании возможно реализовать проект?

В данной ситуации мы можем предложить реализовать данный проект на базе оборудования ASA K8. В этом случае трафик будет шифроваться, но стойкость алгоритма шифрования будет низкой. При этом не будет проблем со ввозом оборудования. Можно также рассмотреть вариант с использованием сторонних средств шифрования, например, С-терра.

Что означает категория C1, C2, С3 и С4?

Компания Cisco в Росcии использует свою внутреннюю классификацию сетевого оборудования. Все оборудование Cisco, доступное для ввоза на территорию РФ, делится на 4 категории:

  • C1 – продукты, не требующие разрешения на ввоз;
  • C2 – продукты, для который имеются зарегистрированные нотификации и разрешенные ко ввозу без лицензии;
  • C3 – продукты, подлежащие импорту с получением лицензии Минпромторга России, выдаваемой  на основании заключения центра по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ);
  • C4 – продукты, не распределенные ни по одной из предыдущих категорий.

В категорию C2 попадают:

  • устройства со слабым шифрованием (длина ключа меньше 56 бит);
  • устройства с сильным шифрованием шифрование, но только для:
    • защиты канала управления устройством;
    • аутентификации;
    • беспроводного оборудования (радиус действия < 400 м);
    • защиты финансовых транзакций в рамках PCI DSS (для установки в банкоматах, POS-терминалах, удалённых офисах).
  • товары, у которых криптографическая функция заблокирована производителем;
  • криптографические средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной.

Аналогичное распределение по своим категориям есть для беспроводного оборудования.

Что требуется от заказчика для ввоза криптосодержащего оборудования из категории C3?

На ввозимое криптосодержащее оборудование требуется получить разовую лицензию Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России. В лицензии указывается каждое конкретное ввозимое оборудование в необходимом количестве.

Можно ли ввезти крипто-содержащее оборудование на территорию РФ?

Да, это можно сделать. Практика показывает, что при корректном заполнении всех необходимых документов для Центра по лицензированию, сертификации и защите государственной тайны ФСБ России, вероятность получения данного разрешения достаточно высока. Основными данными, которые необходимо указать являются информация о конечном пользователе оборудования, цели использования оборудования и место его установки. Сроки получения разрешения, а также лицензии Минпромторга России могут варьироваться. Но уже сейчас они имеют более точные временные границы. За подробной информацией обращайтесь к менеджерам нашей компании.

Какие решения компании Cisco могут использоваться для защиты персональных данных в рамках ФЗ №152 и СТО БР ИББС?

На данный момент (июль 2018) со стороны регулирующих органов нет обязательных требований по сертификации во ФСТЭК оборудования для защиты персональных данных в коммерческих организациях. В связи с этим весь спектр решений компании Cisco может быть использован для этой задачи. Наиболее распространёнными являются аппаратные межсетевые экраны ASA с сервисами FirePOWER, маршрутизаторы Cisco ISR, коммутаторы Cisco Catalyst.

Если речь идёт про государственные организации, где требование сертификации во ФСТЭК является обязательным, также можно использовать продукцию компании Cisco. На многое оборудование Cisco были получены сертификаты соответствия требованиям безопасности ФСТЭК. В качестве средств криптографической защиты информации может быть использован виртуальный шлюз С-терра, запускаемый на базе модулей блейд-серверов Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2 для маршрутизаторов ISR G2 (1900/2900/3900) и ISR4K (4300/4400). Решение соответствует требованиям к средствам криптографической защиты информации класса КС1.

Кроме того, для маршрутизаторов ISR4K (4300/4400) может быть использован программный модуль С-терра CSCO-STVM. Решение соответствует требованиям к средствам криптографической защиты информации класса КС1. Более подробно, см вопрос вариант «Б».

В случае предъявления высоких требований к производительности устройства шифрования может быть использовано VPN-решение компании «С-Терра» на базе Cisco UCS C-220 M4 (для моделей CSP VPN Gate 3000 и 7000) сертифицированное по классу КС1/КС2/КС3.

Можно ли защитить мобильное устройство под управлением Apple iOS или Android, используя технологии Cisco?

Да, это возможно, используя программное обеспечение Cisco AnyConnect версии 3.0 и выше. Это программный VPN-клиент компании Cisco, использующий протокол SSL для защиты передаваемых данных и имеющий интеграцию с решением по защите Web-трафика Cisco ScanSafe. Большим достоинством данного решения является то, что фильтрация Web-трафика происходит «в облаке», а не на самом устройстве, что существенно экономит его вычислительные ресурсы. Также защита Web-трафика никак не зависит от того установлено или нет VPN-соединение. При этом непосредственно само решение Cisco AnyConnect позволит получить защищённое VPN-соединение до офиса компании.

Можно ли использовать технологию DMVPN совместно с сертифицированными средствами криптозащиты информации (СКЗИ)?

Да, это возможно. В этом случае маршрутизатор, на котором может быть загружено программное обеспечение NPE, выполняет все функции DMVPN, кроме шифрования. Само шифрование может быть выполнено на стороннем СКЗИ, например, на программном модуле С-терра CSCO-STVM (для маршрутизаторов 4300/4400, более подробно, см вопрос вариант «Б»), на устройстве С-Терра Шлюз и пр. При этом никакая дополнительная лицензия на маршрутизатор (SEC, Appx или UC) не требуется.

С технической стороны настройка выглядит следующим образом. На маршрутизаторе настраивается DMVPN без функций шифрования. Т.е. команда «tunnel protection ipsec» на туннельном интерфейсе не вводится. Далее, например, используя обычную статическую маршрутизацию, GRE-трафик протокола DMVPN перенаправляется на внешнее средство СКЗИ, где оно шифруется и отправляется во внешнюю сеть. Так как внешние средства СКЗИ не обладают функционалом динамического построения VPN соединений, как это делает протокол DMVPN, на внешних СКЗИ потребуется прописать все возможные крипто-карты для работы hub-to-spoke и spoke-to-spoke туннелей. Протокол DMVPN позволяет отключить возможность установления spoke-to-spoke туннелей, что существенно снижает объём команд на внешнем СКЗИ.

Что такое Advanced Malware Protection (AMP)?

С приобретением SourceFire компания Cisco Systems получила доступ к новому функционалу обеспечения информационной безопасности – Advanced Malware Protection (AMP).

AMP – это платформа для борьбы с вредоносным кодом. Защита AMP может быть реализована в трёх точках:

  • на конечном оборудовании – AMP for endpoint (SourceFire FireAMP);
  • на устройствах контентной безопасности Cisco IronPort Email Security Appliance и Cisco IronPort Web Security Appliance – AMP for Content;
  • на сетевом оборудовании – AMP For Networks.

Последний вариант исполнения реализуется путём установки специализированного высокоскоростного шлюза для борьбы с вредоносным кодом. Данный шлюз может являться отдельным устройством или модулем для межсетевых экранов и систем предотвращения вторжений нового поколения. Модельный ряд устройств AMP For Networks представлен на рисунке ниже:

Основная задача AMP – проверка файла, пересылаемого через сетевое устройство и/или записываемого на конечное оборудование, на наличие вредоносного кода. С распространяемого в сети файла снимается хэш SHA-256 и отправляется на Firepower Management Center (FMC). Далее Firepower Management Center перенаправляет в облако AMP для определения его диспозиции (содержит вредоносный код или нет) по имеющейся базе данных сигнатур.

Если диспозиция файла не может быть установлена, файл перенаправляется в облачную песочницу, где осуществляется запуск файла в виртуально среде и анализ его поведения (генерируемый сетевой трафик, создаваемые процессы и т.д.). На основании результатов тестирования определяется уровень опасности данного файла.

Главной особенностью платформы AMP является возможность ретроспективного анализа, то есть обеспечение защиты не только до момента атаки или во время атаки, но и после её прохождения. Вредоносный код может проникнуть за периметр корпоративной сети по многим причинам: не появилась вовремя сигнатура новой угрозы, опасность не была обнаружена при запуске в песочнице, так как применялись техники отложенного запуска, вредоносный код был занесён на конечное устройство с флешки и т.д.). При использовании системы AMP можно отследить все пути распространения файла в сети, и, при появлении сигнатур, указывающих на вредоносность данного файла, заблокировать файл на сетевом уровне. Если используется FireAMP, вредоносный код может отслеживаться и быть заблокирован также и на уровне конечного оборудования.

За основу ответа были взяты материалы Казакова Дмитрия и Алексея Лукацкого - сотрудников компании Cisco.

Можно ли подключить межсетевой экран ASA к двум или более интернет-провайдерам, используя статическую маршрутизацию?

Да, это возможно. МСЭ ASA поддерживают функцию мониторинга статических маршрутов посредством функции IP SLA. Поддержка IP SLA существует в базовом варианте программного обеспечения. Однако стоит заметить, что ASA 5505 без лицензии Security Plus поддерживает три виртуальных сети (VLAN), причем одна из них имеет существенное ограничение на входящий трафик. В связи с этим, для подключения ASA 5505 к двум или более интернет-провайдерам необходимо использовать лицензию Security Plus.

Какая схема лицензирования устройств Cisco ASA серии 5500?

Устройства Cisco ASA являются наиболее распространённым программно-аппаратным решением, обеспечивающим функции межсетевого экранирования. Функционал устройств крайне широк, многие сервисы включаются посредством приобретения и активизации соответствующих лицензий. Схема лицензирования Cisco ASA достаточно сложная и включает в себя множество нюансов, поэтому рассмотрена в рамках отдельной статьи.

Каковы основные отличия ASA5500-X Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?

В первую очередь отличие в области применения. ASA5500-X NGFW - прежде всего межсетевой экран. Данное устройство можно использовать на периметре корпоративной сети, с помощью этого устройства можно организовать подключение к Интернет-провайдерам. Функционал NGFW для ASA обеспечивает межсетевой экран возможностью фильтровать Интернет трафик на уровне приложений. Благодаря этому межсетевой экран ASA5500-X NGFW приближается по функционалу к Web-шлюзу Cisco WSA. Для некоторых (как правило, небольших компаний) функционал и производительность NGFW позволяет обходиться без выделенного Web-шлюза.

Область применения Cisco WSA (Web Security Appliance) – корпоративный высокопроизводительный прокси сервер. Данное устройство не может быть использовано для подключения к Интернет-провайдерам, поэтому, должно использоваться только совместно с межсетевых экраном, в роли которого как раз может выступать ASA5500-X, но без подписок на NGFW (без подписок на сервисы FirePOWER или CX).

С точки зрения функционала выделим следующие основные отличия между WSA и NGWF:

  1. WSA является прокси-сервером и может кэшировать web-страницы, NGFW – не может.
  2. WSA умеет осуществлять антивирусные проверки (реактивная антивирусная защита) посредством IronPort Dynamic Vectoring and Streaming engine (DVS). Данный механизм использует платформы и сигнатуры антивирусов Sophos, McAfee и WebRoot для сканирования трафика на предмет наличия вредоносного кода. NGFW не может осуществлять активные антивирусные проверки.
  3. WSA предоставляет возможность защиты от утечки проприетарной информации. WSA имеет встроенные средства проверки исходящего трафика на наличие корпоративных данных (размер выгружаемого файла, MIME-тип файла, имя файла или шаблон имён файлов). Кроме того, WSA может быть интегрирована с DLP-системами (Data Loss Prevention) сторонних производителей. NGFW не предоставляет таковой возможности.
  4. WSA предоставляет сервис Layer-4 Traffic Monitor (L4TM). Данный сервис позволяет:
    • просматривать TCP/UDP трафик на всех портах;
    • блокировать сессии с известными сайтами, содержащими вредоносный код;
    • блокировать попытки вирусного кода обойти порт 80 (а, следовательно, обойти корпоративный проки-серврер);
    • блокировать попытки заражённых устройств устанавливать сессии управления с внешними компонентами Bot-сетей (блокировка malware phoning home activity);
    L4TM использует для своей работы глобальную базу данных Cisco IronPort update server. NGFW предоставляет сервис NG IPS. Система предотвращения вторжений NG IPS эффективно борется с вирусной активностью типа «червь», а также предотвращает различные виды сетевых атак на ресурсы компании, отслеживая проявления данных атак по существующим сигнатурам.
  5. WSA предлагает более гибкие возможности по фильтрации скачиваемых или выгружаемых файлов (процесс upload/download).
Почему не заработал ASDM на ASA?

Очень часто не удаётся подключиться по ASDM к ASA K8. Причина в том, что ASDM использует протокол SSL для передачи данных. В наиболее распространённых в настоящее время ОС Windows Vista и Windows 7 протокол SSL по умолчанию использует только строгие алгоритмы для шифрования данных - 3DES/AES. В ASA K8 поддержка таких алгоритмов заблокирована. Таким образом, чтобы получить возможность использовать ASDM для конфигурирования ASA необходимо либо заказывать изначально ASA K9, требующую получения разрешения на ввоз, либо открывать функционал 3DES/AES на ASA K8 (фактически, превращая её в К9).

При этом стоит отметить, на ASA даже с включённым шифрованием 3DES/AES во многих версиях программного обеспечения для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.

Windows XP поддерживает алгоритм DES для SSL.

Можно ли использовать сервис Cisco AnyConnect SSL VPN на ASA K8?

Относительно сервиса Cisco AnyConnect ситуация абсолютно аналогична ситуации с ASDM. Cisco AnyConnect использует протокол SSL для формирования защищённого VPN соединения. ОС Windows Vista и Windows 7 для протокола SSL по умолчанию использует только строгие алгоритмы для шифрования данных 3DES/AES. Поэтому, для сервиса Cisco AnyConnect необходима поддержка 3DES/AES, следовательно, необходима ASA K9.

Для многих версий программного обеспечения ASA для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.

В чем отличие устройства безопасности Cisco ASA от маршрутизатора Cisco ISR? В каком случае лучше приобрести маршрутизатор, а в каком – межсетевой экран?

Выбор между маршрутизаторами Cisco ISR и устройствами безопасности Cisco ASA в некоторых ситуациях не так прост, как может показаться на первый взгляд. Если требования можно сформулировать так: требуется защитить выход в интернет для пользователей и предоставить удаленный доступ, чтобы сотрудники могли работать из любой точки, тогда можно рекомендовать Cisco ASA. Если же данное устройство должно быть установлено в филиале, тогда маршрутизатор может оказаться более выгодным и гибким решением, поскольку в нем можно совместить большее число сервисов. Если установка планируется в главном офисе компании на границе сети, тогда можно установив в одной сети оба устройства и разделить между ними сервисы: Cisco ASA использовать для МСЭ, фильтрация контента, IPS, VPN для удаленных пользователей, а маршрутизатор – для протоколов динамической маршрутизации (OSPF, EIGRP, BGP), CUBE, site-to-site IPSec, DMVPN и др. Подробнее.

Какие варианты VPN Remote Access предоставляет ASA 5500-X

МСЭ ASA 5500-Х является наиболее продвинутым с точки зрения функционала концентратором пользовательских VPN соединений (VPN Remote Access). Попробуем разобраться, как именно пользователь может удалённо подключиться к корпоративной сети, используя функционал МСЭ Cisco ASA. Подробнее.

Каковы особенности моделей Cisco ASA 5506-X, 5508-X и 5516-Х?

В апреле 2015 года компания Cisco анонсировала пять новых моделей Cisco ASA: 5506-X, 5506W-X, 5506H-X, 5508-X и 5516-X.

Отличительной особенностью всех указанных моделей является наличие встроенного SSD-диска. Это позволяет сразу запускать* FirePOWER Services или же образ Firepower Threat Defense (FTD), т.е. весь расширенный функционал – NGFW, NGIPS, URL-фильтрация, AMP и т.д. Сервисы FirePOWER могут быть настроены из встроенной консоли управления ASDM, а FTD через интерфейс Firepower Device Manager (FDM). Однако для выполнения некоторого функционала, в частности, для построении отчётов, требуется наличие внешней системы управления - Firepower Management Center (FMC). Особенности каждой модели представлены в таблице ниже:

Cisco ASA 5506-X  Cisco ASA 5506W-X Cisco ASA 5506H-X Cisco ASA 5508-X  Cisco ASA 5516-X 
Более производительная замена ASA 5505. Для новой модели 5506-Х, в отличие от 5505, отсутствуют лицензии на количество пользователей. ASA 5506-X с интегрированной точкой доступа Cisco AP702i. ASA 5506-X в защищенном исполнении для индустриальных и промышленных предприятий. Рабочие температуры -20 – 60 С, IP40. Более производительная замена ASA 5512-X. Более производительная замена 5512-X и 5515-Х.

* Из-за ограничений в производительности ASA 5506 запуск сервисов FirePOWER или же FTD начиная с версии 6.3 на данной платформе невозможен.

Можно ли считать ASA5506 прямой заменой ASA5505?

Наиболее существенное функциональное отличие ASA5506 от ASA5505 заключается в отсутствии встроенного коммутатора. ASA5506 оснащена восемью маршрутизируемыми (L3) портами 1Гбит/с. Функция PoE также не доступна на ASA5506. Таким образом, для разворачивания минимальной инфраструктуры в офисе Cisco рекомендует использовать ASA5506 в паре с SMB коммутатором. Например, наиболее доступным вариантом может послужить использование неуправляемых гигабитных коммутаторов SG110D-08 и SG110D-05. Из-за отсутствия встроенного коммутатора ASA5506 не сможет послужить прямой заменой ASA5505 для некоторых инсталляций.

UPD 16-02-2017. При использовании программного обеспечения FTD 6.2, а также версии ASA OS 9.7.1 и выше, есть возможность использовать Integrated Routing and Bridging. Более того, для ASA5506 по умолчанию будет предоставляться конфигурация, в которой порт Ge1/1 – внешний интерфейс, а порты Ge1/2 – Ge1/8 объединены в Bridged-группу, то есть эмулируют аппаратный коммутатор. Таким образом, ASA5506 с указанным ПО сможет заменить ASA5505 без покупки дополнительного коммутатора.

ASA5506 построен на базе более производительной платформы. Оснащена более мощным процессором, 4 ГБ RAM и 8 ГБ flash-памяти. Кроме того, ASA 5506 имеет встроенный SSD диск, что позволяет разворачивать на устройстве сервисы FirePOWER (ограничено версией 6.2) без каких-либо дополнительный аппаратных средств. Наиболее значимые отличия можно свести в таблицу:

  ASA 5505 / Security Plus
ASA 5506 / Security Plus

Максимальная пропускная способность МСЭ До 150 Мбит/с До 750 Мбит/с
Встроенные интерфейсы 8 L2 интерфейсов 100 Мбит/с 8 L3 интерфейсов 1 Гбит/с
Поддержка PoE Ethernet 0/6 и 0/7 поддерживают PoE Нет
Сервисы FirePOWER Нет Платформа полностью готова для запуска сервисов FirePOWER (ограничено версией 6.2)

Управление Firepower как с помощью ASDM, так и с помощью выделенной централизованной системы FMC

При запущенных сервисах AVC+NGIPS+AMP производительность устройства составляет 40 Мбит/с
Максимальное количество одновременных сессий 10,000/25,000 20,000/50,000
Максимальное количество VPN-туннелей IPsec IKEv1 10/25 10/50
Максимальное количество подключений AnyConnect или безклиентских подключений 25 2/50
Максимальное количество поддерживаемых VLAN 3 (802.1q не доступен) / 20 (802.1q доступен) 5/30
Высокая доступность* только Stateless Active/Standby Failover Stateless так и Statefull Active/Standby Failover
Питание AC/DC только AC

* Режим Active/Active Failover не поддерживается обеими моделями

Хотелось бы отметить два наиболее важных отличия в схемах лицензирования. Первое – в отличие от ASA5505, новая модель ASA5506 поставляется без ограничений на подключаемых пользователей. Второе отличие связано c Security Plus лицензией. Для ASA5505 без Sec Plus мы имели только 3 Vlan, и, следовательно, 3 маршрутизируемых интерфейса. При этом, третий Vlan и интерфейс был функционально ограничен – трафик третьего интерфейса мог инициировать сессии в сторону только одного соседнего интерфейса. В сторону второго соседнего интерфейса идти не мог. Таким образом, для реализации полноценного DMZ на ASA5505 требовалась Sec Plus лицензия. Новая модель ASA5506 оснащена восемью полноценными маршрутизируемыми интерфейсами и поддерживает до 5 Vlan в базовой лицензии. Таким образом, базовая лицензия позволяет задействовать все восемь физических L3 интерфейсов и сконфигурировать до пяти логических субинтерфейсов. Всего можно настроить и маршрутизировать 13 подключенных непосредственно IP-подсетей.

ASA5506 имеет две особые модификации: ASA 5506W – со встроенной точкой доступа и ASA 5506H – в защищенном исполнении.

На данный момент времени (декабрь 2015) информация о планах завершения продажи/поддержки (End-of-Sale, End-of-life) для модели ASA 5505 не поступала со стороны производителя.

На что заменить Microsoft ISA/TMG сервер?

На настоящий момент времени компания Microsoft завершила выпуск продукта MS ISA/TMG. Многие системные администраторы и инженеры задаются вопросом, какое решение можно использовать в замен снятого с выпуска продукта. Линейка межсетевых экранов ASA5500-X с сервисами FirePOWER/FTD может послужить прекрасной заменой ISA/TMG для небольших компаний. Для крупных компаний, требующих наличия высокопроизводительного прокси-сервера, для замены ISA/TMG подходит решение Web-шлюз Cisco WSA в комбинации с межсетевым экраном серии ASA5500-X или же FP 2100/4100/9000 на периметре корпоративной сети.

Для более подробной информации по перечисленным продуктам Cisco читайте вопросы «Каковы основные отличия ASA5500-X Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?» и «Как запустить сервисы FirePOWER на ASA 5500-X?».

Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?

Зависит от того, с каким типом вирусов хотим бороться. Если хотим бороться с вирусами типа «червь», то есть предотвращать распространение вирусного кода от инфицированной машины к незаражённым хостам, можно использовать ASA 5500-X с функционалом IPS. Система IPS также направлена на предотвращение других видов атак на корпоративную сеть, в том числе, на предотвращение DDOS атак.

Ранее МСЭ серии ASA5500-X предлагало два варианта IPS: традиционную систему Cisco IPS и Next Generation IPS (NG IPS), доступную в рамках функционала CX.

Начиная с августа 2014 года на межсетевых экранах ASA 5500-X стали доступны сервисы FirePOWER. Сервисы FirePOWER включают NG IPS от компании SourceFIRE, Application Visibility and Control (AVC), URL-фильтрацию и функционал Advanced Malware Protection (AMP). Функционал NG IPS от SourceFIRE является лучшим решением в области систем обнаружения и предотвращения вторжений на рынке ИБ по результатам рейтингового агентства Gartner, независимой лабораторией тестирования NSS Labs и других. Поэтому, на данный момент времени при необходимости запуска IPS на МСЭ Cisco ASA 5500-X, решение FirePOWER является предпочтительным. Более подробную информацию можно найти в вопросе «Как запустить сервисы FirePOWER на ASA 5500-X?».

IPS предполагает предотвращение вирусных атак типа «червь», то есть защищает от вирусов, проявляющих себя в сетевом взаимодействии, не даёт вирусному коду распространятся от зараженного устройства к другим компьютерам по корпоративной сети. Если же мы хотим бороться с проникновением вирусного кода на хосты за МСЭ из глобальной сети, например, в результате посещения вирусных сайтов, атак типа fishing, есть следующие варианты:

  1. Блокировка «подозрительных» URL посредством функционала Firepower. В рамках функциональности URL-фильтрации есть возможность блокировать доступ как по категориям сайтов, так и по значениям репутаций сайтов.
  2. Проверка файлов, пересылаемых через МСЭ ASA 5500-X на наличие вирусного кода, посредством функционала Firepower AMP. Более подробную информацию данному функционалу можно найти в вопросе «Что такое Advanced Malware Protection (AMP)?»

Для организации максимальной защиты корпоративной сети от внешних угроз средствами МСЭ Cisco ASA 5500-X рекомендуется использовать сервисы FirePOWER в максимальной возможной комплектации, а именно, NG IPS+URL-filtering+AMP.

В качестве альтернативного и более мощного решения для антивирусной защиты и зашиты от спама на периметре корпоративной сети рекомендуется ознакомиться с Web-шлюзом Cisco WSA (Web Security Appliance) и Email-шлюзом Cisco ESA (Email Security Appliance).

Какова схема лицензирования Cisco AnyConnect?

Схема лицензирования предусматривает четыре вида лицензий:

  1. Cisco AnyConnect Plus Subscription Licenses
  2. Cisco AnyConnect Plus Perpetual Licenses
  3. Cisco AnyConnect Apex Subscription Licenses
  4. Cisco AnyConnect VPN Only licenses

Схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам за исключением Cisco AnyConnect VPN Only. В качестве VPN-концентраторов могут выступать межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Поддержка SSL VPN на маршрутизаторах сери ISR4K заявлена в будущих релизах операционных систем.

Лицензии вида Cisco AnyConnect VPN Only привязываются к конкретному серийному номеру устройства Cisco ASA.

Необходимо приобретать лицензии Cisco AnyConnect Plus/Apex на пользователей, а не на терминирующее VPN устройство. При приобретении лицензии Cisco AnyConnect Plus/Apex на определённое количество пользователей появляется возможность сгенерировать лицензионные ключи активации функционала удалённого доступа на неограниченное количество VPN-концентраторов.

Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses

Данный тип лицензий открывает возможность подключения удалённых сотрудников с помощью клиента Cisco AnyConnect. При этом, подключать можно как со стационарных, так и с мобильных устройств. Фактически AnyConnect Plus объединяет в себе функционал AnyConnect Essentials и AnyConnect Mobile.

Лицензия AnyConnect Plus может быть как в виде подписки на 1, 3 или 5 лет (AnyConnect Plus Subscription Licenses), так и в виде постоянной лицензии (AnyConnect Plus Perpetual Licenses). В последнем случае для обеспечения возможности скачивать новые версии клиента AnyConnect и обращаться в службу технической поддержки Cisco TAC требуется наличие сервисного контракта. Лицензии AnyConnect Plus необходимо заказывать на определённое количество пользователей. Под пользователем подразумевается реальный человек, который будет использовать сервис удалённого подключения. Минимальное количество пользователей – 25. Можно указать любое количество пользователей (26, 27, и 101 и т.д.).

Cisco AnyConnect Apex Subscription Licenses

Данный тип лицензий предоставляет все возможности, включённые в AnyConnect PLUS и открывает дополнительные возможности, а именно:

  • подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
  • проверка устройств на соответствие политикам безопасности;
  • криптография нового поколения (Suite B).

Данный тип лицензий подходит для замены SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant.

Лицензия AnyConnect Apex может быть только в виде подписки на 1, 3 или 5 лет.

Лицензии AnyConnect Apex, также, как и AnyConnect Plus, необходимо заказывать на определённое количество пользователей.

Cisco AnyConnect VPN Only licenses

Данный тип лицензий открывает функциональность подключения по VPN:

  • подключение по VPN с помощью клиента AnyConnect как для стационарных, так и для мобильных устройств;
  • подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
  • проверка устройств на соответствие политикам безопасности, но только при подключении по VPN к Cisco ASA;
  • криптография нового поколения (Suite B).

В отличие от AnyConnect Plus/Apex лицензий AnyConnect VPN-Only не предоставляет функциональность:

  • Network Access Module (NAM) – сапликант 802.1Х;
  • ISE Posture - проверка устройств на соответствие политикам безопасности в комплексе с решением Cisco ISE;
  • Web Security Module – подключение к облаку ScanSafe для инспекции web-трафика.

Лицензии Cisco AnyConnect VPN-Only привязываются к конкретному устройству Cisco ASA по серийному номеру.

Лицензии Cisco AnyConnect VPN-Only в отличие от AnyConnect Plus/Apex приобретаются не на определённое количество пользователей, которые потенциально могут подключаться с помощью AnyConnect, а на количество одновременных сессий. Минимальное количество - 25 одновременных сессий, далее есть варианты 50, 100 и т.д.

Установка лицензионных ключей на сетевое оборудование

Как говорилось ранее, новая схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам, кроме лицензий AnyConnect VPN-Only. Однако, для того, чтобы открыть функционал SSL-VPN шлюза на устройстве, в частности, на Cisco ASA, необходимо ввести лицензионный ключ.

При покупке лицензий AnyConnect Plus/Apex пользователю высылается так называемый multi-use Product Activation Key (PAK), т.е. PAK, который можно использовать много раз. С помощью данного PAK и сайта пользователь может сгенерировать лицензионные ключи на неограниченное количество устройств.

При покупке лицензий AnyConnect VPN-Only пользователю высылается Product Activation Key (PAK), который необходимо привязать к серийному номеру Cisco ASA на сайте.

Более подробную информацию по новой схеме лицензирования SSL VPN можно найти на сайте.

Как устройства IronPort обеспечивают высокую доступность?

Cisco WSA

Cisco WSA не объединяются в кластер. Однако, для обеспечения высокой доступности сервисов устройства могут объединяться в отказоустойчивые группы. Для этого используется протокол CARP - Common Address Redundancy Protocol. Данный протокол обеспечивает единый IP-адрес для сервисов, предоставляемых устройствами Cisco WSA, входящими в отказоустойчивую группу. Благодаря этому отказ устройства Cisco WSA в отказоустойчивой группе проходит прозрачно для клиентов.

Для создания отказоустойчивой группы не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.

В отказоустойчивую группу можно объединять виртуальные и физические устройства Cisco WSA. Конфигурации устройств в отказоустойчивой группе не реплицируются автоматически. Целостность конфигураций необходимо обеспечивать вручную.

Cisco ESA

Cisco ESA могут быть объединены в кластер. Но для Cisco ESA кластер не является средством обеспечения высокой доступности. Устройства Cisco ESA не обладают средствами мониторинга состояний «соседа».

Кластер для Cisco ESA является средством централизованного конфигурирования нескольких устройств. Кластер – это набор устройств Cisco ESA с общей конфигурацией. В пределах кластера устройства разделяются на группы. В кластере всегда существует как минимум одна группа. Каждое устройство может принадлежать только единственной группе. Соответственно, конфигурация устройств может быть разделена и детализирована на трёх уровнях: на уровне кластера, группы и конкретного устройства Cisco ESA.

Для создания кластера не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.

В кластер можно объединять виртуальные и физические устройства Cisco ESA. При этом нужно не забыть тонкость с настройкой антиспам и антивирус обновлений.

Обеспечение отказоустойчивости для входящих Email может быть достигнуто путём создания нескольких A-записей с разными приоритетами в MX-записи компании, указывающие на разные устройства Cisco ESA.

Какие подписки на обновления необходимы, если на ASA 5500-Х реализуется какая-либо антивирусная защита?

Для традиционной системы Cisco IPS необходимо обновление базы сигнатур сетевого взаимодействия известных видов атак и вирусов (червей). Для обновления базы сигнатур необходима подписка, получаемая в рамках сервисного контракта SmartNet IPS Svc. Подписка может быть на год, два или три года. Варианты уровней поддержки SmartNet для ASA IPS аналогичны с любыми другими SmartNet.

Для системы ASA CX, реализованной как виртуальный блейд на ASA 5500-X необходима подписка Cisco ASA 5500-X Series CX Subscriptions.

Для открытия функционала NG IPS в рамках функционала CX необходимо наличие подписки на NG IPS. Данную подписку можно заказать либо как дополнение к подпискам CX, либо как отдельный партномер (например, ASA5512-IP3Y=).

Для перенаправление трафика в облачный сервис ScanSafe необходима также соответствующая подписка.

Подробное описание данных подписок приводится в статье Лицензирование Cisco ASA 5500 в разделе Cisco ASA 5500-X Series CX Subscriptions and ScanSafe.

Открытие сервисов FirePOWER на Cisco ASA рассмотрено в рамках отдельного вопроса «Как запустить сервисы FirePOWER на ASA 5500-X?».

Какие решения Next-Generation Firewall (NGFW) предлагает компания Cisco?

NGFW (Next-Generation Firewall) – межсетевой экран (МСЭ), который обеспечивает глубокую инспекцию пакетов, предотвращение вторжений (IPS), и проверку трафика на уровне приложений. Большинство NGFW также поддерживают фильтрацию веб-сайтов, антивирусную проверку, проверку зашифрованного трафика TLS/SSL, интеграцию со сторонними системами управления идентификацией (LDAP, RADIUS и Active Directory).

В портфолио компании Cisco присутствует четыре решения с функциональностью NGFW:

  • Cisco ASA с сервисами FirePOWER;
  • Firepower Treat Defense (FTD);
  • Управляемые из облака устройства Meraki MX серии, на текущий момент (июнь 2019) решение в России не продаётся;
  • Программно-определяемое решение SD-WAN.

Рассмотрим первые два решения. Они оба обеспечивают идентичный функционал. Отличие заключается в архитектуре решения.

Cisco ASA с сервисами FirePOWER – это классический МСЭ под управлением операционной системы ASA OS с сервисами FirePOWER, запущенными в виде виртуальной машины. В этом решении отдельно настраивается функционал Cisco ASA и отдельно Firepower. В случае FTD, мы имеем одну операционную систему, которая выполняет всю функциональность решения. Варианты ОС и интерфейсы управления.

Каждое из этих решений состоит из следующих компонентов:

  1. Аппаратная или виртуальная* платформа. В качестве современной аппаратной платформы могут быть модели Cisco ASA 5508 и выше, Cisco Firepower 1000/2100/4100/9000.
  2. Подписки на функционал: IPS, фильтрацию веб-сайтов, антивирусная проверка. Подписки могут быть на 1/3/5 лет.
  3. Опционально - система управления Firepower Management Center (FMC) в виде виртуальной или аппаратной платформы. Для обеспечения полной функциональности решения, FMC является обязательным компонентом.

* только для решения FTD.

Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

Сервис FirePOWER становится незаменимым инструментом IT-специалиста, сотрудника отдела информационной безопасности и т.д. Данное решение способно надёжно защищать корпоративную сеть от информационных угроз «из вне». Firepower устойчиво занимает лидирующие позиции в области систем предотвращения вторжений по результатам отчётов Gartner, LSS Labs и других.

Преимущества Firepower:

  • Надёжная система предотвращения вторжений нового поколения (NG IPS). Обеспечивает максимальный уровень защиты внутренних ресурсов компании от атак «из вне».
  • Полное видение сети. Технология Network visibility позволяет получать максимально полную информацию об устройствах, участвующих в сетевом взаимодействии. К такой информации относится версия операционной системы устройства, версия программного агента, участвующего в сетевом взаимодействии (браузер, клиент Skype и т.д.), пользователи, работающие на данном устройстве, вероятные уязвимости с точки зрения сетевой безопасности и многие другие параметры. Пример отображения параметров конечного оборудования представлен на рисунке ниже:

  • Распознавание файлов различных типов и проверка файлов на наличии вредоносного кода. Устройство способно распознавать более сотни различных типов файлов (mp3, mp4, bmp, rar, pdf и т.д.). Кроме того, технология Advanced Malware Protection (AMP) позволяет проверять скачиваемые/выгружаемые файлы на наличие вредоносного кода.
  • Ретроспективный анализ. Обеспечивается реакция системы не только до момента атаки или во время атаки, но и после её прохождения. Реакция системы после проведения атаки крайне важна для поддержания необходимого уровня безопасности. Ведь вредоносный код может попасть на конечное оборудование не только через сеть, но и простым подключением зараженного носителя. При таком прохождении атаки Firepower безусловно не может заблокировать вредоносный код на конечном оборудовании. Однако, если занесённый вирус проявит себя в сетевом взаимодействии, например, пытаясь распространиться на другие устройства, Firepower вычислит вирус, проследит заражённый код и пути его распространения по сети.
  • Межсетевой экран нового поколения. Позволяет настраивать гибкие политики доступа. Возможна настройка фильтрации по Интернет-приложениям, URL и категориям URL, репутации сайтов.
  • Интеграция с Active Directory. Политики доступа могут быть применены к конкретным пользователям или группам пользователей AD вне зависимости от клиентского устройства, с которого осуществляется сетевое взаимодействие.
  • Широчайшие возможности мониторинга, создания гибких отчётов. Пример предлагаемых отчётов представлен на рисунке ниже:

  • Гибкие возможности интеграции в сетевую инфраструктуру. Сервис FirePOWER может быть запущен как программный блейд на межсетевом экране Cisco ASA серии 5500, как виртуальная машина для гипервизора VMWare ESXi или как отдельное физическое устройство. В последнем случае предлагается широчайший спектр моделей устройств, рассчитанных на различные требования по производительности. Сервис FirePOWER может быть запущен как в режиме мониторинга, так и в режиме «inline».
Как запустить сервисы FirePOWER на ASA 5500-X?

Для того, чтобы запустить сервисы FirePOWER на Cisco ASA 5500-X необходимо выполнение следующих условий:

  1. Наличие SSD-диска на Cisco ASA. Если в наличие уже имеется Cisco ASA, SSD-диск можно заказать отдельным парномером ASA5500X-SSD120=. Модели ASA5506, 5508 и 5516 оснащены SSD-диском по умолчанию.
  2. Версия программного обеспечения ASA начиная с версии 9.2.2.
  3. Наличие SmartNet для соответствующей модели, покрывающего сервисы FirePOWER. Например: CON-SNT-A12FPK9.
  4. Наличие позиции Control License. Данная позиция является бесплатной, однако должна быть включена в спецификацию. Пример партномера: ASA5516-CTRL-LIC. Control License позволяет применять правила контроля доступа (разрешение/запрет) для пользователей и приложений. Например, запретить доступ для приложения Skype. Запретить пользователю доступ на конкретный URL (для работы с категориями URL, а также репутациями требуется лицензия URL). И пр.
  5. Лицензия-подписка на сервисы FirePOWER. Лицензии-подписки доступны в следующих пяти комбинациях:

    Где IPS (также называется Protection) – система предотвращения вторжений, файловый контроль (разрешение/запрет на передачу файлов) и Security Intelligence фильтрация (использование динамических баз вредоносных хостов в сети интернет);
    URL - URL-фильтрация по репутации и категориям сайтов;
    AMP – борьба с вредоносным кодом и угрозами нулевого дня.

    Пример партномера подписки на 3 года для ASA5516: L-ASA5516-TAMC-3Y

    При использовании резервных устройств на них должны приобретаться те же подписки, что и на основное. Конфигурация также должна быть абсолютно идентична основному устройству.

    Подписки доступны на 1, 3 и 5 лет для новых моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше. Для ASA5512 и ASA5515 – подписки только на 1 год.

  6. Системы управления сервисами FirePOWER. Для полноценного управления сервисами FirePOWER необходимо заказать систему управления Firepower Management Center (FMC). Самый доступный вариант – в виде виртуальной машины. Виртуальная машина может быть скачана бесплатно с сайта cisco.com, однако, для её активации необходимо наличие лицензии:
    • FS-VMW-2-SW-K9 на 2 устройства ASA with FirePOWER services
    • FS-VMW-10-SW-K9 на 10 устройств ASA with FirePOWER services
    • FS-VMW-SW-K9 на 25 устройств FirePOWER или ASA with FirePOWER services
    С версии ASA OS IOS 9.4(2) заказ системы управления FMC является опциональным. Настройка сервисов FirePOWER может быть осуществлена посредством ASDM. FMC необходим при некоторых требованиях, в частности, для построения отчётов, работы IPS и пр. Отличия между управлением сервисами FirePOWER на ASA через ASDM и Firepower Management Center рассмотрены здесь.

В настоящий момент существуют бандлы для ASA55XX-FPWR-BUN для соответствующих моделей Cisco ASA. Бандл включает все вышеперечисленные условия. Для моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше бандл ASA55XX-FPWR-BUN включает в себя как модели K8, так и модели K9 (на выбор), то есть, содержащие в ПО алгоритмы 3DES/AES.

Из-за ограничений в производительности ASA 5506 запуск сервисов FirePOWER или же FTD начиная с версии 6.3 на данной платформе невозможен.

В чём отличие между использованием ASDM и Firepower Management Center (Defence Center, FireSIGHT) для управления сервисами FirePOWER на Cisco ASA?

С выходом версии Firepower 6.0.0.0 появилась возможность управления Firepower с помощью стандартного графического интерфейса Cisco ASA ASDM на всех моделях Cisco ASA серии 5500-X. До этого сервисы FirePOWER на моделях Cisco ASA 5512, 5515, 5525, 5545 и 5555 можно было настраивать только с помощью выделенной системы управления Firepower Management Center (далее FMC, другие названия Defence Center, FireSIGHT).

Однако, на настоящий момент времени (май 2019) ASDM имеет некоторые ограничения при настройке и управлении Firepower, по сравнению с FMC. Перечислим наиболее существенным ограничениям ASDM:

  1. Не поддерживается функциональность Network Discovery (автоматическое обнаружение хостов в сети, составление профилей для каждого обнаруженного хоста, включающего ОС хоста, пользователей хоста, открытые порты, индикаторы компрометации, уязвимости и т.д).
  2. Не поддерживается функциональность Next Generation IPS. Так как нет возможности обнаружения хостов в сети и составление профилей хостов (см. пункт 1), поддерживается только классический IPS.
  3. Не поддерживается автоматическое создание политик IPS. Требуемые для защиты сети сигнатуры IPS необходимо включать вручную. В то время как при использовании FMC система автоматически генерирует политики IPS (FireSIGHT Recommendations) на основании информации о сети, профилей хостов, сетевых транзакций, корреляции и т.д.
  4. Не поддерживается автоматизация обработки событий IPS. Не поддерживается автоматическое составление индикаторов компрометаций, корреляция событий, определение релевантности сигнатур атаки в соответствии с контекстом.
  5. Не поддерживается динамический анализ файлов в рамках функциональности Advanced Malware Protection (AMP), т.е. отправка всего файла в облако для расширенного анализа в файловой
  6. Не поддерживается захват файлов.
  7. Система построения отчётов. ASDM ограничен по возможности построения отчётов по сравнению с FMC. Кроме того, нет возможности экспортировать отчёты в разных форматах (HTML, PDF, CSV).

Управление сервисами FirePOWER на Cisco ASA через ASDM идеально подходит при использовании Cisco ASA в небольших офисах для подключения к Сети Интернет, когда основная задача сводится к настройке функциональности межсетевого экрана нового поколения (NGFW). ASDM предоставляет всё необходимое, чтобы настроить ограничения доступа к сайтам по категориям, ограничения по использованию Интернет-приложений (Skype, Torrent, TeamViewer), реализации политик на основании информации из MS Active Directory, ограничения по скачиванию выгрузки файлов. При этом, ASDM предоставляет средства отчётности начального уровня в виде преднастроенных панелей (Dashboards), на которые выводятся виджеты, отображающие необходимую информацию.

Наличие выделенной системы управления FMC требуется в случаях, когда необходимо обеспечить сервисы «продвинутой» безопасность для корпоративной сети. В частности, при необходимости запуска сервисов системы предотвращения вторжений нового поколения (NGIPS) настоятельно рекомендуется использование FMC. Кроме того, FMC необходим, когда существуют требования к созданию настраиваемых отчётов различного уровня сложности. Например, отчёты по посещению Интернет-ресурсов для конкретных пользователей, отчёты по загрузке Интернет-каналов различными Интернет-приложениями и т.д.

Что такое Firepower Threat Defense?

Firepower Threat Defense (FTD) – это новый образ программного обеспечения для Cisco ASA 5500-X и нового модельного ряда устройств Firepower (FPR) 1000/2100/4100/9000. FTD включает в себя функционал классического ПО Cisco ASA и ПО модуля Firepower. Управление и тем и другим происходит через Firepower Management Centre (FMC). Таким образом мы получаем единую консоль для централизованного управления сервисами Firepower и функционалом Cisco ASA.

Помимо доступа через FMC, на FTD можно попасть и через CLI по SSH. В CLI отсутствует возможность по настройке устройства, но присутствуют команды для мониторинга и траблшутинга. Большинство стандартных команд из категории show ничем не отличаются от таких же команд для «полноценных» ASAv/ASA. Есть команды capture, packet-tracer, debug, test и т.п.

Ещё одним вариантом управления FTD является «on-board» система Firepower Device Manger. Это легковесная система управления, встроенная в образ FTD. Обеспечивает базовые настройки устройства и предлагаем необходимый минимум для запуска устройства в небольшом офисе/филиале.

FTD так же доступен в виде виртуальной машины – vFTD. В этом случае, функции Cisco ASA выполняет ASAv30, сравнимая по производительности с Cisco ASA 5525-X.

Лицензирование FTD, в любых исполнениях, выполняется по новой схеме – Cisco Smart Software Licensing. Схема лицензирования FTD схожа со схемой для сервисов FirePOWER, основное отличие в наименовании лицензий:

Threat Система предотвращения вторжений, файловый контроль (разрешение/запрет на  передачу файлов)
Malware Борьба с вредоносным кодом и угрозами нулевого дня (файловая проверка)
URL Filtering URL-фильтрация по репутации и категориям сайтов
Что такое Cisco Firepower 1000/2100/4100/9000?

Данные устройства представляют собой новую платформу Cisco Firepower (FPR), которая пришла на замену популярным межсетевым экранам Cisco ASA. Они относятся к классу межсетевых экранов нового поколения (NGFW).

Основные особенности данного класса устройств:

  • фильтрация по Интернет-приложениям (более 4000 приложений),
  • фильтрация по URL и категориям URL (более 80 категорий),
  • фильтрация по IP, DNS, репутация сайтов,
  • система предотвращения вторжений нового поколения (NG IPS),
  • проверка файлов на наличии вредоносного кода (Cisco AMP),
  • построение защищённых VPN туннелей: site-to-site (IKEv1 и IKEv2), remote-access (Anyconnect),
  • работа в отказоустойчивом режиме (active/standby, active/active) и кластеризация*,
  • централизованное управление,
  • глубокий мониторинг и создание гибких отчётов,
  • операционная система: Firepower Threat Defense (FTD) или Cisco Adaptive Security Appliance (ASA) OS**,
  • защита от DDoS*,

* только для линеек 4100/9000
** для Firepower 1000 поддержка ASA OS заявлена в будущих релизах.

Модель

NGFW (1024B)

NGIPS (1024B)

IPSec VPN

Интерфейсы

1010 650 Мбит/с 650 Мбит/с 300 Мбит/с 8 x RJ45*
1120 1.5 Гбит/с 1.5 Гбит/с 1 Гбит/с 8 x RJ45, 4 x SFP
1140 2.2 Гбит/с 2.2 Гбит/с 1.2 Гбит/с 8 x RJ45, 4 x SFP
2110 2.3 Гбит/с 2.3 Гбит/с 800 Мбит/с 12 x RJ45, 4 x SFP
2120 3 Гбит/с 3 Гбит/с 1 Гбит/с 12 x RJ45, 4 x SFP
2130 5 Гбит/с 5 Гбит/с 1.6 Гбит/с 12 x RJ45, 4 x SFP+, 1 x NM-модуль
2140 9 Гбит/с 9 Гбит/с 3.2 Гбит/с 12 x RJ45, 4 x SFP+, 1 x NM-модуль
4110 11 Гбит/с 15 Гбит/с 6 Гбит/с 8 x SFP+, 2 x NM-модуль
4115 26 Гбит/с 27 Гбит/с 8 Гбит/с 8 x SFP+, 2 x NM-модуль
4120 19 Гбит/с 27 Гбит/с 10 Гбит/с 8 x SFP+, 2 x NM-модуль
4125 35 Гбит/с 41 Гбит/с 14 Гбит/с 8 x SFP+, 2 x NM-модуль
4140 27 Гбит/с 38 Гбит/с 13 Гбит/с 8 x SFP+, 2 x NM-модуль
4145 45 Гбит/с 55 Гбит/с 18 Гбит/с 8 x SFP+, 2 x NM-модуль
4150 39 Гбит/с 52 Гбит/с 14 Гбит/с 8 x SFP+, 2 x NM-модуль
9300 до 153 Гбит/с до 175 Гбит/с до 81 Гбит/с шасси: до 24 x SFP+, до 8 x QSFP+, до 8 x QSFP28+

* RJ45 - 10/100/1000Base-T

Cisco Firepower или ASA?

Компания Cisco начала продажи устройства Firepower 1000. Это самая младшая линейка относительно нового класса устройств Firepower (FPR).

Данные устройства примечательны очень хорошей производительностью. Как мы помним, сервисы Firepower/FTD можно запустить на аппаратной платформе Cisco ASA начиная с ASA 5508. И если сравнить платформы Cisco ASA c FPR 1000, новые устройства получаются намного интереснее, особенно FPR 1010.

Устройство Производительность NGFW и NGIPS Цена устройства с подпиской TMC* на 3 года** Стоимость 1 Мбит/с
FPR 1010 650 Мбит/с 3 176.40 4,88
FPR 1020 1.5 Гбит/с 11 932.50 7,95
ASA 5508 250 Мбит/с 9 709.40 38,8
ASA 5516 450 Мбит/с 16 193.60 36
* TMC – IPS, URL, AMP
** цена GPL, актуальная на сентябрь 2019 года.

На данный момент на устройствах FPR 1000 можно запустить только образ FTD. Запуск ASA OS (классический МСЭ) планируется в будущих релизах. На всех остальных устройствах FPR (2100/4100/9000) можно запускать как FTD, так и ASA OS.

По производительности линейка устройств Cisco Firepower полностью закрывает линейку устройств Cisco ASA.

Firepower Management Center 6.X. Что нового?

Firepower Management Center (FMC, предыдущие названия Defence Center, FireSIGHT) – система управления решениями Firepower (сервисы FirePOWER, FTD).

Firepower Management Center 6.2

Версия FMC 6.2 стала доступна в начале 2017 года.
Среди наиболее заметных нововведений:

  • Поддержка TS Agent. Это агент для терминальных серверов, который поможет с аутентификацией пользователей. Подробнее можно почитать в нашем блоге на хабре.

Другие важные доработки касаются в основном Firepower Threat Defence (FTD - что это такое?):

  • Поддержка удобнейших инструментов Cisco ASA – Packet Tracer и Packet Capture. Packet Tracer запускает прохождение виртуального пакета с задаваемыми характеристиками через FTD. Позволяет проверять корректность настроек: будет ли пакет пропущен или отброшен, если отброшен, то каким правилом, какой выходной интерфейс будет выбран, какое правило NAT отработает и т.д.

    Packet Capture позволяет захватывать определяемые шаблоны трафика. Крайне удобно в процессе отладки. Например, можно понять, блокируются ли пакеты нашим устройством, или они даже не доходят до него.
  • Integrated Routing and Bridging (IRB). Теперь можно объединить физические L3 интерфейсы в bridge-группу. То есть, интерфейсы будут делать L2-switching и могут быть помещены в один vlan. Это крайне полезно в первую очередь для ASA5506, у которой 8 физических L3-инетфейсов. Теперь при установке ASA5506 в миниофисе нет необходимости докупать дополнительный коммутатор.

  • Site-to-Site VPN. Поддержка Site-to-Site IPsec была внедрена уже в версии 6.1. Но в той версии VPN можно было настроить только между двумя ASA (с софтом FTD или с обычным софтом). VPN между ASA и маршрутизатором не поддерживался. Авторизация VPN точек поддерживалась только по PSK. В версии 6.2 добавили аутентификацию по сертификатам, вместе с этим стал работать IPsec c маршрутизаторами.

  • URL Lookups. Часто встаёт вопрос, где посмотреть, будет ли знать Firepower категорию и репутацию того или иного сайта. Ранее, для этого необходимо было вручную проверять каждый URL через сайт brightcloud. Теперь это можно сделать непосредственно через FMC сразу для нескольких URL:

  • FlexConfig. Позволяет деплоить с помощью FMC некоторые шаблоны CLI-команд ASA. FlexConfig помогает, если на ASA с софтом FTD нужно использовать функциональность, который пока не возможно настроить через FMC. Например:
    • Routing (EIGRP, PBR, and IS-IS);
    • Netflow (NSEL) export;
    • WCCP;
    • И т.д.
  • Remote Access VPN (с версии 6.2.3). Появилась возможность использовать Cisco AnyConnect для удалённого подключения через протокол SSL или IPsec IKEv2.

Firepower Management Center 6.3

Версия FMC 6.3 стала доступна в декабре 2018 года.
Наиболее заметные нововведения:

  • Новая Specific лицензия: позволяет использовать FMC в изолированных сетях. До этого было только два способа использовать smart-лицензии: разрешить FMC доступ в интернет для связи с Cisco Smart Software Manager или настроить связь через специализированный прокси (Satellite License) внутри сети. Теперь же можно установить лицензию на определенный период времени без необходимости доступа куда-либо.
  • FTD устройства теперь поддерживают аппаратное ускорение SSL для платформ Firepower 2100, 4100, 9300.
  • FTD поддерживает двухфакторную аутентификацию для пользователей Anyconnect. Второй фактор: токены RSA или DUO-пароли передаются на мобильное устройство.

Firepower Management Center 6.4

Версия FMC 6.4 стала доступна в апреле 2019 года.
Наиболее заметные нововведения:

  • FMCv может быть развернут на Microsoft Azure.
  • Site-to-site VPN:
    • Можно настроить VPN-соединения между площадками, использующими динамический IP-адрес.
    • Стали доступны для использования динамические крипто карты для топологий point-to-point, hub-and-spoke.
    • Можно настроить VPN-подключение с использованием сертификатов вместо общего ключа.
  • Cisco Threat Response (CTR) можно интегрировать с FTD. Это позволит коррелировать данные о событиях в Firepower с данными из других источников для единого представления угроз в сети.
  • Диспетчер объектов (Object Manager) теперь позволяет просматривать политики, параметры и другие объекты, в которых используется существующий объект network, port, VLAN или URL, что значительно упрощает администрирование.
Какие варианты операционных систем используются на решениях Cisco ASA и Cisco Firepower?

Решения Cisco ASA5500-X и новейшие решения Cisco Firepower (FPR) серии 1000/2100/4100/9000 входят в нишу сразу двух класс устройств: межсетевой экран нового поколения (NGFW) и система предотвращения вторжений нового поколения (NGIPS).

Наследственные решения Cisco FirePOWER серии 7000 и 8000 позиционируются в классе NGIPS. Существует несколько вариантов программного обеспечения, которые могут быть запущены на перечисленных платформах:

  • ASA OS – классическая операционная система ASA.
  • FirePOWER Services on ASA – программный модуль FirePOWER для Cisco ASA.
  • FirePOWER NGIPS – классическая операционная система IPS-сенсора FirePOWER.
  • Firepower Treat Defence (FTD) – консолидированная операционная система включающая в себя как функциональность ASA, так и модуля FirePOWER для Cisco ASA.

Устройства и соответствующие им варианты программного обеспечения удобно представить в табличном виде:

  Cisco ASA5500-X Cisco ASA5585 Cisco Firepower серии 1000*/2100/4100/9000 Cisco FirePOWER серии 7000 и 8000
ASA OS + + + -
FirePOWER Services on ASA + + - -
FirePOWER NGIPS - - - +
Firepower Treat Defence (FTD) + - + -

* Для FRP 1000 поддержка ASA OS заявлена в бедующих релизах.

Замечание 1: помимо перечисленных решений Cisco для классов NGFW и NGIPS существуют также виртуальные решения для VMWare, KVM и AWS: NGFW Virtual на базе FTDv, NGIPS Virtual Appliance. Кроме того виртуальное решение FTDv может быть запущено на базе UCS E-Series блейд-серверов, которыми могу быть укомплектованы маршрутизаторы ISR G2 и ISR4K. Таким образом, функциональность Firepower может быть добавлена в том числе и на маршрутизаторы Cisco.

Замечание 2: Cisco Firepower серии 2100/4100/9000 используют операционную систему Cisco Firepower eXtensible Operating System (FXOS) как оркестратор и для низкоуровневого управления шасси. ASA OS или FTD являются гостевыми операционными системами относительно FXOS.

Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco Firepower?

Существуют следующие варианты управления:

  • ASA CLI – классическая командная строка Cisco ASA.
  • ASDM – графический интерфейс для управления Cisco ASA и частично сервисами FirePOWER, запущенными на Cisco ASA.
  • FMC (Firepower Management Center) – бывший Defence Center или FireSIGHT. Отдельно стоящая система управления решениями Firepower, включая Firepower Threat Defence.
  • FDM (Firepower Device Manager) – новейшая легковесная система управления, которая работает «из коробки», то есть по умолчанию встроена в образ Firepower Threat Defence.

Некоторые системы управления для некоторых вариантов программного обеспечения предоставляют ограниченные возможности настройки. Например, для ASA с сервисами FirePOWER с помощью ASDM можно настраивать полный функционал ASA, но ограниченный функционал Firepower (подробнее).

Устройства и соответствующие им варианты систем управления удобно представить в табличном виде. Обозначения в таблице:

  • ASA + полное управление ASA;
  • ASA ± ограниченное управление ASA;
  • ASA – управление ASA невозможно;
  • FP + полное управление функционалом Firepower;
  • FP ± ограниченное управление функционалом Firepower;
  • FP – управление Firepower не возможно.
  ASA CLI ASDM FMC FDM
Cisco ASA5500-X + FirePOWER Services ASA +
FP -
ASA +
FP ±
ASA –
FP +
-
Cisco ASA5500-X FTD image - - ASA ±
FP +
ASA ±
FP ±
Cisco ASA5585 + FirePOWER Services ASA +
FP -
ASA +
FP ±
ASA –
FP +
-
Cisco Firepower серии 2100 FTD image - - ASA ±
FP +
ASA ±
FP ±
Cisco Firepower серии 4100/9000 FTD image - - ASA ±
FP +
-
Cisco FirePOWER серии 7000 и 8000 - - FP + -

Замечание 1: ячейки таблицы, в которых отсутствуют красные поля, описывают единую систему управления. То есть настройка как сервисов ASA, так и Firepower может осуществляться из единой консоли управления. Единые системы управления:

  • ASDM - полная ASA, частичная Firepower;
  • FMC - частичная ASA, полная Firepower, должен использоваться софт FTD;
  • FDM – частичная ASA, частичная Firepower, должен использоваться софт FTD.

Замечание 2: в таблице отсутствуют полностью зелёные ячейки. То есть, любая единая система управления на настоящий момент имеет некоторые ограничения.

Замечание 3: если требуется управлять как ASA, так и Firepower без ограничений, на данный момент необходимо использовать различный варианты управления: CLI или ASDM для ASA и FMC для функционала Firepower.

Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?

Схема взаимодействия достаточна проста: SFR модуль <- FMC <- облачные сервисы Cisco На FMC из облака загружаются автоматически или вручную обновления URL баз, геолокация (GeoDB), база данных уязвимостей VDB (vulnerability database), IPS сигнатуры. И уже оттуда они устанавливаются на SFR модуль.

Следующая таблица описывает требования доступа к облачным сервисам для определенных функций Firepower:

Функционал Применение Для чего нужен доступ к облачным сервисам
AMP for Networks Management Center Выполняет поиск диспозиции файла в облаке на основе хэш суммы.
Динамический анализ: отправка FMC и SFR модуль Отправляет файлы в облако Threat Grid для динамического анализа.
Динамический анализ: запрос Management Center Запрашивает оценку файловой угрозы у облака AMP, ранее представленной для динамического анализа облаку Threat Grid.
Обновление IPS сигнатур, VDB и GeoDB Management Center Загружает IPS сигнатуры, GeoDB или VDB на устройство.
Локальный анализ вредоносных программ и обновление сигнатур для предварительной классификации файлов Management Center Загружает обновления сигнатур для локальных механизмов анализа вредоносных программ и предварительной классификации.
Security Intelligence фильтрация Management Center Загружает данные службы Security Intelligence из внешних источников, включая предоставленные Cisco.
Обновление системы FMC и SFR модуль Загрузка обновлений системы непосредственно на устройство.
URL фильтрация Management Center Загружает данные о URL категориях и репутациях для ACP (Access Control Policy) и запрашивает неизвестные URL-адреса.

Рассмотрим работу некоторых технологий Firepower подробнее:

  • URL фильтрация
    Предположим у нас настроено правило URL фильтрация по категориям и репутациям. В этом случае если пользователь переходит по URL, то SFR модуль смотрит в локальную БД и определяет категорию и репутацию. База с категориями загружается на SFR модуль заранее. А вот репутация сохраняется, в случае аналогичного запроса ранее. Если в локальной БД этого URL нет, то SFR модуль отправляет запрос на FMC, что бы тот запросил информацию у облака URL. В случае поломки FMC или недоступности URL облака, запрос пользователя не совпадает с правилом Access Control Policy и правило пропускается.
  • Проверка AMP
    Предположим на FMC настроена политика, которая производит динамический анализ файлов.
    1. На SFR модуль приходит файл и необходимо определить диспозицию файла (степень его вредоносности). Для этого SFR модуль опрашивает FMC, FMC смотрит локальную базу и, если диспозиция известна, возвращает ответ.
    2. Если диспозиция неизвестна, FMC начинает с некоторой периодичностью опрашивать AMP облако.
    3. Если диспозиция не пришла (или пришла как Unknown) на сенсор в течении 200 мс, файл пропускается, а SFR модуль отправляет файл в облако TG (Threat Grid) для анализа.
    4. TG проверяет его на наличие вредоносного кода.
    5. После проверки TG передаёт диспозицию по данному файлу в AMP облако (хэш файла с пометкой).
    6. FMC периодически опрашивает AMP облако по тем файлам, которые ранее были отправлены для анализа. Получив эту информацию, FMC отмечает у себя в логах.
Что случится если откажет FMC?

Фактически FMC нужно рассматривать только как точку управления для SFR модуля. Конфигурация правил на SFR модуле сначала производится на FMC, и только после этого загружается на него. Если FMC выключен, на SFR модуль это никак не повлияет, и он продолжит работать с последней загруженной конфигурацией и последними загруженными базами. Но обновлять базы он не сможет.

Как лицензируется Cisco Umbrella?

На данный момент (2018) схема лицензирования разделена на две модели:

  1. По количеству пользователей:
    Пакеты Cisco Umbrella Professional, Insights, Platform, и Roaming лицензируются по количеству пользователей (рабочих мест). Рабочее место определяется как уникальное рабочее место имеющее подключение к Интернет. В лицензию Roaming, как и другие лицензии Umbrella не входит лицензирование самого агента AnyConnect.
  2. По количеству устройств (сетевых):
    Пакеты Branch и Wireless LAN лицензируется по количеству маршрутизаторов ISR4k или точек доступа. В данной модели лицензирования не имеет значения число защищаемых устройств.

Разберем каждый пакет подробнее.

Umbrella Professional – предоставляет защиту против Malware, Phishing, вызовов на Command and Control сервера для пользователей, находящихся как внутри сети, так и за её пределами, в дополнение к WEB фильтрации и отчетности.

Umbrella Insights – предоставляет все сервисы пакета Professional и дополнительно включает возможность использования политик защиты с детализацией по пользователям благодаря интеграции с Microsoft Active Directory, фильтрацию URL и IP-уровня, собственные списки фильтрации URL, инспекция файлов на вредоносный контент с использованием Cisco AMP и других антивирусных движков, возможность сохранения логов и расширенная отчетность. Также доступна аналитика использования облачных приложений.

Umbrella Platform - предоставляет все сервисы пакета Insights и дополнительно включает уже преднастроенные и настраиваемые API механизмы интеграции. Также становится доступна консоль расследования Investigate для 50-ти рабочих мест операторов, предоставляющих более глубокий контекст для расследования.

Umbrella Branch - Поддерживает модели ISR: 1100, 4221, 4321, 4331, 4351, 4431 и 4451.

Umbrella Wireless LAN - дает возможность интеграции с контроллерами БЛВС Cisco 2504, 5508, 5520, 8510 и 8540, а также с Wireless Services Module 2 (WiSM2).

Umbrella Roaming – дает возможность установки клиента Umbrella или модуля Anyconnect Umbrella на хостовую машину и его использование как мобильного агента. В лицензию Roaming, как и другие лицензии Umbrella не входит лицензирование самого агента AnyConnect.

Какова схема работы Cisco Umbrella?

Принцип работы корпоративных пользователей (пакеты Professional, Insights, Platform)

Для самого минимального развертывания Umbrella достаточно на всех компьютерах компании назначить в качестве DNS сервера облако Umbrella (или на локальном DNS сервере прописать внешний DNS Umbrella). Базовая защита будет обеспечена, но в этом случае мы не сможем формировать политики по локальным IP адресам и не будем знать какой пользователь запросил тот или иной URL. Что бы это исправить, необходимо внедрить Virtual Appliance (VA).

В локальной сети устанавливается Umbrella VA, у которого всего одна функция: разделять внутренние и внешние DNS запросы. При отправке запроса к локальным ресурсам он отправляет его к локальному DNS серверу, остальные же отправляются в облако Cisco Umbrella. Возможно три варианта решения по запросу: разрешить, блокировать, не известно. В случае «Allowed» пользователю возвращается правильный IP адрес, в случае «Blocked» пользователь получает адрес страницы блокировки. В третьем случае происходит проксирование трафика через облако и его инспекция. Сначала он проверяется антивирусом, чтобы определить, известно ли, что он злонамерен, далее сканирует Cisco AMP, которая блокирует файлы с плохой репутацией на основе контрольной суммы.

В данном варианте возможно настраивать политики фильтрации по сети, хосту или пользователю, в последнем случае необходима интеграция с AD. Для интеграции необходимо установить Connector на домен контроллере (или на любой сервер в домене), который передаст через VA список групп и пользователей в облако Umbrella.

Принцип работы удаленных пользователей (пакет Roaming)

Umbrella Roaming Client это DNS клиент, который устанавливается на компьютер. Ошибочно считать его клиентом VPN или антивирусом. Клиент использует IP 127.0.0.1:53 (localhost) и назначает себя DNS сервером, гарантируя что все DNS запросы будут направлены в датацентр Umbrella, при этом взаимодействуя с ресурсами локальной сети с использованием внутренних доменов.

Принцип работы для ISR4k и беспроводных контроллеров Cisco (пакеты Branch и WLAN)

Для развертывания необходимо только обновить ПО на ISR 4000 и можно применять политики. Со стороны пользователей нет необходимости делать какие-либо действия.

Требования для ISR:

  • Установленная security K9 лицензия
  • Cisco IOS XE 16.3 или более поздняя
  • Лицензия на подписку Cisco Umbrella
  • Cisco ISR 4000 устанавливается как шлюз DNS-сервера по умолчанию

Требования для беспроводных контроллеров Cisco:

  • AireOS 8.4 или новее
  • Лицензия на подписку Cisco Umbrella
  • Для первоначальной регистрации, WLC должна иметь доступ к api.opendns.com на порт 443.

Рекомендуемая схема работы

Хост инициализирует DNS трафик и ISR его перехватывает и инспектирует. Если запрос для локального домена, то он передается DNS серверу корпоративной сети. Если запрос предназначен для внешних доменов, то к запросу добавляется Extended DNS (EDNS) запись и отправляется в облако Umbrella. EDNS нужно что бы передать идентификатор устройства в облако и на основе него формировать политики.

Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
Программно-определяемая сеть (Software Defined Networks - SDN) - сеть передачи данных, в которой уровень управления сетью отделён от устройств передачи данных и реализуется программно. В качества «мозга» сети обычно выступает контроллер. Он централизованно управляет сетевыми устройствами, собирая с них различные телеметрические параметры (данные по трафику, загрузке оборудованию, качеству связи и пр.). Благодаря такой централизации контроллер обеспечивает автоматизацию в сети, глубокую аналитику её работы, безопасность, а также может реализовать достаточно «хитрую» логику обработки сетевого трафика.

Компания Cisco предлагает следующие решения на базе SDN:
  • SD-Access – решение по построению кампусной сети (проводной и беспроводной). В качестве контролера использует Cisco DNA Center. Контроллер является аплайнсом, который размещается локально на площадке заказчика.
  • SD-WAN – решение по построению распределённой WAN сети, работающей поверх любых каналов связи (Интернет, выделенные каналы, пр.). В качестве контролера используется связка решений vManage, vBond и vSmart. Они поддерживают как облачное, так и локальное размещение (в виде виртуальных машин).
  • ACI – решение по построению сред для обработки данных (ЦОД). Контроллер - Cisco APIC (Cisco Application Policy Infrastructure Controller). Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
Какие преимущества даёт внедрение SD-Access?

SD-Access – программно-определяемая сеть. Ключевым элементом которой является контроллер Cisco DNA Center. Именно он отвечает за работу сети. SD-Access позволяет сетевому администратору абстрагироваться от конкретных технологий и полностью сфокусироваться на настройке сети под требования бизнеса через user-friendly интерфейс. Администратор теперь оперирует абстракциями. А уже контроллер переводит их в машинный язык, т.е. набор команд на сетевом оборудовании.

Основными преимуществами SD-Access являются:

  1. Автоматизация процессов настройки и администрирования оборудования. Это позволяет снизить временные издержки, а также минимизировать сбои в сети, связанные с человеческим фактором. Автоматизация достигается за счёт контроллера Cisco DNA Center. Именно он выполняет все функции автоматизации и оркестрации.
  2. Полная сегментация сети. При подключении устройств к сети происходит их аутентификация и авторизация (802.1x, Active Directory и пр.). Применение политик позволяет гранулярно предоставить доступ к сетевым ресурсам и обеспечить высокий уровень локализации трафика. Для решения данной задачи используются технологии Cisco TrustSec, VRF и пр.
  3. Прозрачность работы сети:
    • единые политики для проводной и беспородной сети,
    • единая точка контроля за сетью (Cisco DNA Center) и визуализация её работы,
    • глубокий мониторинг в связке с машинным обучением позволяет обеспечить преактивную работу сети; минимизация времени на решение инцидентов в сети.
Какие решения являются обязательными для построения SD-Access?
  1. DNA Center на базе физического сервера Cisco (аплайнс),
  2. Решение ISE (в виде аплайнса или виртуальной машины) с необходимым набором лицензий (Basic и Plus),
  3. Сетевая инфраструктура: коммутаторы, маршрутизаторы (опц.), точки доступа с контроллерами (опц.).
  4. Подписка на каждое сетевое устройство: Cisco DNA Advantage или Cisco DNA Premier.

Основными коммутаторами инфраструктуры SD-Access являются Cisco Catalyst 9000. Также могут быть использованы коммутаторы Cisco Catalyst 3850, 4500e, 6500, 6800 и Nexus 7700.

Маршрутизаторы – Cisco ISR 4000, ASR 1000 и CRS 1000v.

Беспроводная инфраструктура: точки доступа x700, x800, 9100; котроллеры 3504, 5520, 8540, 9800.

Так называемая underlay-сеть (транзитная сеть, связывающая между собой fabric edge, fabric border и control plane устройств) может быть построена на любом коммутационном оборудовании. Однако, эта сеть должна быть L3, т.е. обеспечивать маршрутизацию трафика между устройствами SD-Access фабрики. В идеале она должна поддерживать работу протокола IS-IS, что позволить автоматизировать настройку данного оборудования с помощью DNA Center.

Какие преимущества даёт внедрение SD-WAN?

SD-WAN пришёл на смену таким технологиям как DMVPN и iWAN. Данное решение используется для построения защищённой распределённой сети поверх любых каналов связи.

SD-WAN использует три контроллера, отвечающие за работу всего решения, - это vSmart, vManage и vBond. Каждый из них является обязательным элементом. Контроллер vSmart отвечает за распространение политик на устройства. Через vManage осуществляется управление решением. vBond отвечает за связность устройств (аутентификацию, авторизацию, списки устройств и пр.).

Основные преимущества SD-WAN:

  1. Автоматизация процессов настройки и администрирования оборудования. Всестороння аналитика работы WAN сети.
  2. Сегментация и гибкая схема топологий: решение нативно поддерживает сегментацию трафика внутри VPN. На логическом уровне мы можем использовать различные топологии VPN: полно связную (Full-mesh), централизованную (Hub-and-Spoke), частично связанную (Partial Mesh) и точка-точка (Point-to-Point).
  3. Интеллектуальная маршрутизация трафика: для разного типа трафика мы можем задать свои критерии маршрутизации, принимая во внимание различные параметры сети (качество каналов связи, их загрузка и пр.).
  4. Встроенные средства безопасности: FW, IPS, AMP, URL-фильтрация.
  5. Оптимизации передаваемого трафика.
  6. Высокий уровень масштабируемости и отказоустойчивости.
Какие решения являются обязательными для построения SD-WAN?

  1. Контролеры vManage, vBond и vSmart. Поддерживают как облачное (AWS, Azure, Google Cloud Platform), так и локальное размещение (ESXi или KVM).
  2. Сетевые устройства: Cisco ISR 1100 и 4000, ASR 1000, vEdge, ISRv, CRS 1000v.
  3. Подписка на каждое сетевое устройство:  Cisco DNA Essentials, Advantage или Premier. Набор поддерживаемых сервисов определяется типом подписки.

Для работы в экосистеме SD-WAN на сетевом устройстве устанавливается специализированная прошивка (SD-WAN Integrated IOS XE).

Какие преимущества даёт внедрение ACI?

Фабрика ACI используется для построения сети ЦОД.

Основные преимущества фабрики ACI:

  1. Автоматизация процессов настройки и администрирования.
  2. Всестороння аналитика работы сети ЦОД.
  3. Сегментация на всех уровнях работы сети позволяет строить многопользовательскую среду.
  4. Интеграция со сторонними системами: поддержка различных API-интерфейсов.
Какие решения являются обязательными для построения фабрики ACI?
  1. Контролер Cisco APIC. Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
  2. Коммутаторы Cisco Nexus 9300 и 9500, виртуальный коммутатор приложений Cisco AVS.
Каковы основные преимущества расширенной гарантии?
  • Возможность замены оборудования с временем реагирования: на следующий рабочий день (8x5xNBD), через 4 часа (24x7x4), через 2 часа (24x7x2). Оборудование для замены привозит логистическая компания, например, DHL. Новое оборудование приедет с настройкой по умолчанию.
  • Возможность получения круглосуточной технической поддержки при обращении в Cisco Technical Assistant Center (TAC). В рабочее время поддержка осуществляется на русском языке. В другое время на английском.
  • Возможность обновлять программное обеспечение на устройстве, которое покрыто контрактом. Но только в рамках купленного функционала.
  • Доступ в закрытую часть сайта cisco.com.
Что такое Cisco Smart Software Licensing?

Cisco Smart Software Licensing – схема лицензирования продуктов Cisco, предоставляющая возможности по централизованному управлению лицензиями на ПО (приобретение, развертывание, контроль, отслеживание и т.п.) через портал Smart Software Manager. Основное направление этой схемы – это отказ от установки лицензионных файлов непосредственно на устройства. Вместо этого, на устройстве, достаточно будет активировать новую схему лицензирования и зарегистрировать его в Smart Software Manager, используя уникальный idtoken. Благодаря настроенной регистрации, устройство будет самостоятельно, раз в 30 дней, проверять актуальность активированных на нем лицензий. В случае невыполнения подтверждения актуальности лицензии (например, отсутствует доступ в интернет на устройстве) будет произведен «откат» на лицензии по умолчанию (например, актуально для ASAv), либо будет запущен «льготный» период на 90 дней, по завершению которого лицензии будут отозваны (например, актуально для сервисов Firepower). Доступ в интернет для устройства, с целью проверки лицензий, может быть реализован напрямую или с использованием HTTP прокси.

Для работы данной схемы лицензирования компания создаёт Smart Account. Именно через него происходит управление лицензиями. 

Что такое Smart Accounts? И почему необходим Smart Account?

Smart Account – учётная запись в облачном сервисе компании Cisco, в которой хранятся данные по лицензированию устройств заказчика. Smart Account используется в рамках схемы лицензирования Cisco Smart Software Licensing.

С выходом версии ПО Cisco IOS XE 16.10.x для корпоративных маршрутизаторов Cisco ISR 1000, ISR 4000, ASR 1000 введены изменения в механизме лицензирования программного обеспечения (ПО) Cisco. Теперь для этих устройств используется схема лицензирования Cisco Smart Software Licensing. Всем заказчикам необходимо создать Smart Account для управления своими лицензиями. В дальнейшем, не имея такого типа учётной записи, заказчики не смогут использовать ПО Cisco.

При обновлении (в том числе «случайном») до 16.10.x существующие на маршрутизаторах PAK и RTU-лицензии будут конвертированы в Evaluation-лицензии со сроком действия 90 дней, по истечении которых необходимо синхронизировать состояние этих лицензий со своим Smart Account.

smac1

С помощью учетной записи Cisco Smart Accounts, Вы можете:

  • Иметь единое место, где вы можете легко просматривать все ваши программные продукты Cisco и управлять доступом в режиме реального времени.
  • Делегировать уровни доступа вашим сотрудникам для работы с вашими программными активами Cisco.
  • Принимать оптимальные решения по использованию лицензий.
  • Контролировать соблюдение лицензионных соглашений.

Виды учетных записей в рамках Smart Accounts

В рамках Smart Accounts существует 2 основных типа учётных записей:

  • Customer Smart Account - учётная запись, ориентированная на конечных пользователей.
  • Partner Holding Smart Account - учётная запись, ориентированная на партнёров (дилеров).

Управление Smart Accounts.

Когда компания создала свой Smart Account, то внутри неё можно делать виртуальные учетные записи (Virtual Accounts).

Лучшие практики по управлению Smart & Virtual accounts

•       На данный момент наличие более 100 виртуальных учетных записей в рамках Умной учетной записи не рекомендуется.

•       Вы можете создать более 100 виртуальных учетных записей, если это требуется Вашей организацией, но не более, чем 1000 (для избежания проблем с пользовательским интерфейсом ).

•       Пользователи виртуальной учетной записи назначаются только на виртуальную учетную запись (Virtual Account), поэтому они могут управлять только лицензиями в этой виртуальной учетной записи.

•       Public. Наименования виртуальных учетных записей видны партнёрам в поисковике Smart Account в CCW .

•       Private. Наименования виртуальных учетных записей не видны в поисковике в CCW, но могут быть назначены партнёром во время создания Квоты /Заказа, указывая точное наименование Виртуальной учетной записи.

Управление Smart Accounts: Выбор ролей

Перейдите на Step 2: Select Roles.

1.   Здесь можете увидеть роли и привязанные к ним привилегии

Smart Account администратор может назначить следующие роли пользователям:

•        Smart Account User

•        Smart Account Administrator

•        Smart Account Approver

•        Assign to Specific Virtual Account only

2.   После того как вы решили, какую роль назначить, выберите соответствующую пометку и нажмите Next.

13.png

 

Управление Smart Accounts – лицензионные соглашения

В Customer Smart Account, вы можете рассматривать соглашения(Smart Licensing Agreements), их дату, статус, и Утверждающего/Администратора, кто подписал Соглашение.

14.png

 

Управление Smart Accounts: Виды ролей

Smart Account Approver

Smart Account Administrator

Virtual Account Administrator

Может только одобрять юридические соглашения Smart Account-а от имени владельца учетной записи.

Не включает привилегии пользователя или администратора.

Управляет всеми аспектами Smart Account-а и его Virtual Accounts. Администратор Smart Account-a может просматривать и управлять лицензиями на весь Smart Account, а также выполнять операции по управлению учетными записями.

Подобно администратору Smart Account-a, но ограничен выбранными виртуальными учетными записями. Может выполнять действия по управлению лицензиями, а также управлять пользователями для выбранных виртуальных учетных записей.

 

Smart Account User

Virtual Account User

Подобно администратору Smart Account, эта роль позволяет получить доступ ко всем виртуальным учетным записям. Пользователь Smart Account может выполнять действия по лицензированию, но не может создавать новые виртуальные учетные записи или выполнять действия по управлению пользователями.

Подобно пользователю Smart Account-а, но ограничивается виртуальной учетной записью, к которой прикреплен Пользователь. Virtual Account user's могут просматривать все заказы в CCW, которые были депозированы в Виртуальной учетной записи, и назначать их на Smart Account клиента, но не могут добавлять новых пользователей в их виртуальные учетные записи.

 

Более детальная информация доступна в тренинге Smart Accounts Roles Training

 

Клиенты могут предоставить Партнёрам доступ к управлению лицензиями на Smart Account, добавив Партнёра в качестве Пользователя.

Обратите внимание, что, разрешая доступ пользователям-партнёрам к своей учётной записи Smart, клиенты неявно признают, что это позволит партнёрам получить доступ ко всей информации в учётной записи Smart, которая включает лицензии, устройства и т. д.

Кроме того, обратите внимание, что клиент несёт ответственность за все действия своих партнёров, которые включают лицензирование.

Как создать и настроить Smart Account?

Запрос учётной записи Smart Account

1. Зайдите на Cisco Software Central (CSC) – software.cisco.com и нажмите Request a Smart Account чтобы запросить Smart Account. Чтобы запросить доступ к существующему Smart Account выберите Request access to an Existing Smart Account.

 

2.png

2. Выберите „Yes, I have the authority to represent my company…” если вы уполномоченное лицо вашей компании и будете авторизировать активизацию Smart Account .

3. Выберите „No, the person specified below should be notified to authorize activation”, если у вас нет права авторизировать или предпочитаете не авторизировать Smart Account или планируете делегировать авторизацию другому лицу.

4. Введите Account Name

5. Нажмите Continue

3.png

 

Запрос учётной записи Smart Account – редактирование имени домена организации (опционально)

1.   Если нужно, вы можете редактировать домен, нажав Edit (опционально).

2.   В разделе Edit Account Identifier, поменяйте домен (edit top-level domain /add a prefix).

3.   Нажмите OK для подтверждения нового Domain ID.

4.   Проверьте Account Name и измените, если небходимо.

5.   Теперь вы можете нажать Continue для осуществления запроса на Smart Account.

4.png

 

Запрос учётной записи Smart Account – ввод данных о компании (опционально)

Если вы указали No под account authorization, у вас откроется окошко Company information. Вы можете указать имя компании и адрес отличный от имени компании и адреса Вашего профиля на сайте Cisco.

5.png

 

Запрос учётной записи Smart Account – номинирование администратора (опционально)

1.   Введите имейлы пользователей, разделенных запятой, для того чтобы номинировать их на получение административного доступа. Выбирая опцию I request access to myself вы номинируете себя на административную роль.

2.   Нажмите Continue, чтобы продолжить.

6.png

 

Запрос учётной записи Smart Account – проверка информации и подтверждение запроса

1.   Проверьте информацию в Smart Account information и имена пользователей, для которых запрошен административный доступ.

2.   Нажмите Submit Request.

7.png

 

Запрос учётной записи Smart Account – завершение запроса

1.   После подачи запроса вы получите сообщение о подтверждении Smart Account Request Complete. Запрос поставлен в состояние ожидания pending state до тех пор, пока не будет одобрен Cisco.

2.   Вы также получите подтверждение по e-mail.

8.png

 

После подачи запроса, временный Smart Account будет создан.

Ваши заказы могут быть привязаны к временному Smart Account, но все закупленные позиции не могут быть использованы пока Smart Account не активизирован.

 

Завершение настройки Smart Account – ссылка на доступ из уведомления на e-mail

Уведомление по электронной почте будет отправлено назначаемому лицу со ссылкой для проверки информации об учетной записи.

1.   Нажмите Complete Smart Account Setup для доступа к Account Authorization странице. 1а. Вам необходим CCO ID. Если нет такого, нажмите register for a new account.

2.   Чтобы узнать более подробно о Smart Accounts, нажмите на ссылку Learn more about Smart Accounts.

9.png

 

Завершение настройки Smart Account – активация авторизации

1.   Выберите Yes, I have authority to represent my company… если вы можете представлять вашу компанию для авторизации учетной записи.

Замечание: Если у вас нет полномочий, укажите No, the person specified below must be notified to authorize activation чтобы номинировать пользователя кто может авторизировать создание учетной записи.

2.   Нажмите Continue.

10.png

 

Завершение настройки Smart Account

1.   Пересмотрите информацию и нажмите Activate Smart Account для завершения настройки.

11.png

 

Завершение настройки Smart Account - Подтверждение

Страница подтверждения. Нажмите Cisco Software Central для просмотра и управления Вашим Smart Account.

12.png

 

Доступ на портал Cisco Smart Software Manager

Доступ к управлению устройствами на портале Cisco Smart Software Manager доступен со страницы Cisco Software Central: