Cisco

На данный момент существует несколько линеек серии 2960: 2960, 2960-C, 2960-CX, 2960-L, 2960-SF, 2960-S, 2960-Plus, 2960-X и 2960-XR. Актуальными являются линейки 2960-C, 2960-CX, 2960-L, 2960-Plus, 2960-X и 2960-XR. Часть коммутаторов линеек 2960-Plus (WS-C2960+) и 2960-X (WS-C2960X) производится в РФ и имеют индексы WS-C2960R+ и WS-C2960RX соответственно.

Основные отличия между линейками следующие:

1. Время появления на рынке: 2960 и 2960-C– старые модели коммутаторов, 2960-S, 2960-SF – более новые, затем выпущены 2960-Plus, 2960-X и 2960-XR, затем - 2960-СX и, наконец, 2960-L.
2. Линейка 2960-Plus сходна по характеристикам с линейкой 2960. Основное отличие увеличенный объём памяти DRAM и Flash для возможности инсталляции будущих релизов IOS.
3. Коммутаторы 2960-C, 2960-CX, 2960-L (8,16 – портовые модели) выполнены в компактном исполнении. Для установки в стойку необходимо докупать отдельный монтажный комплект.
4. Производительность коммутационной фабрики устройства:
   1. 2960-С – 10 Гбит/с;
   2. 2960-СX – 12 Гбит/с;
   3. 2960 и 2960-Plus – до 16 Гбит/с;
   4. 2960-S и 2960-SF – до 88 Гбит/с;
   5. 2960-L – в зависимости от модели, 8 портов - 10 Гбит/с, 16 – 18 Гбит/с, 24 – 28 Гбит/с, 48 – 52 Гбит/с;
   6. 2960-X - 50 Гбит/с (LAN Lite) и 108 Гбит/с (LAN Base);
   7. 2960-XR – 108 Гбит/с.
5. Медные порты доступа:
   1. 2960С, 2960-CX- 10/100 Mbps и 10/100/1000 Mbps;
   2. 2960, 2960-SF и 2960-Plus - 10/100 Mbps;
   3. 2960-L,2960-S, 2960-X и 2960-XR - 10/100/1000 Mbps.
6. Определённые модели коммутаторов 2960-S, 2960-X и 2960-XR поддерживают трансиверы SFP+ 10 Гбит/с (до двух).

7. Коммутаторы 2960-S и 2960-SF могут стекироваться между собой, используя технологию FlexStack. Стековый комплект (C2960S-STACK=) покупается отдельно на каждый коммутатор. Данный комплект содержит пол метровый кабель (CAB-STK-E-0.5M). Общая пропускная способность стека – до 40 Гбит/с; в стек могут быть объединены до 4-х коммутаторов. Следует отметить, что стекирование поддерживается только в коммутаторах LAN Base.

   Коммутаторы 2960-X могут стекироваться между собой, используя технологию FlexStack-Plus или FlexStack-Extended. Стековый комплект (C2960X-STACK, C2960X-FIBER-STK или C2960X-HYBRID-STK) покупается отдельно на каждый коммутатор. Например, комплект C2960X-STACK содержит пол метровый кабель (CAB-STK-E-0.5M). При этом C2960X-FIBER-STK и C2960X-HYBRID-STK не комплектуются кабелем/оптическими трансиверами (SFP+). Они покупаются отдельно. Общая пропускная способность стека – до 80 Гбит/с для FlexStack-Plus и до 40 Гбит/с для FlexStack-Extended; в стек могут быть объединены до 8 коммутаторов. Стекирование поддерживается только в коммутаторах LAN Base. Коммутаторы 2960-X могут стекироваться с коммутаторами 2960-S и 2960-SF, стек начинает работать по технологии FlexStack.

   Коммутаторы 2960-XR могут стекироваться только между собой, используя технологию FlexStack-Plus или FlexStack-Extended. Стековые комплекты аналогичным образом покупаются отдельно.

8. Коммутаторы 2960-CX, 2960-S, 2960-SF, 2960-L, 2960-X и 2960-XR поддерживают PoE+ - 30 Вт на порт. Доступны модели с бюджетом PoE до 740 Вт.
9. Коммутаторы 2960, 2960-S и 2960-X могут подключаться к Cisco Redundant power system (RPS) 2300. В коммутаторы 2960-XR можно установить второй блок питания.
10. Коммутаторы 2960-X и 2960-XR поддерживают технологию NetFlow-Lite.
11. Коммутаторы 2960-XR поддерживают динамические протоколы маршрутизации, а также расширенные функции 3-го уровня модели OSI: RIP, OSPF, PBR, HSRP и пр.

Стек коммутаторов 2960-X

Cisco Catalyst 1000 – новые гигабитные коммутаторы для сетей предприятий (Enterprise). Позиционируются на уровень доступа при построении небольших и средних сетей.

Коммутаторы предоставляют расширенные функции L2, базовые функции L3. Доступны модели с поддержкой PoE+.

Ключевые характеристики:

• операционная система – классический Cisco IOS с единственной набором фич LAN Base,
• управление – Cisco CLI или Web-доступ,
• стекировение – горизонтальный стек для обеспечения управления через единый адрес,
• доступны модели с 8, 16, 24 и 48 портами 1 Гбит/с,
• uplink порты – 2 или 4 SFP/SFP+,
• поддержка PoE+.

Cisco Catalyst 9000 – коммутаторы нового поколения (next generation) для сетей предприятий (Enterprise). Позиционируются для обеспечения унифицированного проводного и беспроводного доступа, интернета вещей (IoT) и облаков.

Коммутаторы построены на базе многоядерных x86 ЦПУ, программируемых ASIC’ов Cisco Unified Access Data Plane (UADP 2.0, 2.5sec и 3.0), а также Cisco Silicon One Q200 ASIC. Присутствует возможность установки SSD-диска. В качестве операционной системы используется Cisco IOS XE. Всё это обеспечивает поддержку программно-определяемых сетей, богатого функционала и широких возможностей по интеграции новых сервисов. Cisco Catalyst 9000 являются основой для архитектуры Cisco Software-Defined Access (SD-Access).

Коммутаторы Cisco Catalyst 9000 поддерживают следующие технологии:

• стекирование на базе технологии Cisco StackWise (StackWise-80/160/320/480/1T или StackWise Virtual), Cisco StackPower,
• сегментация трафика на базе VRF, LISP, VXLAN, MPLS*,
• высокая отказоустойчивость (NSF/SSO),
• поддержка PoE+ и UPoE,
• программируемость: NETCONF, RESTCONF, YANG, Python,
• поддержка со стороны Cisco DNA Center, APIC-EM, ISE,
• расширенные функции безопасности: MACsec AES-256, Encrypted Traffic Analytics (ETA) – анализ зашифрованного трафика на наличие в нём вредоносного кода,
• функции мониторинга и анализа трафика: Flexible NetFlow (FNF) и NBAR2,
• трансляция адресов NAT и PAT (доступно на Catalyst 9500 и 9600).

Cisco Catalyst 9200CX (компактный, фиксированной конфигурации, без стекирования):

• количество фиксированных портов: 8 или 12,
• тип фиксированных портов: медные 10/100/1000,
• поддержка PoE+,
• фиксированные Uplink-порты: 2x1G медь, 2x10G (SFP/SFP+).

• количество фиксированных портов: 24 или 48,
• тип фиксированных портов: медные 10/100/1000,
• поддержка PoE+,
• фиксированные Uplink-порты для 9200CX/9200L и NM-модуль для 9200: 4x1G, 4x10G (SFP/SFP+),
• поддержка StackWise-80 (9200L) и StackWise-160 (9200),
• SD-Access: 9200L – 1 virtual network (VN), 9200 – до 32 VN, 9200CX – 16 VN.

Cisco Catalyst 9300L/9300/9300X (фиксированной конфигурации):

• количество фиксированных портов: 12, 24 или 48,
• тип фиксированных портов: медные 10/100/1000, Multigigabit, SFP28 (9300X),
• поддержка PoE+ или UPoE,
• фиксированные Uplink-порты для 9300L и NM-модуль для 9300: 4x1G, 8x10G (SFP/SFP+) или 2x40G (QSFP+),
• поддержка StackWise-320 (9300L), StackWise-480 (9300), StackWise-1T (9300X) и StackPower (9300/9300X),
• поддержка IPSec шифрования на скорости до 100 Gbps (9300X),
• встроенный контроллер беспроводной сети: 50 ТД на 9300L и 200 ТД на 9300/9300X,
• SD-Access: 256 VN.

Cisco Catalyst 9400/9400X (модульный):

• шасси: 4, 7 или 10 слотов,
• отказоустойчивость за счёт установки двух супервизоров,
• до 480 Gbps на линейную карту, до 9 Tbps на все слоты,
• линейные карты с поддержкой PoE+ и UPOE,
• линейные карты c портами RJ-45 (100/1000 и mGig), SFP/SFP+, QSFP+,
• Uplink-порты на супервизорах: 8x10G (SFP/SFP+), 2x25G (SFP28), 2x40G (QSFP), 4x40/100G (QSFP28),
• поддержка StackWise Virtual.

Cisco Catalyst 9500/9500X (фиксированной конфигурации):

• тип фиксированных портов: 1G/10G (SFP/SFP+), 25G (SFP28), 10/25/50G (SFP56), 40G (QSFP+), 100G (QSFP28), 400G (QSFP-DD),
• Uplink-порты (NM-модуль): 8x10G (SFP/SFP+), 2x40G (QSFP+), 8x400G (QSFP-DD),
• поддержка StackWise Virtual.

Cisco Catalyst 9600/9600X (модульной конфигурации):

• шасси: 6 слотов,
• возможна установка двух супервизоров,
• до 6.4 Tbps на линейную карту, до 25.6 Tbps на все слоты,
• линейные карты: SFP+, SFP28, SFP56, QSFP+, QSFP28, QSFP-DD,
• поддержка StackWise Virtual.

Для коммутаторов Catalyst 2960X/2960XR в 2020 году объявлено окончание продаж. Cisco позиционирует коммутаторы 9200L/9200 как замена линейке 2960X/2960XR. Они сравнимы по своей базовой функциональности, а также ценовой политике.

Коммутаторы Catalyst 9200/9200L во всех отношениях имеют более современную аппаратную платформу, чем Catalyst 2960X/2960XR.

Аппаратная часть:

Catalyst 9200/9200L в своей работе использует операционную систему Cisco IOS-XE. Это обеспечивает поддержку таких технологий, как SD-Access, TrustSec, MACsec, чего раньше не было на коммутаторах Catalyst 2960X/2960XR.

Программное обеспечение:

Таким образом при выборе между 2960X или 9200L предпочтение лучше отдавать новым коммутаторам.

Все эти коммутаторы построены на базе семейства ASIC Cisco Cloud Scale. Отличие идёт на уровне непосредственно типа ASIC’а: пропускной способности, размеров буферов и функциональности.

Это две разные аппаратные платформы.

Аппаратной частью:

• возможностью подключения Cisco Redundant power system (RPS) 2300;
• поддержкой всего перечня SFP трансиверов (в т.ч. GLC-BX-D/U);
• поддержкой до 2-х портов 10 GE SFP+ (для ряда моделей);
• поддержкой PoE/PoE+ (для ряда моделей);
• возможностью стекирования - FlexStack Plus и FlexStack-Extended.

Программной частью:

• поддержкой статической маршрутизации (до 16 статических маршрутов);
• поддержка Policy-based Routing (PBR);
• поддержка динамической маршрутизации (IOS 15.2(6)E и выше): RIPv1/v2, OSPF for Routed Access (в том числе OSPFv3), PIM;
• поддержкой расширенных функций безопасности: возможность применять ACL на порт, IPSG, DAI, NAC;
• поддержкой до 255 VLAN для LAN Base и 64 для LAN Lite;
• поддержкой RSPAN;
• поддержкой расширенных функций QoS (ingress policing, AutoQoS и пр.).

Переход с LAN Lite на LAN Base и обратно невозможен.

Для коммутаторов 2960-L существует только вариант Lan Lite.

Это линейка исключительно L2-коммутаторов, без поддержки маршрутизации. Однако, для данных коммутаторов присущи и некоторые более продвинутые функции Lan Base, такие как:

• Port Access Lists (pACL);
• Функции безопасности: 802.1x, port security, DHCP snooping, dynamic ARP inspection (DAI);
• Продвинутый QoS. Появилась возможность перемаркировки CoS на основании IP-адресов и номеров портов из IP-заголовка. Также появилась поддержка Weighted Round Robin (WRR), Weighted Tail Drop (WTD).

IP Lite поддерживается только на коммутаторах 2960-XR. IP Lite включает все функции IP Base 2960-X.

Кроме этого он поддерживает дополнительные функции:

• Enhanced Interior Gateway Routing Protocol (EIGRP) stub
• RIPng, EIGRPv3 stub, PIMv6 stub
• Private VLAN (PVLAN)

Таким образом 2960-XR с IP Lite по функционалу напоминает коммутаторы 3000 (3650, 3850 и пр.) с IP Base.

Для коммутаторов Catalyst 9000 доступно два основных пакета:

• Network Essentials
• Network Advantage

Оба пакета являются постоянными лицензиями и не требуют продлений.

Network Essentials предоставляет базовую функциональность. Ближайшим аналогом является IP Base для коммутаторов серии Catalyst 3000.

Network Advantage предоставляет расширенную функциональность. Ближайшим аналогом является IP Services для коммутаторов серии Catalyst 3000.

Выбор пакета обусловлен требованиям к функциональности коммутаторов при его внедрении.

При начальном заказе оборудования к основному пакету обязательно приобретается подписка DNA (на 3, 5 или 7 лет):

• DNA Essentials для пакета Network Essentials
• DNA Advantage или DNA Premier для пакета Network Advantage

Подписка DNA обеспечивает:

• доступность технологий программно-определяемых сетей, расширенного мониторинга и безопасности,
• обновление программного обеспечения (IOS XE),
• возможность обращения в Cisco TAC для получения технической поддержки.

Более детальная информация, какая функциональность доступна с той или иной подпиской, можно найти на сайте вендора.

В качестве схемы лицензирования используется Smart Licensing.

Для коммутаторов Cisco Nexus 9000 доступно два варианта лицензирования: лицензионный пакет или лицензирование функциональности.

Лицензионный пакет может продаваться как постоянная лицензия, так и в виде подписки.

* поддерживаемый функционал может варьироваться в зависимости от платформы и версии ПО.

Лицензирование функциональности предполагает покупку лицензий на конкретный набор функций. Например, для поддержки работы протоколов динамической маршрутизации требуется Enterprise Services Package. С более подробным списком можно ознакомиться здесь.

Если для коммутаторов Cisco Nexus 9000 не приобретается никакая лицензия, то в базовой поставке доступен следующий L3-функционал:

• static routes, switch virtual interfaces (SVIs), Hot Standby Router Protocol (HSRP) и Routing Information Protocol (RIP).

10 Гбит/с по медному или оптическому кабелю

На данный момент подключение на скорости 10 Гбит/с возможно по витой паре, специализированному медному кабелю и оптическому каналу.

Подключение по витой паре - стандарт 10GBASE-T. Используется витая пара категории 6 (до 55 метров), 6a и 7 (до 100 метров). Такой тип подключения поддерживается на определённых моделях коммутаторов Cisco Catalyst и Nexus.

Для подключения каналов связи на скорости 10 Гбит/с по специализированному медному кабелю или оптическому каналу используются три типа трансиверов: XENPAK, X2, SFP+. Самый новый — SFP+. Трансиверы SFP+ обеспечивают передачу данных на скорости 10 Гбит/с по оптическим линиям связи (одномод и многомод), по специализированному медному (CU) или оптическому (AOC) кабелю. Для подключения устройств на небольших расстояниях (до 10м) используется готовый комплект с трансиверами с обеих сторон и напаянным в заводских условиях кабелем (так называемый DAC-кабель). Это самый дешевый вариант соединения устройств на скорости 10 Гбит/с. Например, партномера для заказа кабеля 10м — Cisco SFP-10G-AOC10M или Cisco SFP-H10GB-ACU10M.

Трансиверы типа Twinax с медным кабелем (слева) и AOC с интегрированным оптическим кабелем.

Трансиверы XENPAK и X2 — это первые трансиверы для 10 GE. Трансиверы XENPAK и X2 обеспечивают передачу данных на скорости 10 Gbps по оптическим линиям связи (одномод и многомод) и по специализированному медному проводу (CU). Но в отличие от SFP+ готового комплекта для передачи по медному проводу нет. Т.е. надо покупать отдельно трансиверы XENPAK-10GB-CX4 или X2-10GB-CX4 и отдельно провод CX4.

В X2 трансивер можно установить TwinGig и получить два порта SFP.

Все три типа трансиверов могут работать друг с другом. Единственно должны совпадать технологические параметры лазера или диода.

Multigigabit Ethernet

На текущий момент на рынке доступен стандарт IEEE 802.3bz, который позволяет передавать данные на скорости 2,5 и 5 Гбит/с по обычному медному кабелю 5e и 6 категории (витая пара). Также активно прорабатывается стандарт NBase-T, позволяющий передавать данные на скорости до 10 Гбит/с.

На оборудовании Cisco поддерживается технология Multigigabit Ethernet (mGig). Она позволяет передавать данные на скоростях 1, 2.5, 5 и 10 Гбит/с по витой паре (5е до 5 Гбит/с, 6/6e/7 до 10 Гбит/с). Multigigabit Ethernet доступен на коммутаторах Catalyst 3000, 4500E, 9000 и точках доступа Cisco Aironet 3800. Важной особенностью технологии является её совместимость со стандартными скоростями. К порту коммутатора mGig мы может подключать устройства, которые не поддерживают подключение на скорости 100 Мбти/с (100base-T), 1 Гбит/с (1000base-T) и 10 Гбит/с (10Gbase-T).

Более 10 Гбит/с (по оптике)

Оборудование Cisco поддерживает технологии передачи данных на скоростях:

• 25 Гбит/с (оптические трансиверы SFP28),
• 40 Гбит/с (оптические трансиверы QSFP),
• 100 Гбит/с (оптические трансиверы QSFP28, QSFP-100G, CPAK и CFP модули).

Доступны варианты с трансиверами и DAC-кабелями.

Такая возможность есть. Однако в этом случае достаточно сложно гарантировать работоспособность решения, так как никаких официальных документов по совместимости неродных трансиверов нет.

Если сервер производства компании Cisco (т.е. Cisco UCS), самый дешевый и простой вариант – использовать twinax-кабели (расстояние до 10 метров).

Если сервер производства другой компании, например, HPE, использовать twinax-кабели может не получится, так как совместимость никто из вендоров не гарантирует. В этом случае соединить устройства можно по меди (если и сервер, и коммутатор поддерживают порты 10GBASE-T) или по оптике. В случае оптического соединения необходимо будет приобрести трансиверы одинакового типа (например, 10G-SR) для каждого устройства отдельно. А также приобрести необходимый оптический патч-корд. К примеру, SFP+ имеют разъём типа LC, а трансивер типа 10G-SR работает по многомодовому волокну. В этом случае нам потребуется оптический многомодовый патч-корд с разъемами LC-LC.

Технология стекирования обеспечивает:

• единую точку управления всеми коммутаторами в стеке (management-plane), что упрощает администрирование устройств,
• агрегацию каналов, подключённых к разным сетевым устройствам (Multi-Chassis Link Aggregation - MC-LAG), за счёт единого control-plane.

MC-LAG в свою очередь позволяет:

• минимизировать использование в сети протоколов семейства Spanning Tree Protocols (STP),
• использовать агрегированную полосу пропускания,
• обеспечивать отказоустойчивое подключении устройств (ниже стоящих коммутаторов, сервер и пр.).

На оборудовании Cisco в зависимости от платформы используются следующие основные технологии стекирования коммутаторов Cisco Catalyst:

• StackWise;
• StackWise Plus;
• StackWise-80;
• StackWise-160;
• StackWise-320;
  
• StackWise-480;
• StackWise-1T;
• StackWise Virtual;
• FlexStack;
• FlexStack Plus;
• FlexStack Extended;
• Virtual Switching System (VSS).

Технология StackWise позволяет объединить в стек до 9 коммутаторов 3750 и 3750G. Для соединения используется специализированный стековый кабель, который идёт в комплекте с каждым коммутатором. При этом длина кабеля в комплекте всего 50 см, чего не достаточно для объединения большого количества коммутаторов распределённых по коммутационной стойке.

Стек представляет собой два кольца с пропускной способностью 16 Гбит/с каждое. Кольцо замыкается на коммутационную фабрику каждого коммутатора. Из-за этого пакет, попав на порт любого коммутатора стека, обязательно проходит через всё кольцо, даже если исходящий порт находится на том же коммутаторе, что и входящий. Такой алгоритм работы называется source stripped. Таким образом, объединяя коммутаторы в стек по технологии StackWise, общая пропускная способность стека не превысит 32 Гбит/с.

Технология StackWise Plus отличается то технологии StackWise тем, что в коммутаторах 3750E и 3750X добавлена выделенная коммутационная фабрика для стековых колец. Это позволяет делать локальную коммутацию пакетов без их появления в стековом кольце. Также это позволило использовать алгоритм destination stripped, при котором пакет сразу же удаляется из стекового кольца, как только он достиг коммутатора, на котором находятся исходящий порт. Данные новшества позволили увеличить общую пропускную способность стека до 64 Гбит/с.

Допускается использование в одном стеке любых коммутаторов серии 3750. В этом случае коммутаторы 3750E и 3750X, использующие технологию StackWise Plus будут работать по технологии StackWise. При этом коммутация пакетов между локальными портами будет осуществляться только внутри коммутатора 3750E или 3750X без появления в стековом кольце.

Технология StackWise-80 позволяет объединить в стек коммутаторы серии Cisco Catalyst 9200L. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-80 можно объединить до 8 коммутаторов. Пропускная способность стека – 80 Гбит/с. Стековый комплект для коммутаторов 9200L покупается отдельно.

Технология StackWise-160 позволяет объединить в стек коммутаторы серии Cisco Catalyst 3650 и 9200. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-160 можно объединить до 9 коммутаторов 3650 и до 8 коммутаторов 9200. Пропускная способность стека – 160 Гбит/с. Стековый комплект для коммутаторов 3650/9200 покупается отдельно. Между собой коммутаторы 3650 и 9200 не стекируются.

Технология StackWise-320 позволяет объединить в стек коммутаторы серии Cisco Catalyst 9300L. Алгоритмы работы заимствованы у технологии StackWise. На данный момент в стек StackWise-320 можно объединить до 8 коммутаторов. Пропускная способность стека – 320 Гбит/с. Стековый комплект для коммутаторов 9300L покупается отдельно.

Технология StackWise-480 позволяет объединить в стек коммутаторы Cisco Catalyst серии 3850 и 9300. Со старыми версиями (StackWise и StackWise Plus) данная технология не совместима, хотя частично алгоритмы работы заимствованы у технологии StackWise Plus. На данный момент в стек StackWise-480 можно объединить до 9 коммутаторов 3850 и до 8 коммутаторов 9300. Пропускная способность стека – 480 Гбит/с. Необходимо заменить, что добавлять коммутаторы в стек можно «на ходу», т.е. без отключения существующих. Так же в стеке StackWise-480 более совершенно организована синхронизация текущего состояния основного коммутатора с резервными, реализован полноценный SSO (позволяет передавать трафик в момент аварийного переключения).

Технология StackWise-1T позволяет объединить в стек коммутаторы Cisco Catalyst 9300X. StackWise-1T совместима с StackWise-480. В стек StackWise-1T можно объединить до 8 коммутаторов 9300X. Пропускная способность стека – 1 Тбит/с. Поддерживает SSO и горячее добавление коммутаторов.

Технология StackWise Virtual позволяет объединить в стек до двух коммутаторов Cisco Catalyst 3850-48-XS или 9500. С другими версиями StackWise данная технология не совместима. В качестве стековой шины используются обычные порты Ethernet (10 Гбит/с или 40 Гбит/с); до 4х портов. StackWise Virtual поддерживает SSO/NSF (переключение с сохранением состояния и передачей пакетов в момент переключения). Схема работы StackWise Virtual похожа на схему работы технологии VSS.

Технология FlexStack позволяет объединить в стек до 4-х коммутаторов 2960s. Для объединения коммутаторов используется специализированный кабель с пропускной способностью 10 Гбит/с (full duplex). Максимальная длинна кабеля – 3 метра. Стековый кабель работает на скорости 10 Гбит/с в каждую сторону (full duplex). Стековый модуль имеет два разъёма для подключения стекового кабеля. Поэтому Cisco Systems указывает, что общая пропускная способность стека, собранного по технологии FlexStack, составляет 40 Гбит/с.

Архитектура стека FlexStack отличается от StackWise Plus тем, что передача пакетов между коммутаторами стека происходит hop-by-hop, т.е. каждый коммутатор для каждого пакета определяет, куда его отправить (на обычный порт или на стековый порт). Такое взаимодействие напоминает работу нескольких коммутаторов, подключённых друг к другу по протоколу Ethernet. Отличие в том, что связь между коммутатора стека обеспечивает протокол FlexStack.

Технология FlexStack Plus является наследником технологии FlexStack. FlexStack Plus увеличивает пропускную способность между коммутаторами стека в два раза по сравнению с FlexStack. Теперь пропускная способность составляет 40 Гбит/с при использовании одного интерфейса стекового модуля на каждом коммутаторе, и 80 Гбит/с, при объединении в кольцо (по два стековых порта на каждом коммутаторе). Технология FlexStack Plus позволяет объединять до восьми коммутаторов 2960-X или 2960-XR в стек. Максимальная длина стекового кабеля – 3 метра.

Технология FlexStack Plus обратно совместима с FlexStack. В один стек можно объединять 2960-S и 2960-Х, но при этом будет работать FlexStack: не более четырёх коммутаторов в стеке, пропускная способность стека до 40 Мбит/с. Коммутаторы 2960-XR нельзя объединять в стек ни с 2960-S, ни с 2960-Х. Эта линейка коммутаторов стекируется исключительно между собой.

Технология FlexStack Extended следующее развитии FlexStack. Позволяет объединять в стек территориально разнесённые коммутаторы 2960-Х или 2960-ХR. Это обеспечивается тем, что FlexStack Extended может использовать для стекирования оптические линии. Стековый модуль FlexStack Extended имеет разъём(ы) SFP+ (в C2960X-HYBRID-STK – один, в C2960X-FIBER-STK - два). Используются стандартные SFP+ трансиверы или DAC-кабели. Правда из-за этого пропускная способность снизилась до 40 Гбит/с (при объединении в кольцо). Максимальное количество коммутаторов осталось прежним – 8 штук.

Технология Virtual Switching System (VSS) позволяет объединить в стек два коммутатора серии 4500, 6500 или 6800. Если быть более точными, VSS — это технология виртуализации коммутаторов. Главным отличием является то, что в качестве среды для связи коммутаторов между собой используется Ethernet. Таким образом, коммутаторы можно разнести между собой на расстояние до 40 км. Оба коммутатора являются активными и обеспечивают передачу пакетов. При этом управление происходит на одном из устройств. Другими словами, уровень обработка данных (data plane) и коммутационная фабрика (switch fabric) активны на обоих устройствах. А вот уровень управления (control plane) только на одном. При этом постоянно происходит репликация управляющих данных с одного коммутатора на другой, что обеспечивает быстрое время восстановления в случае отказа. Общая производительность системы в этом случае увеличивается до 1600 Гбит/с для коммутаторов серии 4500 и до 4000 Гбит/с для коммутаторов серии 6500 с супервизором Supervisor Engine 2T. Пропускная способность между коммутаторами может быть до 80 Гбит/с при агрегировании 8 каналов 10 Гбит/с. При агрегировании портов 40 Гбит/с пропускная способность может быть выше.

Сравнительная таблица технологий стекирования/кластеризации:

Нет, не поддерживается.

Стекирование предполагает общий control-plane и management-plane. А это возможная точка отказа. Хоть аппаратные ресурсы коммутаторов независимы, существуют сбои (не связанные с железом), при которых стек коммутатор может перестать корректно функционировать. Например, в случае, если contrl-plane «зависнет» из-за утечки оперативной памяти.

Коммутаторы Nexus позиционируются как решение для сред (в первую очередь ЦОД'ов), где отказоустойчивость стоит на одном из первых мест. Поэтому на этих устройствах стекирование отсутствует.

Для реализации функций MC-LAG используется технология vPC. В этом случае каждый коммутатор Nexus имеет свой независимый control-plane/management-plane. При этом мы можем агрегировать каналы, распределённые между двумя коммутаторам. Такая схема даёт большую надёжность, так как даже если и произойдёт сбой в работе vPC, он будет менее фатален на инфраструктуры.

Отсутствие стекирования в плане управления компенсируется за счёт:

• Использования выносных расширителей Nexus (Fabric Extender - FEX). Это специализированные коммутаторы, в которых функции control-plane/management-plane вынесены на основной (родительский) коммутатор.
• Возможности синхронизации конфигурации между двумя коммутаторами (Configuration Synchronization). В этом случае control-plane/management-plane остаются независимыми.

Это возможно, если коммутаторы, к которым производится подключение, объединены в стек или кластер. Например, это могут быть коммутаторы Cisco Catalyst серий 2960-S, 2960-SF, 2960-X, 2960-XR, 3750X, 3850, 4500-X, 4500-E, 6500, 6800, 9300 и 9500. Также агрегация каналов возможна при использовании технологии vPC доступной на коммутаторах семейства Nexus. В этом случае коммутаторы не объединяются в стек, но благодаря vPC порты на разных коммутаторах Nexus можно объединить в одну группу. Кроме vPC на коммутаторах Nexus поддерживается технология vPC+. Она позволяет агрегировать порты подключённые к коммутаторам Nexus в рамках Cisco FabricPath.

Большая часть оборудования Cisco среднего и верхнего сегмента позволяет установить два блока питания с резервированием и возможностью горячей замены. Это серии маршрутизаторов 3800/3900, 4400, 7200, 7600, ASR 1000 и другие. Коммутаторы 2960-XR, 3560-X, 3750-X, 3850, 4500, 6500, nexus 5000, nexus 7000. ASA 5580, а также ASA серии 5500-X начиная с 5525-X.

Маршрутизатора 2811, 2821, 2851 и 3825, а также серии коммутаторов Catalyst Express 500, 2950, 2960, 2960-S, 2960+, 2960X, 3560-E, 3750-E поддерживают систему резервирования питания Cisco RPS 2300. Маршрутизаторы при этом должны быть оснащены RPS коннектором. Когда встроенный блок питания перестает питать устройство, система RPS 2300 начинает функционировать как внешний резервный блок питания.

Автоматическое обратное переключение после устранения неисправности, а также продвинутые функции управления системой RPS доступны только при использовании ее с коммутаторами серий 3560-E и 3750-E. RPS 2300 способен поддерживать резервное питание для одного или двух маршрутизаторов/коммутаторов одновременно. Всего можно подключить до 6-ти устройств.

Кроме того, коммутаторы 3750-X и 3850 можно объединить в с стек по питанию Cisco StackPower. В этом случае выход из строя даже двух блоков питания на одном коммутаторе не приведет к его отключению. Важно отметить, что данная система полностью совместима с технологией PoE и позволяет перераспределить питание, если на одном коммутаторе будут перегружены его собственные блоки питания. Объединить в кольцо можно до четырех коммутаторов 3750-X.

До 9-ти коммутаторов 3750-X и/или 3560-X позволяет объединить система XPS 2200. Эта система объединяет мощности всех блоков питания в единый общий пул, так же как и в предыдущем случае. Второй режим работы – из общего пула исключается мощность самого мощного блока питания. Хотя система XPS 2200 позволяет установить 2 блока питания (также как и RPS 2300), их установка является опциональной.

RPS 2300 – устройство, которое работает, как «а ля» второй блок питания для коммутаторов (2960, 3560, 3750 и т.д.) и маршрутизаторов (2811, 2821, 2851, 3825), только внешний.

К одному шасси RPS 2300 можно подключить до 6 устройств. В шасси RPS2300 можно поставить один или два блока питания.

Например, мы подключили 6 коммутаторов Cisco к RPS 2300 с одним блоком питания. В нормальном состоянии все коммутаторы работают, используя свой собственный блок питания. Но если он откажет (например, сгорит), то коммутатор продолжит работать от блока питания, установленного в RPS 2300. Если откажут блоки питания в двух или более коммутаторах, RPS 2300 с одним блоком питания сможет обеспечить работу только одного устройства. Соответственно RPS 2300 с двумя блоками питания сможет обеспечить работу двух устройств.

RPS 2300 не поддерживает коммутаторы 3560X и 3750X.

XPS 2200 является аналогом RPS 2300 для коммутаторов 3560X и 3750X. Ключевым отличием является то, что данное устройство поддерживает умное распределение питания. В XPS 2200 можно подключить до 9-ти коммутаторов 3560X или 3750X. XPS 2200 так же как и RPS 2300 позволяет поставить два дополнительных блока питания. Однако XPS 2200 способен работать вовсе без них, питаясь от блоков питания, установленных в коммутаторах. Всего XPS 2200 поддерживает 3 режима:

• Режим общей нагрузки (аналогично кольцу StackPower из 4х коммутаторов 3750X).
• Режим отказоустойчивости – когда в бюджет питания не включаются ватты самого мощного блока питания, при этом можно задать приоритеты для коммутаторов в случае нескольких сбоев.
• Режим RPS – используется коммутаторами 3560X, которые не поддерживают другие режимы. Аналогичен RPS 2300 по логике работы, может использоваться в комбинации с другими режимами, если требуется одновременно питать коммутаторы разных серий - 3750X и 3560X.

XPS 2200 не имеет порта Ethernet или консольного порта. Данные передаются через кабели питания XPS, которыми система подключается к коммутаторам, поэтому она может быть настроена из консоли любого коммутатора.

RPS 2300

XPS 2200

Схема подключения коммутаторов к RPS/XPS

На данный момент в зависимости от платформы поддерживается пять технологий:

• Inline Power (поддержка на старых коммутаторах Cisco);
• Power over Ethernet (PoE);
• Power over Ethernet Plus (PoE+);
• Universal Power Over Ethernet (UPOE);
• Universal Power Over Ethernet Plus (UPOE+).

• Cisco 880 – нельзя;
• Cisco 891 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-890-RM-19);
• Cisco 900 – можно для моделей C921-4P/C931-4P/C921-4PLTEXX, комплект для монтажа в стойку приобретается отдельно (ACS-900-RM-19);
• Cisco 1100 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-1100-RM-19);
• Cisco 4000 – можно, «уши» идут в комплекте.

Маршрутизаторы Cisco ISR 4000 Series были выпущены на замену серии маршрутизаторов Cisco ISR G2 2900, 3900 (на данные модели объявлен EoS).

Основные отличия новых маршрутизаторов:

• Более производительные (за счёт многоядерной архитектуры); производительность не деградирует при включении сервисов (NAT, ZFW и пр.);
• Возможность увеличения производительности ключом активации. Например, было 50Мбит/с, ввели ключ, получили 100 Мбит/с;
• Виртуализация приложений – можно запускать различные приложения (например, WAAS, Snort и пр.) на базе маршрутизатора без потери в производительности и дополнительных модулей;
• Платформа оптимизирована для использования технологи iWAN (Intelligent WAN);
• Маршрутизаторы поддерживают новые форм-факторы модулей. Например, вместо EHWIC используется NIM;
• Модульное программное обеспечение Universal IOS XE.

Схема соответствия между новыми маршрутизаторами ISR 4000 Series и маршрутизаторами ISR G2:

Схема лицензирования новых маршрутизаторов полностью совпадает со схемой лицензирования маршрутизаторов ISR G2 2900/3900.

Catalyst 8000 – новые маршрутизаторы компании Cisco (ноябрь 2020). Они представлены тремя линейками: Catalyst 8200, 8300 и 8500. Платформы построены на базе IOS XE. Основное отличие – аппаратная часть: в Catalyst 8200/8300 для обработки трафика используются современные многоядерные процессоры x86, в 8500 – Cisco QFP 3.0. Производительность устройств существенно повышена по сравнению с более старыми маршрутизаторами вендора. Также обеспечена поддержка широкого спектра портов: 1/10/40/100G.

Данные маршрутизаторы могут использоваться, как в формате отдельных устройств, так и в составе фабрики SD-WAN.

Catalyst 8200/8300 в плане ценовой политики наиболее близки к ISR 4300/4400. При этом предоставляют большую производительность.

Catalyst 8500 наиболее близки к маршрутизаторам ASR 1000. Аналогично, предлагая улучшенные технические характеристики.

Схема лицензирования маршрутизаторов Catalyst 8000 одна – подписки DNA. На момент приобретения подписка DNA является обязательной. В дальнейшем её можно не продлевать, если требуемая функциональность покрывается бессрочным пакетом Network Essentials или Advantage.

На маршрутизаторах Cisco ISR 4000 на данный момент (май 2019) не удастся настроить доступные ранее (на ISR G1/G2):

• SSL VPN (в том числе для подключения через клиент Anyconnect);
• VXML скрипты, например, для реализации функций авто-секретаря;
• функции межсетевого экранирования на базе технологии CBAC. При этом есть поддержка ZBF.

Cisco ISR4xx представляют собой модульные маршрутизаторы с возможностью установки дополнительных интерфейсов в базовое шасси. Среди таких интерфейсов есть Ethernet Routed-Port, Wireless WAN (3G, 4G), T1, E1 and G.703, Serial WAN, Async WAN, ISDN и др. Также эта серия поддерживает голосовые функции и модули, и может выполнять функции голосового шлюза или АТС.

Серия Cisco ISR11xx представляет собой немодульные модели маршрутизаторов без голосовых функций.

Схема лицензирования IOS для ISR 900 следующая:

IP Base – базовые функции маршрутизации (Routing protocols, ACL, NAT, QoS и пр.); в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.
SEC – включает функции безопасности: межсетевой экран и VPN (IPsec, DMVPN и пр.). Скорость шифрования до 150 Мбит/с для ISR 920 и до 250 Мбит/с для ISR 930. 
APP – лицензия Application Experience, активирует поддержку следующих функций: L2TPv3, MPLS, PfRv3, NBAR2, AVC, IPSLA Initiator, LISP, VPLS, Ethernet over MPLS.

Замечания:

• Существует специальный IOS с убранными функциями шифрования вообще. В его название идет аббревиатура NPE – Non Payload Encryption;
• Для IOS NPE не подходит стандартная лицензия Security. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию Security NPE (SEC-NPE).

Маршрутизаторы ISR 900 не поддерживаются в архитектурах SD-Access и SD-WAN.

До версии Cisco IOS XE 17.2.1 для маршрутизаторов Cisco ISR 1000 существовало два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN). Начиная с версии 17.2.1 образ операционной системы единый.

Лицензирование маршрутизатора может быть реализовано двумя схемами:

• классическая схема лицензирования,
• схема лицензирования на основе подписок DNA.

Классическая схема лицензирования

• Существует специальный IOS с убранными функциями шифрования вообще. В его название идет аббревиатура NPE – Non Payload Encryption;
• Для IOS NPE не подходит стандартная лицензия Security. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию Security NPE (SEC-NPE).

Схема лицензирования на основе подписок DNA

Данная схема лицензирования используется при подключении сетевого оборудования к решению Cisco DNA Center или же vManage. Более подробно она рассмотрена в вопросе «Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?».

До версии Cisco IOS XE 17.2.1 для маршрутизаторов Cisco ISR 4000 существовало два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN). Начиная с версии 17.2.1 образ операционной системы единый.

Лицензирование маршрутизатора может быть реализовано двумя схемами:

• классическая схема лицензирования,
• схема лицензирования на основе подписок DNA.

IP Base – только функции маршрутизации; в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.

SEC (Security) – включает функции безопасности: межсетевой экран и VPN (IPSec, DMVPN и пр.).

UC (Unified Communications) – функций передачи голоса (кроме ISR 4221).

AppX – лицензия Application Experience включает поддержку следующих технологий:

• WaaS (Wide Area Application Services) - оптимизация каналов связи между офисами.
• AVC (Application Visibility and Control) совместно с NBAR2 - распознавание приложений.
• Cisco Performance Routing (PfRv3) - интеллектуальное распределение трафика приложений по существующим каналам связи.
• Overlay-технологии: LISP, OTV, VPLS, EoMPLS.
• Другие технологии: IP SLA, L2TPv3, MPLS, Akamai Connect.

Используется один универсальный образ ПО IOS XE. Каждый тип функционала IOS открывается отдельной лицензией. IP Base идет в базовой поставке.

Замечания:

• Существует специальный IOS с убранными функциями шифрования. В его названии идет аббревиатура NPE – Non Payload Encryption;
• Для IOS NPE не подходит стандартная лицензия SEC. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию SEC-NPE. Все остальные лицензии (UC и AppX) могут быть использованы для IOS NPE без ограничений.
• HSEC позволяет снять ограничение SEC лицензии: 250 Мбит/с шифрования и 1000 туннелей (для версии 16.8.1 и выше).
• Часть функций, например, CUCMe, CUBE, SSL VPN и пр. лицензируются отдельно.
• Для маршрутизаторов существует бандл AX. Этот бандл включает в себя лицензии AppX и SEC.
• Для ISR 4000 существуют лицензии Performance и Booster Performance, которые программно увеличивают производительность устройства.

Схема лицензирования на основе подписок DNA

Данная схема лицензирования используется при подключении сетевого оборудования к решению Cisco DNA Center или же vManage. Более подробно она рассмотрена в вопросе «Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?».

Данная схема лицензирования обычно используется при управлении маршрутизатором Cisco такими решениями, как Cisco DNA Center или же vManage (SD-WAN). Также подписка DNA является обязательной для маршрутизаторов Catalyst 8000, даже если они работают в автономном режиме (не подключены к какому-либо контроллеру).

Cisco DNA Center – контролер, отвечающий за централизованное управление, автоматизацию, аналитику и безопасность внутри корпоративной сети. vManage – контролер, отвечающий за централизованное управление в рамках архитектуры SD-WAN.

Доступно три вида подписок: Cisco DNA Essentials, Cisco DNA Advantage и Cisco DNA Premier.

Функциональность для каждого вида подписки зависит от того, какое решение будет использоваться для управления маршрутизатором:

• автономный режим,
• Cisco DNA Center,
• vManage (SD-WAN).

Кроме подписки обязательно лицензируется требуемая общая пропускная способность маршрутизатора (bandwidth):

• для решения SD-WAN - общая пропускная способность для любого типа трафика (IPSec, GRE, нешифрованный трафик),
• для автономного режима/Cisco DNA Center - общая пропускная способность для шифрованного IPSec трафика.

Например, если маршрутизатор подключен к двум провайдерам на скорости 50 Мбит/с и 100 Мбит/с, нам потребуется подписка bandwidth на 50*2+100*2=300 Мбит/с.

Для снятия ограничения в 1000 туннелей и производительности шифрования не более 250 Мбит/с требуется заказ лицензии HSEC.

В случае, если на маршрутизаторе нет шифрования (работает в автономном режиме или подключен к DNA Center), то покупается минимальная подписка на bandwidth. В случае Catalyst 8000 – это подписка Tier 0.

Управление через Cisco DNA Center или при работе в автономном режиме*:
* полный и актуальный список сервисов доступен на интерактивной схеме лицензирования на сайте Cisco.

Нажмите, чтобы увеличить изображение

Пакеты Network Essentials/Network Advantage входят в подписки Cisco DNA Essentials/Cisco DNA Advantage. Данные пакеты являются бессрочными.

Важно заметить, что маршрутизатор не обязательно подключать к Cisco DNA Center. В этом случае на маршрутизаторе будут доступны технологии из пакетов Network Essentials/Network Advantage, а также ряд технологий из подписочной части, к-е работают без Cisco DNA Center. Например, AVC или Flexible Netflow.

Управление через Cisco vManage (SD-WAN)*:
* полный и актуальный список сервисов доступен на интерактивной схеме лицензирования на сайте Cisco.

Подписка Cisco DNA Premier

Cisco DNA Premier кроме функционала Cisco DNA Advantage включает в себя:

• Cisco Umbrella SIG Essentials
• Cisco Threat Grid

Интерактивная схема лицензирования доступна на сайте Cisco.

Нет. Для работы IP SLA технически необходима одна из лицензий SEC, SECNPE, UC или AppX. Официально использовать IP SLA можно только при наличии лицензии AppX.

Средняя производительность маршрутизаторов Cisco ISR G2 с включенными сервисами представлена на диаграмме:

*данные приведены для автономного режима работы (non SD-WAN)

Пропускная способность маршрутизаторов Cisco ISR 4000 представлена на диаграмме. Включение различных сервисов на маршрутизаторах ISR 4000 не приводит к существенной деградации пропускной способности в связи с новой архитектурой (операционная система IOS XE, многоядерные процессоры и пр.).

Производительность маршрутизаторов Cisco Catalyst 8000 для разных режимов работы приведена в таблице ниже:

IMIX – средняя длинна пакетов 352 байт.

IPSec (1400 byte) – производительность при шифрования IPSec при работе в автономном режиме, длина пакетов 1400 байт.

IPv4 forwarding – производительность чистой маршрутизации при работе в автономном режиме, длина пакетов 1400 байт.

На большинство моделей коммутаторов 3850 и 3650 объявлен EoS. Такие модели уже не продаются, либо их продажа прекратится в ближайшее время. В качестве замены идут коммутаторы Catalyst 9000.

Основные характеристики:

1. Элементная база
   Архитектура коммутаторов 3650 и 3850 построена на новой универсальной элементной базе (Unified Access Data Plane). Это позволяет на базе коммутатора запускать различные сервисы.
2. Производительность коммутационной фабрики 3650 и 3850:
   • до 176 Gbps для 3650*
   • до 1280 Gbps для 3850*
   * Производительность варьируется в зависимости от модели коммутатора
3. Основные порты в коммутаторах 3650 - 10/100/1000 Мбит/с. Коммутаторы 3850 доступны в следующих вариантах основных портов:
   • медные порты 10/100/1000 Мбит/с (24, 48);
   • порты SFP (12, 24);
   • порты SFP+ (12, 24, 48);
   • медные порты Multigigabit 100Mbps/1/2.5/5/10 Gbps (24, 48).
4. Технология стекирования
   3650 и 3850 поддерживают стек по шине данных:
   • 3650 - Cisco StackWise-160 (160 Гбит/с пропускная способность стека, стековый комплект покупается отдельно)
   • 3850 - Cisco StackWise-480 (480 Гбит/с пропускная способность стека, стековый комплект встроен в коммутатор)
   В стек могут быть объединены до 9 коммутаторов.
   Коммутаторы 3850 поддерживают стек по питанию (StackPower). В стек могут быть объединены до 4-х устройств. Коммутатор 3850 с 48-ю портами SPF+ (WS-C3850-48XS) не имеет поддержки стека.
5. Uplink порты
   Uplink порты в коммутаторах 3650 фиксированы и зависят от конкретной модели. Бывают модели со следующими Uplink портами: до 4-х SFP, 2 SFP+ и 2 SFP, 4 SFP+.
   В коммутаторах 3850 Uplink порты представлены в виде модулей. Доступны следующие варианты:
   • C3850-NM-4-1G — для установки до 4-х SFP
   • C3850-NM-2-10G — для установки 2-х SFP+ и 2-х SFP
   • C3850-NM-4-10G — для установки 2-х SFP+
   • C3850-NM-8-10G — для установки 8-ми SFP+
   • C3850-NM-2-40G — для установки 2-x QSFP+ (40 Гбит/с)
   Необходимо заменить, что данные модули поддерживаются не во всех моделях линейки коммутаторов 3850.
6. Блоки питания
   Оба коммутатора поддерживают установку двух блоков питания.
7. Лицензирование - для серий коммутаторов 3650 и 3850 существует три набора функций:
   • LAN Base — расширенные функции L2, статическая маршрутизация;
   • IP Base — расширенные функции L2 и базовая маршрутизация (статическая маршрутизация, RIP, stub EIGRP, OSPF for routed access), беспроводные сервисы;
   • IP Services — расширенные функции L2 и L3, беспроводные сервисы.
8. Поддержка сервисов беспроводной сети
   Коммутаторы 3650 и 3850 могут работать как контроллер беспроводной сети в двух режимах (Mobility agent - MA и Mobility controller - MC):
   • 3650 – до 25 точек доступа на стек
   • 3850 – до 50 точек доступа на стек
   Точки доступа должны быть подключены напрямую в коммутатор.
9. Поддержка протокола Flexible NetFlow (FNF) для получения данных по трафику на всех портах коммутатора.

Существует три набора функций:

• LAN Base — расширенные функции L2, статическая маршрутизация;
• IP Base — расширенные функции L2 и базовая маршрутизация (статическая маршрутизация, RIP, stub EIGRP, OSPF for Routed Access);
• IP Services — расширенные функции L2 и L3.

Сравнительная таблица программного обеспечения:

Для всей линейки коммутаторов 2960 LAN Lite и LAN Base – это две разные аппаратные платформы.

Аппаратной частью:

• возможностью подключения Cisco Redundant power system (RPS) 2300 (для ряда моделей);
• поддержкой до 4-х портов SFP (для ряда моделей);
• поддержкой всего перечня SFP трансиверов (в т.ч. GLC-BX-D/U);
• поддержкой до 2-х портов 10 GE SFP+ (для ряда моделей 2960-S);
• поддержкой PoE/PoE+ (для ряда моделей 2960-S/SF);
• возможностью стекирования - FlexStack (для моделей 2960-S/SF).

Программной частью:

• поддержкой статической маршрутизации (до 16 статических маршрутов);
• поддержкой расширенных функций безопасности: возможность применять ACL на порт, IPSG, DAI, NAC;
• поддержкой до 255 VLAN для LAN Base и 64 для LAN Lite;
• поддержкой RSPAN;
• поддержкой расширенных функций QoS (ingress policing, AutoQoS и пр.).

Переход с LAN Lite на LAN Base и обратно невозможен.

Большая часть линеек коммутаторов Cisco 3560 сняты c продаж (для 3560X дата окончания продаж 30 октября 2016). Из линейки 3560 остались только компактные коммутаторы 3560-CX. В качестве замены рекомендуется рассматривать коммутаторы Cisco 3650.

Основные отличия:

1. Производительность коммутационной фабрики устройства:
   • 3560V2 – до 32 Gbps;
   • 3560G – до 32 Gbps;
   • 3560E – до 160 Gbps;
   • 3560X – до 160 Gbps.
2. Коммутаторы 3560V2 имеют основные порты 10/100 Мбит/с.
3. Коммутаторы 3560G, 3560E и 3560X имеют основные порты 10/100/1000 Мбит/с.
4. Коммутаторы 3560E поддерживают трансиверы X2 10 Гбит/с (до двух).
5. Коммутаторы 3560X поддерживают трансиверы SFP+ 10 Гбит/с (до двух). Для установки таких трансиверов необходимо приобрести отдельный модуль (C3KX-NM-10G=).
6. Для подключения к коммутатору SPF или SFP+ трансиверов необходимо докупать отдельно модули:
   • C3KX-NM-1G — для установки до четырёх SFP;
   • C3KX-NM-10G — для установки двух SFP и двух SFP/SFP+ (не поддерживается GLC-T);
   • C3KX-NM-10GT — два порта 10 Гбит/с по меди;
   • C3KX-SM-10G — сервисный модуль с двумя портами SFP+ и поддержкой Netflow и MACsec шифрованием.
   В коммутатор можно установить один такой модуль.
7. В коммутатор 3560X можно установить два блока питания. По умолчанию идет один.
8. На коммутаторах 3560X следующая схема лицензирования программного обеспечения. Существует три набора функций LAN Base, IP Base и IP Services.

Коммутаторы Cisco 3560X

Все линейки коммутаторов Cisco 3750 сняты c продаж (для 3750X дата окончания продаж 30 октября 2016). В качестве замены рекомендуется рассматривать коммутаторы Cisco 3850.

Данная серия отличается от серии 3560 тем, что она поддерживает стекирование (как по шине передачи данных, так и по питанию).

Cisco 3750X, объединённые в стек

Основные отличия:

1. Производительность коммутационной фабрики устройства:

• 3750V2 – до 32 Gbps;
• 3750G – до 32 Gbps;
• 3750E – до 160 Gbps;
• 3750X – до 160 Gbps.

2. Коммутаторы 3750V2 имеют основные порты 10/100 Мбит/с.

3. Коммутаторы 3750G, 3750E и 3750X имеют основные порты 10/100/1000 Мбит/с.

4. Коммутаторы 3750E и 3750X поддерживают более совершенную (производительную) технологию стекирования Cisco StackWise Plus:

• Стековая шина для 3750V2/3750G (Cisco StackWise) – 32 Гбит/с;
• Стековая шина для 3750E/3750X (Cisco StackWise Plus) – 64 Гбит/с;
• У коммутаторов 3750E и 3750X более совершенные алгоритмы работы стека:

5. В стек можно объединять разные модели коммутаторов, например, 3750E и 3750X. Объединяться в стек могут до 9 коммутаторов. Следует отметить, что если в один стек объединить коммутаторы 3750V2/3750G и 3750E/3750X стек будет работать на скорости 32 Гбит/с. Для коммутаторов 3750X объединение в один стек коммутаторов с ПО LAN Base и IP Base/IP Services не возможно.

6. Коммутаторы 3750E поддерживают трансиверы X2 10 Гбит/с (до двух).

X2 трансивер

7. Коммутаторы 3750X поддерживают трансиверы SFP+ 10 Гбит/с (до двух). Для установки таких трансиверов необходимо приобрести отдельный модуль (C3KX-NM-10G=).

8. Для подключения к коммутатору SPF или SFP+ трансиверов необходимо докупать отдельно модули:

• C3KX-NM-1G — для установки до 4-х SFP
• C3KX-NM-10G — для установки 2-х SFP+
• C3KX-NM-10GT — два порта 10 Гбит/с по меде
• C3KX-SM-10G — сервисный модуль с двумя портами SFP+ и поддержкой Netflow и MACsec шифрованием.

В коммутатор можно установить один такой модуль.

Модуль 4 SFP (C3KX-NM-1G=)

9. В коммутатор 3750X можно установить два блока питания. По умолчанию идет один.

Блоки питания для 3750X

10. Коммутаторы 3750X поддерживают стекирование по питанию. Встроенными средствами можно объединить в стек по питанию StackPower до 4-х коммутаторов. До 9-ти коммутаторов позволяет объединить система XPS 2200. Существует два режима работы: отказоустойчивый и общее использование питания. В обоих режимах мощности всех блоков питания объединяются и распределяются между всеми коммутаторами. «Свободные» ватты формируют общий бюджет питания. Основное отличие режимов в том, что в отказоустойчивом режиме в общий бюджет питания не включаются ватты самого мощного блока питания. Эта мощность резервируется и используется после сбоя одного из блоков питания, позволяя сети продолжить работу без прерывания. В режиме общего распределения может оказаться так, что общий бюджет израсходован, например, на подключение дополнительных PoE устройств, и в случае отказа одного из блоков питания, мощностей его компенсировать уже не будет. Для создания такого стека используются кабели CAB-SPWR-30CM (для коммутаторов IP Base/IP Services идёт в комплекте) или CAB-SPWR-150CM.Поддержка StackPower для коммутаторов LAN Base появилась начиная с релиза 15.0(2)SE и выше.

Стекирование питания для 3750X

11. На коммутаторах 3750V2, 3750G и 3750E схема лицензирования включает два набора функций: IP Base и IP Services. На коммутаторах 3750X схема лицензирования включает три набора функций: LAN Base, IP Base и IP Services.

Enhanced Image более продвинутый в качестве набора функций. В Enhanced Image в отличие от Standard Image есть следующее:

• Поддержка динамических протоколов маршрутизации OSPF, EIGRP, BGPv4;
• Policy-based Routing (PBR) — возможность гибкой настройки локальных правил маршрутизации трафика;
• Private VLAN (PVLAN) — поддержка функции частных VLAN-ов, которая позволяет сегментировать доступ между хостами в рамках одного VLAN;
• Поддержка динамических протоколов маршрутизации multicast-трафика PIM и DVMRP.

Для серий коммутаторов 3560E/3750E схема лицензирования совпадает со схемой для ISR G2. Т.е. существует универсальный IOS, а функционал (IP Base или IP Services) открывается по средствам активации лицензий.

Контроллер беспроводной сети позволяет организовать централизованное управление точками доступа, в том числе, установленных в филиалах. Это позволяет:

1. Упростить эксплуатацию беспроводной сети: очень просто добавлять новые точки доступа, вносить изменения, мониторить, выявлять неисправности. Все происходит из единой консоли. Не надо по десть раз настраивать одну и ту же функцию на всех точках доступа.
2. Получить бесшовный роуминг — при переходе беспроводного абонента с одной точки доступа на другу связь не рвется.
3. Отказоустойчивость за счет перераспределения мощности сигнала на точках доступа (механизм автоматического управления радио средой).
4. Предотвращение влияния точек доступа друг на друга (механизм автоматического управления радио средой).
5. Поиск нелегальных точек доступа в сети.
6. Возможность на базе такого решения внедрения расширенных сервисов, например, определения местоположения беспроводного абонента.
7. Гостевые сервисы.

Контроллер беспроводной сети Cisco Catalyst 9800-L

Контроллер беспроводной сети может быть выполнен в виде:

• отдельного устройства (например, 9800-L, 9800-40 пр.);
• виртуальной машины (9800-CL) у заказчика или в облаке;
• встроенного функционала в коммутатор Catalyst 9300-9500;
• на точке доступа 9100 (EWC).

Wi-Fi 6 – это программа сертификации устройств на соответствие новому стандарту беспроводной связи 802.11ax. То есть надпись на коробке «Wi-Fi 6 Certified» говорит о том, что устройство протестировано и поддерживает ключевые функции стандарта 802.11ax (те, что прописаны в сертификации). Новое цифровое обозначение более удобно для отображения «поколений» устройств. Для обозначения соответствия другим (предыдущим) стандартам-поколениям придумана аналогичная нумерация: 802.11n – Wi-Fi 4, 802.11ac – Wi-Fi 5. Например, по значку в интерфейсе можно сразу определить какое поколение Wi-Fi используется на устройстве.

Далее мы используем обозначения сертификации (например, Wi-Fi 6) и стандарта (например,802.11ax) как синонимы, хотя это не совсем верно (устройства Wi-Fi 6 могут не поддерживать какие-то функции стандарта 802.11ax).

Стандарт 802.11ax похож на 802.11ac, но поддерживает несколько технологий и улучшений, в основном направленных на улучшение качества работы сети, её эффективность за счет одновременной работы с несколькими абонентами, более эффективного использования эфира.

Поддержка OFDMA (множественный доступ с ортогональным частотным разделением). Позволяет использовать полосу пропускания для передачи нескольким пользователям (разделив её на поднесущие для разных пользователей). Ранее канал передачи использовался только одним пользователем (OFDM). Режим MU-MIMO обеспечивал передачу нескольких потоков разным пользователям одновременно, то есть тоже решал задачу одновременной передачи информации, но другим способом. В Wi-Fi 6 обе технологии будут работать совместно.

Модуляция 1024-QAM. Позволяет передать больше информации в единицу времени (то есть увеличивает пропускную способность сети).

BSS Coloring. Позволяет более эффективно использовать среду передачи (передавать трафик одновременно с другими «соседними» точками доступа на канале).

TWT (target wakeup time). Экономия энергии для устройств IoT за счёт нового механизма «пробуждения» устройств. 

2.4 ГГц. В отличие от 802.11ac (Wi-Fi 5), который работает только в диапазоне 5ГГц, 802.11ax (Wi-Fi 6) поддерживает диапазон 2.4 ГГц. Стандарт полностью совместим с предыдущими стандартами – 802.11a/g/n/ac.

Вкратце, отличия  Wi-Fi 4, 5, 6 друг от друга по ключевым параметрам представлены в таблице.

Wi-Fi 6E это расширение стандарта Wi-Fi 6 в диапазоне 6 ГГц. То есть это не новый стандарт, все его улучшения\технологии аналогичны Wi-Fi 6, но работают в диапазоне 6 ГГц.

Ранее диапазон 6 ГГц не использовался для Wi-Fi, поэтому в нем могут работать только устройства 6Е, совместимости с устройствами предыдущих стандартов нет. Однако, это является плюсом, так как устройствам разных стандартов не нужно "договариваться" о передаче данных в общей среде, в сети работают устройства только одного (самого современного) стандарта.

По сравнению с другими диапазонами, в 6 ГГц выделена широкая полоса, что позволяет использовать больше каналов ( в т.ч. «широких» - 80 и 160 МГц).

При планировании сети Wi-Fi 6E следует учитывать, что радиус действия в диапазоне 6 ГГц меньше, чем в диапазонах 2.4 и 5 ГГц. В России разрешено использование устройств Wi-Fi в диапазоне 6 ГГц внутри помещений.

Технология Cisco CleanAir является программно-аппаратной реализацией. Ключевая особенность этой технологии состоит в способности обнаруживать и локализовать источники помех, способные повлиять на работоспособность беспроводной сети. В отличие от других систем обнаружения помех, технология CleanAir позволяет обнаруживать именно помехи, влияющие на работу WiFi, отделяя их от других сетевых помех. Таким образом точки доступа с поддержкой технологии CleanAir обеспечивают более надежную беспроводную связь, и могут быть использованы в условиях с более высокой вероятностью радиочастотной интерференции, то есть в условиях, где радиоканалы сильно загружены и имеется много источников помех (Bluetooth-устройства, микроволновые печи и т.д.).

При обнаружении помехи на определенной частоте, система автоматически переключает каналы. Технология Cisco CleanAir использует сбор и анализ данных для точного обнаружения и распознавания более 20 типов помех, меняя каналы только в тех случаях, когда она определяет, что помехи достаточно сильны, чтобы повлиять на работу сети. При смене каналов CleanAir сначала анализирует всю структуру сетевых каналов и только потом выбирает предпочтительный вариант смены каналов. Кроме того, технология увеличивает уровень безопасности беспроводной сети. Могут быть локализованы радиоустройства злоумышленников, работающих на нестандартных частотах, также, могут быть отслежены угрозы типа «отказ в обслуживании».

Технология Cisco ClientLink (текущая версия 4.0) позволяет повысить производительность всех мобильных устройств стандарта 802.11a/g/n/ac, работающих в одном, двух или трех пространственных потоках (от старших моделей ноутбуков, смартфонов и планшетных компьютеров до специфических отраслевых устройств и устаревшего беспроводного оборудования). Технология оптимизирует сигнал, транслируемый от точки к клиенту за счет проведения дополнительных вычислений и мониторинга сигнала для каждого клиента на приеме. В частности, точка доступа запоминает с какими характеристика пришёл сигнал на каждую из антенн от клиента (фаза и амплитуда) и далее использует полученные данные для формирования сигнала в обратную сторону, т.е. к клиенту (происходит формирование диаграммы направленности). В результате увеличивается площадь покрытия сети и решается проблема надежного подключения относительно "медленных" устройств, таких как планшетные компьютеры, в среде со слабым уровнем беспроводных сигналов. Также одним из ключевых плюсов использования технологии и её распространения является отсутствие каких-либо требований или дополнительных настроек на клиенте. То есть она работает для всех.

Указанный ниже функционал действует для диапазонов 2.4 и 5 ГГц, однако приведены примеры для 2.4 ГГц, как наиболее используемого и загруженного(в т.ч. не WiFi устройствами) диапазона. На качество работы беспроводной сети могут влиять различные устройства: другие точки доступа, устройства Bluetooth, микроволновые печи и пр.

Как известно, для диапазона 2,4 ГГц существует всего три непересекающихся канала. Таким образом, при большой плотности установки точек доступа велика вероятность взаимного влияния друг на друга. Также, диапазон 2.4 ГГц часто «загружен» другими точками доступа.

Оптимизировать работу сети позволяют встроенные средства мониторинга и управления радиоресурсами (RRM, Radio Resource Management) на контроллере. Механизм позволяет осуществлять управление мощностью точек доступа, распределение каналов, мониторинг загрузки каналов, и др, и автоматически регулировать параметры радио на точках доступа, в зависимости от изменений среды.

Мониторинг работы соседних сетей осуществляется с помощью технологии обнаружения «вражеских» точек доступа (Rogue Detection). В зависимости от степени «легитимности» устройства, его можно оставить или попробовать изолировать.

Интерференция.

Устройства Bluetooth работают на тех же частотах, что и беспроводные сети. На рисунке представлена спектрограмма для диапазона 2.4 ГГц реально действующей сети, на которой видно мозаичное заполнение всех каналов помехами от устройств Bluetooth. Таким помехи приводят к существенному падению скорости передачи трафика при небольшом удалении от точки доступа.

Спектрограмма для диапазона 2,4 ГГц.

Технология CleanAir позволяет обнаружить соседние источники интерференции, определить их тип и минимизировать их влияние на беспроводную сеть.

Также, любая точка с поддержкой CleanAir может выступать в качестве анализатора спектра, при использовании ПО Cisco Spectrum Expert.

Точки доступа Cisco Catalyst 9100

Точки доступа Catalyst 9105, 9115, 9120,9130 – первое поколение точек доступа Cisco с поддержкой стандарта Wi-Fi 6. Точки доступа являются частью архитектуры Cisco DNA (серия устройств 9000), однако могут использоваться и без контроллера DNA.

Точки доступа поддерживаются на контроллерах 3504, 5520, 8540, 9800. Поддерживается встроенный (на точке доступа) контроллер – Embedded Wireless Controller (EWC).

Все точки имеют гибкий режим работы питания и поддерживают стандарты PoE (802.3af) (в ограниченном режиме) и выше. Разъем для подключения блока питания отсутствует.

*чип (Cisco RF ASIC) для работы CleanAir и доп. функций мониторинга сети
**Flexible Radio Assignment (FRA) - возможность одновременной работы двух радиомодулей в диапазоне 5 ГГц

Точки доступа Catalyst 9162, 9164, 9166, 9136 поддерживают работу в диапазоне 6ГГц (Wi-Fi 6E).

* функционал позиционирования с высокой точностью (Hyperlocation)

У компании Cisco в корпоративном сегменте есть защищенные точки доступа в металлическом корпусе для сложных условий внешней среды (складские помещения, заводы). Например, 9120AXE (E – External Antenna). Эти точки доступа имеют диапазон рабочих температур от -20° до +55° С. Однако, они не имеют защиту от воды (конденсат, дождь), поэтому должны использоваться с защитным контейнером при установке на улице.

В сегменте корпоративного Outdoor Wi-Fi (всепогодный Wi-Fi) представлены точки доступа Cisco Aironet 1560 (с поддержкой 802.11acW2), Catalyst 9124 (с поддержкой Wi-Fi 6). При покупке этих моделей требуется получать дополнительное разрешение на ввоз оборудования.

Для стран существуют различные требования, предъявляемые при использовании радиочастот. В России использование радиочастот Wi-Fi контролируется Государственной комиссии по радиочастотам (ГКРЧ).

В партномерах точек доступа Cisco на месте литеры R (в данном случае R — Russian Federation) стоит обозначение регуляторного домена (regulatory domain). Указанные точки доступа полностью отвечают нормативным требованиям Российской Федерации, а значит заказ и ввоз точек доступа C9120AXI-R-K9 на территорию РФ разрешен и разрешение подтверждено необходимой лицензией. Точки, производимые локально, также имеют литеру R.

Для диапазона 5 ГГц (802.11a/n/ac/ax) на точках доступа Cisco домена R разрешены к использованию каналы 36, 40, 44, 48, 52, 56, 60, 64, 132, 136, 140, 144, 149, 153, 157, 161, 165.

Для диапазона 2,4 ГГц (802.11g/n/ax) на точках доступа Cisco домена R разрешены к использованию каналы 1-13.

В комплект поставки точек доступа блок питания не входит.

Доступны следующие варианты питания точек доступа:

• С помощью блока питания.
• С помощью инжектора питания.
• С помощью коммутатора с поддержкой технологии подачи питания по Ethernet (PoE,PoE+,EPoE,UPoE).

Варианты питания по моделям в общем случае представлено в таблице. Потребление увеличится при использовании на точке доступа дополнительных функций (скорость на аплике, порт USB, подача питания на доп. порт Ethernet на точке).

Контроллеры Cisco Catalyst 9800 это новое поколение (на октябрь 2020) контроллеров на базе операционной системы IOS XE. Это модульная операционная система с поддержкой более современных (в сравнении с AireOS) подходов к программированию, установке патчей, безопасности и др.

Также контроллеры на базе IOS XE обеспечивают полную интеграцию с решением по программно-определяемому доступу SD-Access. Так как используется другая операционная система, интерфейс (CLI,web) тут тоже другой, однако большинство функций совпадает с AireOS.

Как и в предыдущем поколении контроллеров, Catalyst 9800 поддерживает различные архитектуры построения беспроводной сети. Поддерживаются режимы подключения Local Mode, FlexConnect, Bridge, Flex+Bridge. Контроллер может быть как в виде отельного устройства, на базе коммутатора Catalyst 9300-9500, в облачном виде (приватное (у заказчика), публичное облако), на базе точки доступа Catalyst 9100.

Контроллеры 9800 на базе коммутаторов Catalyst 9300-9500 поддерживают до 400 точек доступа и 8000 клиентов на локацию.

Контроллеры беспроводной сети поддерживают как локальные точки доступа (режим local, весь трафик идет через контроллер), так и точки доступа в удаленных сетях(например, филиал). Подключив точку доступа в удаленном офисе в режиме flexconnect, можно выбрать различные режимы работы(например, локальная коммутация трафика, централизованная аутентификация пользователей и т.п.)

В качестве схемы лицензирования используется Smart Licensing. В обновленной схеме лицензирования лицензии на сам контроллер (на определенное количество точек доступа) больше не требуются. Лицензии приобретаются с точкой доступа. Каждая точка доступа, подключаясь к контроллеру, использует лицензию. Вся информация о лицензиях с контроллера синхронизируется с Smart Account.

Как и для коммутаторов, для контроллеров доступно два типа лицензий - Essentials и Advantage.

Каждая лицензия содержит:

• пакет AIR Network с классическими функциями контроллера (постоянная лицензия)
• пакет AIR DNA с функциями программно-определяемых сетей (лицензия-подписка)

Для контроллера на базе точки доступа (EWC) приобретать лицензии на точки не требуется. В остальных случаях, при начальном заказе оборудования приобретается лицензия Essentials или Advantage (на 3, 5 или 7 лет).

На контроллерах Cisco Catalyst 9800 поддерживаются:

• точки доступа серии 9100, х800
• уличные точки доступа 1540, 1560
• промышленные точки доступа IW6300, IW3700
• точки доступа, встроенные в маршрутизаторы ISR 1100
• точки доступа серии х700 (в версии 17.3.x, 17.9.3)

Для контроллера на базе точки доступа (EWC) в одной локации (без DNA Center) лицензии не требуются. Используется постоянная лицензия Network Essentials.

Точки доступа, подключенные к контроллеру на базе EWC, работают в режиме flexconnect local switching, то есть коммутируют трафик локально.

В качестве контроллера могут выступать точки доступа Cisco Catalyst 9100. К контроллеру EWC можно подключать точки доступа серии 9100, х800 и другие. Поддерживается от 50 до 100 (модели 9120,9124, 9130) точек доступа. Актуальный список точек доступа, которые могут выступать в качестве контроллера и точек, которые могут управляться контроллером можно уточнить на сайте.

Различия по функциям между контроллером на базе точке доступа и выделенным контроллером минимальны. Детальное сравнение по функциям.

Офисные точки доступа Wi-Fi 6 поддерживаются на устаревших контроллерах с версией ПО AireOS 8.10. Точки доступа Wi-Fi 6E не поддерживаются.

Контроллеры 9800 поддерживают точки доступа x700 (версии ПО контроллера 17.3.x, 17.9.3) х800, 1500 и более новые. Точки доступа предыдущих поколений (1040, 1140, х600) не поддерживаются.

В контроллерах 9800 используется операционная система IOS XE. Для миграции конфигурации с контроллеров с операционной системой AireOS (2500, 3500, 5500 и др) необходимо использовать конвертер на сайте.

Для контроллера на базе точки доступа 9100 (EWC), функция контроллера поднимается на одной из точек доступа (master-точка). В случае её отказа, любая другая (управляемая точкой-контроллером) точка доступа в режиме EWC выступает в качестве контроллера. Приоритет можно задать вручную.

Для выделенных контроллеров (виртуального, физического) существуют следующие типы резервирования:

1. N+1
   Описание работы: на контроллере для точек доступа указывается первичный, вторичный и третичный контроллеры. В случае отказа основного контроллера, точка доступа регистрируется на вторичном контроллере и т.д.
   Время переключения: переключение занимает десятки секунд.
   Совместимость: для резервирования могут использоваться разные модели контроллеров. Например, первичный 9800-40, вторичный 9800-CL.
   Поддержка: данный тип резервирования поддерживается на 9800-L, 9800-CL, 9800-40, 9800-80.
2. Stateful Switchover (SSO)
   Описание работы: два контроллера образуют отказоустойчивую пару Active-Standby с репликацией конфигурации и состояния (точки доступа, клиенты, ключи и т.п.) В случае отказа активного контроллера, точка доступа переключается на резервный контроллер с сохранением состояния. Повторная аутентификация клиента не требуется.
   Время переключения: переключение занимает менее секунды.
   Совместимость: для формирования отказоустойчивой пары требуются контроллеры одной модели с одинаковым ПО.
   Поддержка: данный тип резервирования поддерживается на 9800-L, 9800-CL, 9800-40, 9800-80.

С точки зрения лицензирования, дополнительных лицензий не требуется. При переходе точек доступа между контроллерами в рамках HA информация синхронизируется со смарт-аккаунтом (сайт cisco либо локальный сервер лицензий у заказчика (CSSM Satellite)), к которому подключены контроллеры.

Точки доступа Cisco серии 1810 - это компактные двухдиапазонные точки доступа стандарта 802.11ac Wave 2, предназначенные для небольших офисов, подключения удаленных сотрудников, установки в гостиницах, жилых помещениях и др. Точки доступа имеют интегрированные антенны, поддерживают технологию MU-MIMO 2х2 с двумя пространственными потоками, каналы до 80 МГц (867 Мбит/с для 802.11ac). Точки доступа имеют один 1 Гбит/с аплинк порт и три LAN порта 1 Гбит/с (1 с PoE). Поддерживается питание по Ethernet 802.3af/at, инжекторы AIR-PWRINJ5, AIR-PWRINJ6, блок питания AIR-PWR-D.

Точки доступа 1810 Office Extend:

• установка на стол (подставка в комплекте);
• поддерживают шифрование данных в канале между точкой доступа и контроллером (DTLS) для разворачивания корпоративной беспроводной сети для мобильных сотрудников;
• порты Ethernet могут использоваться для подключения к корпоративной сети.

Точки доступа 1810w:

• различные варианты монтажа (на стену\стол);
• модуль Bluetooth 4.1 BLE для внедрения дополнительных сервисов.

У Cisco есть несколько вариантов по построению беспроводных сетей, в зависимости от масштаба, производительности, требуемых функций и типа управления сетью.

Автономный (Autonomous)

Данный вариант предполагает установку автономных (независимых друг от друга) точек доступа. Каждая точка настраивается и управляется отдельно. Трафик беспроводной сети коммутируется локально на каждой точке.

Централизованный (Centralized)

В данном варианте весь функционал по настройке и мониторингу находится на контроллере беспроводной сети. Весь трафик беспроводной сети проходит через контроллер, что позволяет обеспечить максимальную управляемость и функционал. Это стандартный режим работы сети для внедрения в одной локации.

Контроллер на точке доступа (Mobility Express)

В качестве альтернативы централизованному варианту, для небольших офисов можно использовать режим Mobility Express. В данном варианте, в качестве контроллера выступает точка (или кластер из нескольких точек) доступа 1540, 1560, 1815, 1830, 1850, 2800, 3800. Подключаться к такому «контроллеру» могут все актуальные точки доступа (x600, x700, x800 и др.). Для быстрой настройки сети используется специальный веб-мастер или мобильное приложение. Трафик на точках доступа коммутируется локально (частный случай FlexConnect). Поддерживается до 100 точек доступа и 2000 клиентов. Лицензии не требуются.

Гибкое подключение (FlexConnect)

Данный режим используется в основном для подключения точек доступа в удаленных офисах компании. Управление и мониторинг точек в данном режиме осуществляется централизованно на контроллере (установленном, как правило, в центральном офисе). C точки зрения аутентификации клиентов и коммутации трафика FlexConnect является наиболее гибким вариантом: можно подключать пользователей и коммутировать трафик как локально на точке, используя ресурсы в удаленном офисе, так и на контроллере в центральном офисе.

Стоит отметить, что режим FlexConnect имеет ряд ограничений по сравнению с режимом Centralized, что продолжает делает актуальным использование режима Centralized в определённых случаях.

Конвергентный доступ (Converged Access)

В данном варианте для подключения точек доступа обязательно используются коммутаторы 4500E, 3850, 3650. Точки доступа обязательно должны быть подключены к коммутатору(-ам) напрямую. Для настройки и мониторинга сети может использоваться как один из указанных коммутаторов (или стек), так и выделенный контроллер, например, 5760. Подход Converged Access является наиболее современным и обеспечивает единые политики доступа для беспроводной и проводной сети, высокую скорость коммутации трафика, сохраняя при этом централизованное управление и мониторинг сетью. Все политики качества обслуживания (QoS), доступа (ACL), анализа трафика (AVC) применяются непосредственно на порту коммутатора, к которому подключена точка доступа. Таким образом, больше нет необходимости пропускать весь трафик через контроллер беспроводной сети, для получения полноценного мониторинга и управляемости, что позволяет стоить высокопроизводительные беспроводные сети с большим количеством подключений.

Стандарт 802.11ac работает в диапазоне 5ГГц, совместим со стандартом 802.11a/n. Теоретически, стандарт позволяет обеспечить скорость подключения до 6.7 Гбит/с.

Такое кардинальное увеличение скорости обеспечивается в основном за счет:

• увеличения ширины канала – до 160 Мгц (вместо 40 в 802.11n);
• увеличение числа пространственных потоков для передачи информации – до 8 (вместо 4 в 802.11n);
• улучшенная модуляция, позволяющая передать больше информации в единицу времени (256QAM вместо 64QAM в 802.11n).

Также есть несколько ключевых улучшений в работе стандарта по сравнению с предшественниками. Это, например, формирование диаграммы направленности (Beamforming, аналог Cisco ClientLink), а также использование режима MU-MIMO. В классическом режиме MIMO (или SU-MIMO, поддерживается в 802.11n) точка доступа может использовать множественный прием-передачу (несколько антенн) и пространственное мультиплексирование (несколько независимых потоков данных) только для одного клиента в один момент времени. MU-MIMO позволяет обеспечить одновременную передачу нескольких потоков разным клиентам.

Все эти улучшения, а также использование более «широкого»(больше частот – больше каналов) и наименее «загруженного» диапазона 5 ГГц (в сравнении с 2.4 ГГц) делает стандарт 802.11ac наиболее перспективным для дальнейшего использования в современных беспроводных WiFi сетях.

Технически довольно сложно обеспечить переход на устройства нового стандарта с полным функционалом (да и не всегда удается реализовать все теоретические возможности стандарта), поэтому реализация обеспечивается в несколько этапов (или волн). Для устройств wave 1 (2013 год) характерно использование каналов до 80 Мгц, модуляции 256QAM, до 3х потоков SU-MIMO, что позволяет обеспечить скорость подключения до 1.3 Гбит/с. Для устройств wave 2 (2015 год) характерно увеличение ширины канала до 160 Мгц, использование MU-MIMO и до 4х пространственных потоков, что позволяет обеспечить скорость подключения до 3.47 Гбит/с.

Для оборудования Cisco, устройствами wave 1, например, являются точки доступа 1700/2700/3600(с доп. модулем)/3700/1570. Wave 2 устройствами являются точки доступа Cisco 1800/2800/3800.

Следует отметить, что все контроллеры гибко лицензируется по количеству точек доступа. Например, можно приобрести контролер 2504 на 5 точек доступа, и далее в процессе эксплуатации докупать лицензии, которые увеличивают количество поддерживаемых точек доступа с шагом 1, 5 или 25 точек доступа.

Отличия по функциональным возможностям:

• Виртуальный контроллер vWLC поддерживает подключение точек доступа только в режиме FlexConnect (локальная коммутация трафика или на контроллере), не поддерживаются режимы Local и Mesh.
• Виртуальный контроллер vWLC - отсутствует поддержка технологии Application Visibility and Control (AVC) позволяющей осуществлять мониторинг, контроль и приоритезацию трафика по приложениям.
• Виртуальный контроллер vWLC не поддерживает проводной гостевой доступ. Для некоторых предприятий важно иметь возможность предоставления контролируемого Интернет-доступа для клиентов, партнёров и консультантов компании. При этом доступ должен отвечать требованиям безопасности – гости должны иметь ограниченный и контролируемый доступ к ресурсам компании. Доступ организуется следующим образом: коммутатор доступа направляет трафик от гостей на WLC. WLC передаёт необходимые настройки гостевому оборудованию (IP-адрес, DNS и т.д.) для предоставления Интернет-доступа и проводит процедуру Web-аутентификации пользователя.
• WLC 2500 не поддерживает ограничение скорости (bandwidth contract). Контроллеры серии 5500 предоставляют возможность ограничить полосу пропускания для каждого пользователя.
• WLC 2500 и vWLC не поддерживают service port. Нет возможности выделить отдельный физический порт для управления устройством.

Для указанных контроллеров существуют следующие типы резервирования:

1. N+1
   Описание работы: на контроллере для точек доступа указывается первичный, вторичный и третичный контроллеры. В случае отказа основного контроллера, точка доступа регистрируется на вторичном контроллере.
   Время переключения: переключение занимает десятки секунд.
   Совместимость: для резервирования могут использоваться разные модели контроллеров. Например, первичный 5500, вторичный 2500.
   Поддержка: данный тип резервирования поддерживается на всех типах контроллеров.
2. Stateful Switchover (SSO)
   Описание работы: два контроллера образуют отказоустойчивую пару Active-Standby с репликацией конфигурации и состояния (точки доступа, клиенты, ключи и т.п.) В случае отказа активного контроллера, точка доступа переключается на резервный контроллер с сохранением состояния. Повторная аутентификация клиента не требуется (для ПО версии 7.5 и выше).
   Время переключения: переключение занимает менее секунды
   Совместимость: для формирования отказоустойчивой пары требуются контроллеры одной модели с одинаковым ПО.
   Поддержка: из указанных контроллеров, данный тип резервирования поддерживается на 3500, 5500, 7500, 8500.

С точки зрения лицензирования, для заказа в качестве резервного контроллера часто используется отдельный партномер (например, AIR-CT2504-HA-K9, AIR-CT5508-HA-K9), не имеющий лицензий на точки доступа. Данный контроллер используется только для резервного подключения точек в случае отказа основного контроллера в одном из указанных вариантов резервирования. При этом, например, для контроллеров 3500, 5520 такого парт-номера не существует и покупается контроллер без лицензий (AIR-CT5520-K9, AIR-CT3504-K9).

Режимы резервирования можно использовать совместно. Контроллер НА (например, AIR-CT2504-HA-K9, AIR-CT5508-HA-K9) в режиме N+1 можно использовать для резервирования нескольких контроллеров.

Основным отличием серии х800 является поддержка стандарта 802.11ac wave2, работающем в диапазоне 5ГГц. Точки доступа поддерживают технологию многопользовательской одновременной передачи (MU-MIMO), а также каналы шириной до 160 МГц (в 2800/3800/4800 серии).

Точки доступа 1815/1830/1850/2800/3800/4800 поддерживают технологию Cisco Mobility Express – интегрированный в точку доступа контроллер, с подключением до 50 (1815/1830/1850) или до 100 (2800/3800/4800) точек доступа.

Точки доступа 2800/3800/4800 используют выделенный процессор (на точке доступа) и осуществляют локально анализ трафика по приложениям (Application Visibility and Control). Это позволяет снизить нагрузку на контроллер беспроводной сети.

Также, в точках доступа 2800/3800/4800 серии появилась возможность использовать оба радиомодуля в одном диапазоне 5 ГГц (на разных каналах). Таким образом можно организовать работу сети 802.11a/n/ac с разделением на ячейки (микро, макро), максимально утилизируя ресурсы точки доступа, использовав возможности стандарта 802.11ac. Для точек доступа с внешними антеннами функция доступна при использовании дополнительно переходника Smart Antenna Connector.

Стоит отдельно отметить точки доступа 3800/4800. Данная линейка точек доступа поддерживает технологию Multigigabit Ethernet (IEEE 802.3bz) и позволяет подключать точку доступа к сети по обычному медному кабелю (кат. 5е, 6, 6а) на скорости до 5 Гбит/с и добиться высокой производительности при использовании стандарта 802.11ac. Для точек 2800 можно использовать 2 порта Gigabit Ethernet, настроив агрегацию. Также на точке доступа 3800 есть порт для подключения доп. модуля (например, мониторинг, определение местоположения). На точках доступа 4800 есть встроенный дополнительный модуль Bluetooth Low Energy (BLE) и модуль Hyperlocation для работы сервисов определения местоположения.

В комплект поставки точек доступа блок питания не входит.

Доступны следующие варианты питания точек доступа:

• С помощью блока питания.
• С помощью инжектора питания.
• С помощью коммутатора с поддержкой технологии подачи питания по Ethernet (PoE,PoE+,EPoE,UPoE).

Варианты питания по моделям в общем случае представлено в таблице. Потребление увеличится при использовании на точке доступа дополнительных функций (доп. модуль, порт USB, подача питания на доп. порт Ethernet на точке).

По умолчанию архитектура Mobility Express предполагает работу точек доступа в режиме «Connected, Local Switching». Коммутация трафика происходит локально на точке доступа (Local Switching), а аутентификация происходит централизованно на точке с функцией контроллера беспроводной сети (Master-AP). Такой режим работы практически полностью совпадает с FlexConnect в архитектуре с выделенным контроллером (режим Central Auth, Local Switching). В случае, если по какой-то причине контроллер становится недоступен, точка доступа переходит в режим «Standalone, Local Switching», в котором некоторые функции не работают (это логично, ведь контроллер не доступен).

Узнать какие функции поддерживаются в Mobility Express и в каких режимах они работают можно в следующем документе (для ПО версии 8.5.100).

В качестве управляющей (Master) точки доступа могут выступать Cisco Aironet 1540, 1560, 1815, 1830, 1850, 2800, 3800, 4800. В качестве управляемой (кроме уже указанных моделей) могут использоваться точки доступа Cisco Aironet 700i, 700w, 1600, 1700, 1810W, 2600, 2700, 3500, 3600, 3700.

Любую точку доступа с ПО ME можно подключить к контроллеру. Для этого достаточно перевести точку доступа в соответствующий режим с помощью команды ap-type capwap. «Перепрошивка» точки доступа в данном случае не требуется, однако, существует возможность заказа\установки ТД с «облегченным» ПО (только для работы с контроллером).

Перед обновлением рекомендуется изучить Release Notes для планируемого к установке ПО, либо проверить по таблице совместимости. Например, в ПО 8.4.100.0 не поддерживаются точки доступа серии Cisco Aironet 600, 1550, 1040, 1140, 1260.

1. Решение на базе CUCM – это решение на базе виртуальной платформы WMware, запущенной на сервере (например, на базе Cisco UCS). Данное решение позволяет создавать отказоустойчивую кластерную систему с распределением сервисов по различным серверам для разделения нагрузки. Решение на базе CUCME – это решение на базе маршрутизатора. Продукты компании Cisco позволяют использовать один маршрутизатор одновременно для различных задач, например, CUCME, firewall, VPN и т.д.
2. Кластер CUCM позволяет поддерживать до 40000 абонентских устройств, CUCMe может поддерживать максимум 450 абонентских устройств.
3. При организации IP-телефонии на базе CUCM Вы получите решение с кластером CUCM в центральном офисе и голосовыми шлюзами в филиалах, позволяющее централизованно управлять всем оборудованием, гибкий номерной план и политики управления вызовами. При выборе в качестве IP-ATC CUCMe Вы получаете систему с децентрализованным управлением (в каждом офисе будет своя АТС);
4. При организации IP-телефонии на базе CUCM Вы получите решение с большими возможностями по резервированию. Голосовые шлюзы в филиалах с функционалом SRST при потери связи с кластером CUCM обеспечат временную регистрацию абонентов и предоставят базовый функционал телефонии;
5. Решение на базе CUCM отличается более высоким уровнем модульности и способности к масштабированию, чем решение на базе CUCMe.

На маршрутизаторе должна быть установлена лицензия UC (Unified Communications) для активации функций телефонии. Парт номер выглядит следующим образом (пример для ISR 4321): SL-4320-UC-K9.

Модель лицензирование CUCMe с версии 12.0 претерпела изменения. Она включает в себя два типа лицензий: лицензия на функционал и лицензии на пользователей.

Лицензия на функционал FL-CME означает, что на маршрутизаторе будет использоваться функционал Cisco Unified Communications Manager Express. Данная позиция стоит ноль.

Лицензия на пользователя (CME-UL) – это Smart Account лицензия, дающая право на использование одним абонентом любого телефона при работе с CUCMе. Таким образом с версии 12.0 не важно какой тип телефона используется пользователем, схема лицензирования стала универсальной.

Установка самой последней версии CUCM 10.Х возможна только на виртуальные машины, установка на «голое» железо невозможна.

Официальные требования для установки Cisco UCM прописаны в политике Cisco UC Virtualization Supported Hardware. На данный момент выделены 3 группы серверов для установки:

1. Серверы Cisco UCS TRC (tested reference configuration). Это модели серверов Cisco с определённые конфигурацией, которые продаются в виде бандла. В данном случае приложение Vmware vSphere обязательно, Vmware vCenter – опционально.
2. Серверы Cisco USC Specs-based. Серверы Cisco, которые отвечают требованиям Cisco для работы приложений UC – четко прописанные модели процессоров, а также требования к остальным комплектующим (оперативной памяти, дисковой подсистеме и пр.). В этом случае Vmware vSphere и Vmware vCenter обязательны к установке.
3. Серверы третьих производителей. Серверы любого производителя, выполняющие требования политики Cisco (оснащены процессорами, поддерживаемыми Cisco UC, необходимым объёмом оперативной памяти, дисковой подсистемой и т.д.). В данном случае приложения Vmware vSphere и Vmware vCenter обязательны к установке. Также, в случае использования серверов стороннего производителя поддержка Cisco TAC будет распространяться только на приложения Cisco UC, но не на сервер.

Ранее (версия CUCM 9.X и ниже) помимо указанных были доступны следующие варианты установки:

1. На базе серверов Cisco MCS 7800 (установка на «голое» железо, сняты с продаж, дата последнего заказа данного продукта - 29 октября 2013 года);
2. На базе сертифицированных серверов HP или IBM, была возможна установка как на «голое» железо, так и на виртуальные машины, однако в обоих случаях предъявлялись конкретные требования к комплектующим серверов.

Следует заметить, что с выходом новых версий CUCM требования к серверам могут меняться, поэтому данную информацию необходимо проверять на сайте производителя.

Решение CUCM лицензируется по пользователям независимо от того сколько серверов будет в кластере.

Схема лицензирования – подписочная (Cisco Collaboration Flex Plan - Flex). Доступны следующие подписки:

• Access – покрывает аналоговые устройства, а также телефоны 3905, 6901, 6911, 6912, 7811 и 7821;
• Enhanced - покрывает телефоны 784X, 786X, 88xx, SIP телефоны третьих производителей, Cisco Jabber (Desktop и Mobility), DX/EX серию;
• Professional – покрывает те же устройства, что и Enhanced, при этом позволяет пользователю использовать одновременно до 10 устройств, например, стационарный телефон и Cisco Jabber;
• Device Registration – покрывает иммерсивные или многоцелевые TelePresence системы (например, Webex Room Kit).

Cisco Business Edition (BE) – платформа унифицированных коммуникаций. На данный момент существует две платформы: BE 6000 (до 150 и до 1000 абонентов), а также BE 7000 (более 1000 абонентов).

BE является законченным решением (бандлом), включающим в себя следующие продукты:

• сервер Cisco UCS или UCS E;
• платформа виртуализации VMware;
• программное обеспечение.

Программного обеспечение, которое может быть запущено на платформе BE:

• IP-АТС;
• система голосовой почты;
• сервер мгновенных сообщений и состояния присутствия;
• сервер оповещений;
• контакт-центр;
• решения для видео конференцсвязи;
• решения по централизованному управлению;
• и т.д.

Список решений, которые могут быть запущены на базе BE, включает, как практически все продуты компании Cisco в области унифицированных коммуникаций, так и решения сертифицированных партнёров компании Cisco.

В качестве аппаратной платформы для решения BE выступают следующие серверы:

• UCS 220 – решение BE 6000 (до 1000 абонентов),
• UCS 240 – решение BE 7000 (более 1000 абонентов).

Cisco Unified Communications Manager Business Edition 6000 – платформа унифицированных коммуникаций, предназначенная для удовлетворения потребностей среднего бизнеса (до 1000 пользователей). BE 6000 представляет собой бандл (сборку). Решение представлено в двух вариантах:

• BE6000H - 1000 пользователей, до 9 виртуальных машин на сервере, до 2500 поддерживаемых устройств;
• BE6000M - 1000 пользователей, до 5 виртуальных машин на сервере, до 1200 поддерживаемых устройств.

В стартовом варианте BE6000M и BE6000H включены следующие продукты:

• Сервер Cisco UCS 220 в конфигурации BE6000H:
  • 1000 пользователей,
  • до 8 виртуальных машин сервисов collaboration и одной виртуальной машины для настройки (provisioning) на сервере,
  • до 2500 поддерживаемых устройств.
• Или в конфигурации BE6000M:
  • 1000 пользователей,
  • до 4 виртуальных машин сервисов collaboration и одной виртуальной машины для настройки (provisioning) на сервере,
  • до 1200 устройств.
• Виртуальная платформа Vmware ESXi;
• Cisco Unified Communication Manager – полноценная IP-АТС (в отличие от CUCMe), до 1000 пользователей (2500 устройств максимум);
• Instant Messaging and Presence with the Cisco Jabber – сервер мгновенных сообщений и состояния присутствия, на базе клиента Cisco Jabber, до 1000 пользователей;
• Cisco Unity Connection – сервер голосовой почты, до 1000 пользователей;
• Prime Collaboration Provisioning - решение по централизованному управлению продуктами Cisco из области UC.

Также на платформе BE6000M и BE6000H можно развернуть ряд дополнительных серверов (всего не более 5 или 9 в зависимости от типа сервера с учетом CUCM, IM and Presence, Unity Connection, Unified Provisioning Manager):

• Cisco Meeting Server – сервер видео конференцсвязи;
• Cisco Expressway – сервер подключения к корпоративной системе унифицированных коммуникаций из вне;
• Cisco Unified Contact Center Express – контакт центр, до 100 агентов;
• Cisco Unified Attendant Console (CUxAC) – сервер управления программными консолями секретаря (три редакции: Business, Department, Enterprise);
• Cisco Paging Server – сервер оповещений (на базе решения InformaCast);
• Cisco Emergency Responder (CER) – сервер управления и мониторинга экстренных вызовов;
• Решения для управления инфраструктурой унифицированных коммуникаций:
  • Cisco Prime Collaboration Provisioning – сервер автоматизации начальной настройки;
  • Cisco Prime Collaboration Deployment – сервер для помощи при миграции, обновления и начальной установки приложений UC;
  • Cisco TelePresence Managemant Suite – сервер планирования проведения конференций;
• Помимо этого, на BE6000 могут быть установлены сторонние приложения от партнеров Cisco (максимум 3 приложения на сервере, максимум 6 приложений от партнеров в кластере).

Cisco BE6000M и BE6000H поддерживает до 3-х серверов в кластере (но не более 1000 абонентов).

Схема лицензирования для решение Cisco UCM на базе BE6000 - Cisco Collaboration Flex Plan.

Cisco Unified Communications Manager Business Edition 7000 – платформа унифицированных коммуникаций, предназначенная для удовлетворения потребностей среднего и крупного бизнеса (более 1000 пользователей). BE 7000 представляет собой бандл (сборку). Решение представлено в двух вариантах:

• BE7000M - до 6 виртуальных машин на сервере;
• BE7000H - до 10 виртуальных машин на сервере;

В стартовом варианте BE7000M и BE7000H включены следующие продукты:

• Сервер Cisco UCS 240 M4, поддерживающий до 5000 пользователей на сервер, до 15000 устройств на сервер. Для увеличения емкости сверх указанной, добавляют необходимое количество дополнительных серверов.
• Виртуальная платформа Vmware ESXi 5.0;
• Cisco Unified Communication Manager – полноценная IP-АТС (в отличие от CUCMe);
• Instant Messaging and Presence with the Cisco Jabber – сервер мгновенных сообщений и состояния присутствия, на базе клиента Cisco Jabber;
• Cisco Unity Connection – сервер голосовой почты;
• Prime Collaboration Provisioning - решение по централизованному управлению продуктами Cisco из области UC;
• Cisco Enterprise Licensing Manager (ELM) – решение по централизованному управлению лицензиями продуктов Cisco из области UC.

Также на платформе BE7000M и BE7000H можно развернуть ряд дополнительных серверов (всего не более 6 или 10 в зависимости от типа сервера с учетом CUCM, IM and Presence, Unity Connection, Unified Provisioning Manager):

• Решения для видео конференцсвязи:
  • Cisco TelePresence Server – сервер многоточечных конференций;
  • Cisco TelePresence Conductor – сервер управления ресурсами конференций;
  • Cisco TelePresence Managemant Suite – сервер планирования проведения конференций;
  • Cisco TelePresence Content Server – сервер записи и вещания конференций;
• Cisco Expressway VCS – сервер подключения к корпоративной системе унифицированных коммуникаций из вне;
• Cisco Unified Contact Center – контакт центр;
• Cisco Unified Attendant Console (CUxAC) – сервер управления программными консолями секретаря (три редакции: Business, Department, Enterprise);
• Cisco Emergency Responder (CER) – сервер управления и мониторинга экстренных вызовов;
• Cisco Paging Server – сервер оповещений (на базе решения InformaCast);
• Помимо этого, на BE7000 могут быть установлены сторонние приложения от партнеров Cisco.

Для организации видео вызовов компания Cisco Systems предлагает использовать несколько решений:

1. Телефоны 8845 и 8865. Имеют встроенную видеокамеру и позволяют совершать видеозвонки по протоколу H.264 с качеством картинки 720p HD.
2. Телефон Cisco DX650. Имеет встроенную 1080p камеру, сенсорный экран, работает на базе ОС Android, может напрямую подключаться к студиям телеприсутствия Cisco Telepresence.
3. Настольные терминалы DX70, DX80 и EX90. Позволяют совершать видеовызовы FullHD качества.
4. Cisco Jabber - программный клиент, устанавливаемый на ПК, Mac или планшетный компьютер позволяет совершать видеозвонки FullHD качества.

А. Технологии Power over Ethernet (PoE), PoE+, UPoE. Питание телефона осуществляется от коммутатора по стандартной витой паре в сети Ethernet. Коммутатор должен поддерживать данную технологию и обладать необходимой мощностью. Различные модели телефонов имеют различные требования по мощности.

Преимущества:

• отсутствие кабельной инфраструктуры для подачи электропитания;
• возможность установки оборудования в наиболее подходящих для этого местах, невзирая на отсутствие сети электропитания;
• сокращение времени установки IP-телефонов;
• легкость обеспечения резервирования питания;
• экономия энергии за счет индивидуального выделения требуемой мощности на каждый порт.

Недостатки:

• Необходимо наличие коммутатора, поддерживающего технологию PoE.

Б. Инжекторы питания PoE. Могут быть отдельными устройствами на каждый порт, либо эта функция интегрирована в патч-панель.

Преимущества:

• отсутствие кабельной инфраструктуры для подачи электропитания;
• возможность установки оборудования в наиболее подходящих для этого местах, невзирая на отсутствие сети электропитания;
• сокращение времени установки IP-телефонов;
• возможность обеспечить питание по кабелю Ethernet, если приобретенный ранее коммутатор не поддерживает PoE.

Недостатки:

• сложнее обеспечить резервирование питания;
• нет управления выделяемой мощностью.

В. Стационарные блоки питания. Каждый телефон имеет свой блок питания, подключаемый в общую сеть электропитания.

Преимущества:

• Масштабируемость. Нет зависимости от количества имеющихся PoE портов на коммутаторах, нет необходимости наращивать мощность коммутаторов.

Недостатки:

• Необходимо наличие розетки сети электропитания;
• Увеличенное время установки IP-телефона;
• При перебоях в сети электропитания телефоны будут более подвержены риску простоя.

PVDM (packet voice/data module) — это модуль, на котором находятся специализированные процессоры DSP (digital signaling processor). Изначально он предназначался для обработки голоса. Основная задача данного модуля преобразовать голос из одного типа в другой (например, из E1 в IP и наоборот). То есть когда голосовое соединение приходит на маршрутизатор, например, по аналоговым линиям, его необходимо в реальном времени без задержек преобразовать в данные, которые будут отправлены по IP. ЦПУ такую задачу выполнить не может, так как он занимается обработкой широкого спектра задач. Поэтому используются специализированные процессоры DSP.

Так же PVDM модуль позволяет преобразовывать один кодек в другой (например, G711 в G729), собирать голосовые потоки в один, то есть обеспечивать работу голосовой конференции, реализовывать различные функции по управлению качеством голоса (компрессию, борьбу с эхом, определение качества вызовов и пр.).

Современные PVDM модули (PVDM3, PVDM4 и SM-X-PVDM) умеют обрабатывать также и видео. При обработке видео основной их задачей является обеспечение работы видео конференции (объединение нескольких видео потоков в один).

Для маршрутизаторов ISR 4000 кроме установки на материнскую плату существует вариант установки в модуль T1/E1, а также в виде сервисного модуля SM-X-PVDM в слот SM.

Сам модуль PVDM устанавливается на материнскую плату в маршрутизаторе.

На данный момент существует четыре версии PVDM модулей: PVDM2, PVDM3, PVDM4 и SM-X-PVDM. В маршрутизаторы ISR G1 можно устанавливать только модули PVDM2. В маршрутизаторы ISR G2 можно устанавливать модули PVDM2 и PVDM3. Однако PVDM2 можно установить в ISR G2 только посредством специального адаптера PVDM2–ADPTR=. Модули PVDM4 можно установить только в ISR 4000. Также в ISR 4000 могут быть установлены сервисный модуль SM-X-PVDM.

Устройства были настроены для работы с IP АТС Cisco CUCM 9.1 как Basic SIP Phone (Enhanced лицензия на CUCM). Проведена базовая конфигурация. Работоспособность некоторых функций может быть достигнута путем установки дополнительных элементов системы и их тонкой настройки.

В первую очередь, хочется обратить внимание, что использование телефонов не поддерживаемых официально сильно увеличивает трудоемкость процесса настройки системы, а также ее последующего администрирования. Такие телефоны, в отличие от сертифицированных аппаратов, необходимо настраивать полностью вручную, что увеличивает время настройки системы во много раз и становится практически невозможным для крупных систем.

Также, следует подчеркнуть, что 3rd Party SIP телефоны используют Enhanced лицензию (наиболее дорогую) Cisco CUCM, в то время как имеют только базовый функционал работы.

В конечном итоге, экономия от покупки более дешевых аппаратов сводится на нет более дорогими лицензиями, урезанным функционалом и высокой стоимостью эксплуатации.

Протестированные устройства:

• Gigaset C610A IP;
• Linksys SPA502G;
• Linksys SPA921;
• Linksys SPA941;
• Linksys SPA500S.

Протестированные функции:

Базовый функционал

• Постановка вызова на удержание – работает (при удержании с 3rd Party SIP, не работает music on hold, только стандартное оповещение в виде двойного гудка);
• Трансфер вызовов между 3rd Party SIP телефонами, между 3rd Party SIP и стандартными сертифицированными телефонами – работает;
• Смешанные hunt группы из сертифицированных и 3rd Party SIP телефонов – работают (для сертифицированных телефонов, информация о том, что вызов приходит на hunt группу отображается при звонке, для 3rd Party SIP такие данные не отображаются).

Конференции

• Конференция на 3х участников между 3rd Party Sip телефонами, между 3rd Party Sip и стандартными сертифицированными телефонами – работает
• Advanced ad-hoc. Конференции более трех участников на базе тестируемых устройств работают следующим образом: добавление участников в аудио-конференцию происходит по цепочке, каждый телефон может добавить не более 1 участника(ресурсы внешнего Conference Bridge не используются). Конференция созданная на базе сертифицированного телефона может использовать внешний Conference Bridge и добавлять неограниченное количество тестируемых телефонов(по емкости Conference Bridge).
• MeetMe конференции, создаваемые на сертифицированных телефонах, могут использоваться SIP телефонами без ограничения. Создавать MeetMe конференцию на тестируемых SIP аппаратах нельзя Поддержка отказоустойчивых конфигураций CUCM для данных телефонов
• Тестируемые телефоны, не поддерживают получение адреса CUCM по DHCP, а также не скачивают конфигурационный файл с TFTP сервера, а значит, переключение адреса CUCM в случае выхода из строя основного сервера должно происходить вручную для каждого телефона.
• Как альтернативное решение, можно использовать DNS адрес CUCM, настроенный на телефоне, тогда при выходе сервера из строя, необходимо будет заменить его адрес только на DNS сервере.

Поддержка систем записи

• Существует две основные модели работы систем записи телефонных разговоров. Используя JTAPI соединение и используя SPAN порт. Тестируемые телефоны поддерживают только режим SPAN порта, при котором на коммутаторе происходит зеркалирование всего сетевого трафика от телефонов к серверу записи.

Особенности работы

• Настройка телефонов происходит в ручном режиме, через встроенный web интерфейс. Для каждого телефона необходимо настроить учтённые данные на CUCM.
• Телефоны не загружают Route Plan с CUCM. Вызов набранного номера осуществляется только по нажатию соответствующей клавиши
• Gigaset C610A IP:
  • Каждая базовая станция поддерживает до 6-ти беспроводных трубок и 6-ти различных аккаунтов. Однако, в случае с CUCM данная схема не функционирует, так как АТС различает устройства по IP адресам, и не регистрирует более 1 устройства с 1 IP адресом (адресом базы). В итоге, возможно, завести несколько телефонных номеров под одним аккаунтом, но тогда, при входящем вызове все трубки будут звонить одновременно.
• Модуль секретаря SPA500S:
  • Кнопки на панели секретаря работают только в режиме быстрого набора.
  • Индикация состояния присутствия не функционирует.
  • Настройка клавиш быстрого набора проходит в режиме ввода специальных команд.

Cisco Unified Communication Manager Express представляет собой IP АТС на базе маршрутизатора Cisco ISR. Преимущества данного решения в том, что один маршрутизатор можно использовать одновременно для различных задач, например, CUCME, firewall, VPN. Простота настройки и интеграция многих сервисов в одной коробке делает данное решение незаменимым для небольших компаний и филиалов с децентрализованной системой IP телефонии.

Cisco Business Edition 6000 также представляет собой продукт предназначенный для сравнительно небольших компаний (до 1000 сотрудников). Однако данное решение представляет собой уже отдельный сервер, с виртуализованным программным обеспечением.

Для понимания соотношения стоимости данных систем, предлагаем обратить внимание на диаграмму. При построении диаграммы были взяты системы в следующей конфигурации (перечислены ключевые элементы):

Из диаграммы видно, что для системы с более чем 150 абонентами (Cisco ISR 2951) внедрение CME становится дороже BE6000. Предыдущая же модель Cisco ISR 2921, поддерживающая до 100 абонентов отличается по стоимости незначительно.

Так же стоит отметить, что сравнивать два этих продукта напрямую, по стоимости, немного неверно, так как спектр их возможностей заметно отличается. Платформа BE6000 является системой унифицированных коммуникаций, сочетающей в себе IP телефонию, сервис присутствия и мгновенных сообщений, работу с клиентами на мобильных платформах, контакт центр и систему ВКС. В то время как CME представляет собой исключительно систему IP телефонии. Расширение системы BE6000 (до 1000 пользователей) также заметно выше этих показателей у CME (2911 до 50, 2921 до 100, 2951 до 150, и, к примеру, 3945E до 450 пользователей).

1. На базе контакт-центра (UCCE или UCCX).

Максимально функциональное и гибкое решение. UCCX устанавливается в качестве виртуальной машины. Настраивается функционал IP IVR. Сам скрипт IVR создаётся с помощью Cisco Unified CCX Editor. Решение UCCX интегрируется с CUCM. Максимальное количество сессий ограничивается мощностью виртуального сервера (шаблона) и количеством приобретенных лицензий.

2. На базе решения Cisco Unity Express (CUE).

Данное решение представлено в виде модуля в маршрутизатор Cisco (например, ISM-SRE-300-K9, SM-SRE-700-K9 и т.д.). Скрипт IVR создаётся с помощью Cisco Unity Express Editor IVR. Решение является достаточно функциональным. Логика создания и работы сильно пересекается с решением на базе UCCX. При этом есть жёсткое ограничение на максимальное количество сессий (максимум 10 для ISM-SRE-300-K9 и 32 для SM-SRE-700 - SM-SRE-910).

3. На базе решения Cisco Unity Connection (CUC).

Данное решение является голосовой почтой и устанавливается на отдельную виртуальную машину. Встроенные средства CUC позволяет создать логику работы автосекретаря (используются встроенные обработчики - handler). Необходимо отметить, что так как используются стандартные конструкции для создания автосекретаря, это налагает определённые ограничения на его функциональность. Так же часть встроенных фраз (например, «вызываемый абонент занят») нельзя заменить на собственные, запись приветствий возможна только через компьютер или телефон – нельзя загрузить предварительно записанные приветствия. Решение интересно в первую очередь тем, что идёт в составе бандла BE 6000.

4. На базе скрипта. В данном случае функционал автосекретаря может быть реализован с помощью TCL или VXML языков.

Существует скрипт, написанный, на базе TCL, который официально поддерживает Cisco - Basic automatic call distribution (B-ACD) and auto-attendant (AA) service. Его существенное ограничение – это запрограммированная логика работы.

Можно создать собственный скрипт на базе TCL или VXML. Скрипт загружается на маршрутизатор Cisco. Необходимо отметить, что при использовании скриптов возможны случаи, когда не все SIP сообщения отрабатываются корректно.

Принципиально существуют 2 технологии записи:

SPAN-based – с помощью сетевого оборудования весь сетевой трафик с IP-телефонов, шлюзов, IP-АТС дублируется на сервер записи.

• Плюсы
  • Не зависит от типов IP-телефонов, шлюзов, IP-АТС
• Минусы
  • Относительная сложность настройки
  • Не все модели сетевого оборудования поддерживают технологию SPAN
  • Повышенная нагрузка на сетевое оборудование и сервер записи
  • В большинстве случаев требует отдельного сервера записи для каждой площадки (офиса)

SPAN-less – с помощью технологий встроенных в IP-телефоны (для оборудования Cisco это Built-in-Bridge), шлюзы (для оборудования Cisco это CUBE), IP-АТС только голосовой трафик интересующих вызовов отправляется на сервер записи.

• Плюсы
  • Относительная легкость настройки (не требует перенастройки сетевого оборудования)
  • Низкая нагрузка на сетевое оборудование
  • Возможность записи вызовов в удаленных офисах без дополнительных серверов записи
  • Возможность проигрывать предупреждение о записи, если это требует законодательство
• Минусы
  • Необходима поддержка данной технологии со стороны IP-телефонов, шлюзов, IP-АТС

Компания Cisco прекратила поддержку следующих устаревших моделей телефонов.

Для UCM 11.5(1) и выше:

• Cisco IP Phone 12S, 12SP, 12SP+
• Cisco IP Phone 30SP+, 30VIP
• Cisco Unified IP Phone 7902G, 7905G
• Cisco Unified IP Phone 7910, 7910G, 7910+SW, 7910G+SW
• Cisco Unified IP Phone 7912G
• Cisco Unified Wireless IP Phone 7920
• Cisco Unified IP Conference Station 7935

Для UCM 12.0(x) и выше:

• Cisco Unified IP Phone 7970 и 7971
• Cisco Unified Wireless IP Phone 7921

Если у вас имеются телефоны перечисленных моделей, то после обновления до CUCM 11.5 и выше, они не смогут зарегистрироваться на сервере.

Данная аббревиатура (NPE — No payload encryption) означает, что в программном обеспечении отсутствуют функции любого шифрования, кроме шифрования данных, передаваемых при управлении устройством, а именно протоколом SSH, SSL в рамках HTTPS и SNMPv3. Маршрутизаторы и межсетевые экраны Cisco с программным обеспечением NPE попадают в категорию С2.

В соответствии с Российским законодательством (Указ 334 от 1995 года, ПП 957 2007) ввоз на территорию РФ крипто-содержащих средств с длиной ключа более 54 бит (алгоритмы шифрации 3DES/AES) разрешен только при получении лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на каждую единицу оборудования.

Компания Cisco в Росcии использует свою внутреннюю классификацию сетевого оборудования. Все оборудование Cisco, доступное для ввоза на территорию РФ, делится на 4 категории:

• C1 – продукты, не требующие разрешения на ввоз;
• C2 – продукты, для который имеются зарегистрированные нотификации и разрешенные ко ввозу без лицензии;
• C3 – продукты, подлежащие импорту с получением лицензии Минпромторга России, выдаваемой  на основании заключения центра по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ);
• C4 – продукты, не распределенные ни по одной из предыдущих категорий.

В категорию C2 попадают:

• устройства со слабым шифрованием (длина ключа меньше 56 бит);
• устройства с сильным шифрованием шифрование, но только для:
  • защиты канала управления устройством;
  • аутентификации;
  • беспроводного оборудования (радиус действия < 400 м);
  • защиты финансовых транзакций в рамках PCI DSS (для установки в банкоматах, POS-терминалах, удалённых офисах).
• товары, у которых криптографическая функция заблокирована производителем;
• криптографические средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной.

Аналогичное распределение по своим категориям есть для беспроводного оборудования.

Да, это можно сделать. Практика показывает, что при корректном заполнении всех необходимых документов для Центра по лицензированию, сертификации и защите государственной тайны ФСБ России, вероятность получения данного разрешения достаточно высока. Основными данными, которые необходимо указать являются информация о конечном пользователе оборудования, цели использования оборудования и место его установки. Сроки получения разрешения, а также лицензии Минпромторга России могут варьироваться. Но уже сейчас они имеют более точные временные границы. За подробной информацией обращайтесь к менеджерам нашей компании.

На ввозимое криптосодержащее оборудование требуется получить разовую лицензию Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России. В лицензии указывается каждое конкретное ввозимое оборудование в необходимом количестве.

На данный момент серии ASA 5500 существует два варианта поставки K8 и K9, а для серии ASA 5500-X три – K7, K8 и K9.

Символ "K7" означает, что на ASA загружено программное обеспечение NPE. Такое оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K8" означает, что на ASA загружено программное обеспечение, которое поддерживает алгоритмы шифрования с длиной ключа меньше 56 бит. Это так называемые слабые алгоритмы шифрования. Таким алгоритмом шифрования является алгоритм DES. Это справедливо как для алгоритмов шифрования пользовательского трафика, так и для алгоритмов шифрования трафика управления. Данное оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K9" означает, что на ASA загружено программное обеспечение с лицензией 3DES/AES, которое поддерживает стойкие алгоритмы шифрования (больше 56 бит) и для шифрования пользовательского трафика и для шифрования трафика управления. Такое оборудование попадает в категорию C3 и требует получения лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.

Изменить K7 на K8 можно только загрузкой нового ПО (это два разных образа ПО). Для выполнения этой операции необходимо иметь действующую расширенную гарантию (Smartnet) или приобрести отдельно возможность разового обновления ПО (ASA-SW-UPGRADE=, ASA 5500 Series One-Time Software Upgrade for Non-SMARTnet).

Изменить K8 на K9 можно загрузив специализированную лицензию, так как K9 – это расширение функционала образа K8. Данную лицензию можно получить бесплатно на сайте компании Cisco.

Сам процесс шифрования можно перенести на другие устройства, то есть, маршрутизатор Cisco отправляет трафик на другое устройство, которое его шифрует и возвращает обратно на маршрутизатор. При этом подключение к сети Интернет, маршрутизацию трафика, создание GRE туннеля, поддержку DMVPN (без шифрации данных) осуществляем на оборудовании Cisco.

Существует следующие варианты построения таких решений:

• Маршрутизаторы Cisco ISR G2 или ISR4K совместно с блейд-серверами Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2, на которых установлен виртуальный шлюз С-терра;
• Маршрутизаторы Cisco ISR4k совместно с программным модулем С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»);
• Использование сторонних средств для шифрования, которые никак не интегрируются с оборудование Cisco. Например, С-терра Gate.

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования. Выбор маршрутизатора происходит, исходя из требуемой производительности.

Пример конфигурации:

Б. Использование решения от компании C-терра.

Модуль NME-RVPN, также как и модуль МСМ-950 сняты с производства.

Актуальное решение - С-Терра CSCO-STVM. Это программный модуль, в виде виртуальной машины (OVA). Данный модуль устанавливается на маршрутизаторы серии ISR4000.

Данное решение обладает ФСТЭК и ФСБ сертификатами и обеспечивает шифрование по ГОСТу.

Для того, чтобы данный программный модуль можно было установить на маршрутизатор, необходим Cisco SSD-диск для маршрутизатора и RAM+FLASH не менее 8 ГБ.

Производительность решения:

Пример конфигурации на базе ISR4321:

В. Использование сторонних (не Cisco) средств для шифрования. При этом подключение к сети Интернет и маршрутизацию трафика осуществляем на оборудовании Cisco.

Внедрение такого варианта требует проработки сопряжения устройств разных производителей.

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования.

Выбор маршрутизатора происходит исходя из требуемой производительности, например ISR C1111-4P.

Помимо маршрутизатора Cisco, можно рассмотреть вариант приобретения межсетевого экрана Cisco FPR c ОС FTD или ASA. Во многих случаях решение Cisco FPR предоставляет весь необходимый функционал для подключения небольшого офиса к сети Интернет и организации защищённого соединения с ЦО.

Б. Покупка оборудования Cisco и отдельного решение для шифрования (например, С-терра).

Можно приобрести маршрутизатор Cisco ISR1111-4P с образом NPE и шлюз С-Терра Шлюз 100.

Другой вариант – ISR4321 + программный модуль С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»).

На данный момент (апрель 2021) со стороны регулирующих органов нет обязательных требований по сертификации во ФСТЭК оборудования для защиты персональных данных в коммерческих организациях. В связи с этим весь спектр решений компании Cisco может быть использован для этой задачи. Наиболее распространёнными являются аппаратные межсетевые экраны Cisco FPR, маршрутизаторы Cisco ISR и Catalyst, коммутаторы Cisco Catalyst.

Если речь идёт про государственные организации, где требование сертификации во ФСТЭК является обязательным, также можно использовать продукцию компании Cisco. На многое оборудование Cisco были получены сертификаты соответствия требованиям безопасности ФСТЭК. В качестве средств криптографической защиты информации может быть использован виртуальный шлюз С-терра, запускаемый на базе модулей блейд-серверов Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2 для маршрутизаторов ISR G2 (1900/2900/3900) и ISR4K (4300/4400). Решение соответствует требованиям к средствам криптографической защиты информации класса КС1.

Кроме того, для маршрутизаторов ISR4K (4300/4400) может быть использован программный модуль С-терра CSCO-STVM. Решение соответствует требованиям к средствам криптографической защиты информации класса КС1. Более подробно, см вопрос вариант «Б».

В случае предъявления высоких требований к производительности устройства шифрования может быть использовано VPN-решение компании «С-Терра» на базе Cisco UCS C-220 M4 (для моделей CSP VPN Gate 3000 и 7000) сертифицированное по классу КС1/КС2/КС3.

Да, это возможно. В этом случае маршрутизатор, на котором может быть загружено программное обеспечение NPE, выполняет все функции DMVPN, кроме шифрования. Само шифрование может быть выполнено на стороннем СКЗИ, например, на программном модуле С-терра CSCO-STVM (для маршрутизаторов 4300/4400, более подробно, см вопрос вариант «Б»), на устройстве С-Терра Шлюз и пр. При этом никакая дополнительная лицензия на маршрутизатор (SEC, Appx или UC) не требуется.

С технической стороны настройка выглядит следующим образом. На маршрутизаторе настраивается DMVPN без функций шифрования. Т.е. команда «tunnel protection ipsec» на туннельном интерфейсе не вводится. Далее, например, используя обычную статическую маршрутизацию, GRE-трафик протокола DMVPN перенаправляется на внешнее средство СКЗИ, где оно шифруется и отправляется во внешнюю сеть. Так как внешние средства СКЗИ не обладают функционалом динамического построения VPN соединений, как это делает протокол DMVPN, на внешних СКЗИ потребуется прописать все возможные крипто-карты для работы hub-to-spoke и spoke-to-spoke туннелей. Протокол DMVPN позволяет отключить возможность установления spoke-to-spoke туннелей, что существенно снижает объём команд на внешнем СКЗИ.

Да, это возможно, используя программное обеспечение Cisco AnyConnect версии 3.0 и выше. Это программный VPN-клиент компании Cisco, использующий протокол SSL для защиты передаваемых данных и имеющий интеграцию с решением по защите Web-трафика Cisco ScanSafe. Большим достоинством данного решения является то, что фильтрация Web-трафика происходит «в облаке», а не на самом устройстве, что существенно экономит его вычислительные ресурсы. Также защита Web-трафика никак не зависит от того установлено или нет VPN-соединение. При этом непосредственно само решение Cisco AnyConnect позволит получить защищённое VPN-соединение до офиса компании.

С приобретением SourceFire компания Cisco Systems получила доступ к новому функционалу обеспечения информационной безопасности – Advanced Malware Protection (AMP).

AMP – это платформа для борьбы с вредоносным кодом. Защита AMP может быть реализована в трёх точках:

• на конечном оборудовании – AMP for endpoint (SourceFire FireAMP);
• на устройствах контентной безопасности Cisco IronPort Email Security Appliance и Cisco IronPort Web Security Appliance – AMP for Content;
• на сетевом оборудовании – AMP For Networks.

Последний вариант исполнения реализуется путём установки специализированного высокоскоростного шлюза для борьбы с вредоносным кодом. Данный шлюз может являться отдельным устройством или модулем для межсетевых экранов и систем предотвращения вторжений нового поколения. Модельный ряд устройств AMP For Networks представлен на рисунке ниже:

Основная задача AMP – проверка файла, пересылаемого через сетевое устройство и/или записываемого на конечное оборудование, на наличие вредоносного кода. С распространяемого в сети файла снимается хэш SHA-256 и отправляется на Firepower Management Center (FMC). Далее Firepower Management Center перенаправляет в облако AMP для определения его диспозиции (содержит вредоносный код или нет) по имеющейся базе данных сигнатур.

Если диспозиция файла не может быть установлена, файл перенаправляется в облачную песочницу, где осуществляется запуск файла в виртуально среде и анализ его поведения (генерируемый сетевой трафик, создаваемые процессы и т.д.). На основании результатов тестирования определяется уровень опасности данного файла.

Главной особенностью платформы AMP является возможность ретроспективного анализа, то есть обеспечение защиты не только до момента атаки или во время атаки, но и после её прохождения. Вредоносный код может проникнуть за периметр корпоративной сети по многим причинам: не появилась вовремя сигнатура новой угрозы, опасность не была обнаружена при запуске в песочнице, так как применялись техники отложенного запуска, вредоносный код был занесён на конечное устройство с флешки и т.д.). При использовании системы AMP можно отследить все пути распространения файла в сети, и, при появлении сигнатур, указывающих на вредоносность данного файла, заблокировать файл на сетевом уровне. Если используется FireAMP, вредоносный код может отслеживаться и быть заблокирован также и на уровне конечного оборудования.

За основу ответа были взяты материалы Казакова Дмитрия и Алексея Лукацкого - сотрудников компании Cisco.

На настоящий момент времени компания Microsoft завершила выпуск продукта MS ISA/TMG. Многие системные администраторы и инженеры задаются вопросом, какое решение можно использовать в замен снятого с выпуска продукта. Линейка межсетевых экранов Cisco FPR на базе ОС FTD может послужить прекрасной заменой ISA/TMG для небольших компаний. Для крупных компаний, требующих наличия высокопроизводительного прокси-сервера, для замены ISA/TMG подходит решение Web-шлюз Cisco WSA в комбинации с межсетевым экраном Cisco FPR на периметре корпоративной сети.

Выбор между маршрутизаторами Cisco ISR и устройствами безопасности Cisco ASA в некоторых ситуациях не так прост, как может показаться на первый взгляд. Если требования можно сформулировать так: требуется защитить выход в интернет для пользователей и предоставить удаленный доступ, чтобы сотрудники могли работать из любой точки, тогда можно рекомендовать Cisco ASA. Если же данное устройство должно быть установлено в филиале, тогда маршрутизатор может оказаться более выгодным и гибким решением, поскольку в нем можно совместить большее число сервисов. Если установка планируется в главном офисе компании на границе сети, тогда можно установив в одной сети оба устройства и разделить между ними сервисы: Cisco ASA использовать для МСЭ, фильтрация контента, IPS, VPN для удаленных пользователей, а маршрутизатор – для протоколов динамической маршрутизации (OSPF, EIGRP, BGP), CUBE, site-to-site IPSec, DMVPN и др. Подробнее.

Устройства Cisco ASA являются наиболее распространённым программно-аппаратным решением, обеспечивающим функции межсетевого экранирования. Функционал устройств крайне широк, многие сервисы включаются посредством приобретения и активизации соответствующих лицензий. Схема лицензирования Cisco ASA достаточно сложная и включает в себя множество нюансов, поэтому рассмотрена в рамках отдельной статьи.

Да, это возможно. МСЭ ASA поддерживают функцию мониторинга статических маршрутов посредством функции IP SLA. Поддержка IP SLA существует в базовом варианте программного обеспечения. Однако стоит заметить, что ASA 5505 без лицензии Security Plus поддерживает три виртуальных сети (VLAN), причем одна из них имеет существенное ограничение на входящий трафик. В связи с этим, для подключения ASA 5505 к двум или более интернет-провайдерам необходимо использовать лицензию Security Plus.

Очень часто не удаётся подключиться по ASDM к ASA K8. Причина в том, что ASDM использует протокол SSL для передачи данных. В наиболее распространённых в настоящее время ОС Windows Vista и Windows 7 протокол SSL по умолчанию использует только строгие алгоритмы для шифрования данных - 3DES/AES. В ASA K8 поддержка таких алгоритмов заблокирована. Таким образом, чтобы получить возможность использовать ASDM для конфигурирования ASA необходимо либо заказывать изначально ASA K9, требующую получения разрешения на ввоз, либо открывать функционал 3DES/AES на ASA K8 (фактически, превращая её в К9).

При этом стоит отметить, на ASA даже с включённым шифрованием 3DES/AES во многих версиях программного обеспечения для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.

Windows XP поддерживает алгоритм DES для SSL.

Относительно сервиса Cisco AnyConnect ситуация абсолютно аналогична ситуации с ASDM. Cisco AnyConnect использует протокол SSL для формирования защищённого VPN соединения. ОС Windows Vista и Windows 7 для протокола SSL по умолчанию использует только строгие алгоритмы для шифрования данных 3DES/AES. Поэтому, для сервиса Cisco AnyConnect необходима поддержка 3DES/AES, следовательно, необходима ASA K9.

Для многих версий программного обеспечения ASA для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.

МСЭ ASA 5500-Х является наиболее продвинутым с точки зрения функционала концентратором пользовательских VPN соединений (VPN Remote Access). Попробуем разобраться, как именно пользователь может удалённо подключиться к корпоративной сети, используя функционал МСЭ Cisco ASA. Подробнее.

В апреле 2015 года компания Cisco анонсировала пять новых моделей Cisco ASA: 5506-X, 5506W-X, 5506H-X, 5508-X и 5516-X.

Отличительной особенностью всех указанных моделей является наличие встроенного SSD-диска. Это позволяет сразу запускать* FirePOWER Services или же образ Firepower Threat Defense (FTD), т.е. весь расширенный функционал – NGFW, NGIPS, URL-фильтрация, AMP и т.д. Сервисы FirePOWER могут быть настроены из встроенной консоли управления ASDM, а FTD через интерфейс Firepower Device Manager (FDM). Однако для выполнения некоторого функционала, в частности, для построении отчётов, требуется наличие внешней системы управления - Firepower Management Center (FMC). Особенности каждой модели представлены в таблице ниже:

* Из-за ограничений в производительности ASA 5506 запуск сервисов FirePOWER или же FTD начиная с версии 6.3 на данной платформе невозможен.

Зависит от того, с каким типом вирусов хотим бороться. Если хотим бороться с вирусами типа «червь», то есть предотвращать распространение вирусного кода от инфицированной машины к незаражённым хостам, можно использовать ASA 5500-X с функционалом IPS. Система IPS также направлена на предотвращение других видов атак на корпоративную сеть, в том числе, на предотвращение DDOS атак.

Ранее МСЭ серии ASA5500-X предлагало два варианта IPS: традиционную систему Cisco IPS и Next Generation IPS (NG IPS), доступную в рамках функционала CX.

Начиная с августа 2014 года на межсетевых экранах ASA 5500-X стали доступны сервисы FirePOWER. Сервисы FirePOWER включают NG IPS от компании SourceFIRE, Application Visibility and Control (AVC), URL-фильтрацию и функционал Advanced Malware Protection (AMP). Функционал NG IPS от SourceFIRE является лучшим решением в области систем обнаружения и предотвращения вторжений на рынке ИБ по результатам рейтингового агентства Gartner, независимой лабораторией тестирования NSS Labs и других. Поэтому, на данный момент времени при необходимости запуска IPS на МСЭ Cisco ASA 5500-X, решение FirePOWER является предпочтительным. Более подробную информацию можно найти в вопросе «Как запустить сервисы FirePOWER на ASA 5500-X?».

IPS предполагает предотвращение вирусных атак типа «червь», то есть защищает от вирусов, проявляющих себя в сетевом взаимодействии, не даёт вирусному коду распространятся от зараженного устройства к другим компьютерам по корпоративной сети. Если же мы хотим бороться с проникновением вирусного кода на хосты за МСЭ из глобальной сети, например, в результате посещения вирусных сайтов, атак типа fishing, есть следующие варианты:

1. Блокировка «подозрительных» URL посредством функционала Firepower. В рамках функциональности URL-фильтрации есть возможность блокировать доступ как по категориям сайтов, так и по значениям репутаций сайтов.
2. Проверка файлов, пересылаемых через МСЭ ASA 5500-X на наличие вирусного кода, посредством функционала Firepower AMP. Более подробную информацию данному функционалу можно найти в вопросе «Что такое Advanced Malware Protection (AMP)?»

Для организации максимальной защиты корпоративной сети от внешних угроз средствами МСЭ Cisco ASA 5500-X рекомендуется использовать сервисы FirePOWER в максимальной возможной комплектации, а именно, NG IPS+URL-filtering+AMP.

В качестве альтернативного и более мощного решения для антивирусной защиты и зашиты от спама на периметре корпоративной сети рекомендуется ознакомиться с Web-шлюзом Cisco WSA (Web Security Appliance) и Email-шлюзом Cisco ESA (Email Security Appliance).

Схема лицензирования предусматривает четыре вида лицензий:

1. Cisco AnyConnect Plus Subscription Licenses
2. Cisco AnyConnect Plus Perpetual Licenses
3. Cisco AnyConnect Apex Subscription Licenses
4. Cisco AnyConnect VPN Only licenses

Тип лицензии определяется требуемой функциональностью решения при его внедрении.

Схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам за исключением Cisco AnyConnect VPN Only. В качестве VPN-концентраторов могут выступать межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Поддержка SSL VPN на маршрутизаторах сери ISR4K заявлена в будущих релизах операционных систем.

Лицензии вида Cisco AnyConnect VPN Only привязываются к конкретному серийному номеру устройства Cisco ASA.

Необходимо приобретать лицензии Cisco AnyConnect Plus/Apex на пользователей, а не на терминирующее VPN устройство. При приобретении лицензии Cisco AnyConnect Plus/Apex на определённое количество пользователей появляется возможность сгенерировать лицензионные ключи активации функционала удалённого доступа на неограниченное количество VPN-концентраторов.

Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses

Данный тип лицензий открывает возможность подключения удалённых сотрудников с помощью клиента Cisco AnyConnect. При этом, подключать можно как со стационарных, так и с мобильных устройств. Фактически AnyConnect Plus объединяет в себе функционал AnyConnect Essentials и AnyConnect Mobile.

Лицензия AnyConnect Plus может быть как в виде подписки на 1, 3 или 5 лет (AnyConnect Plus Subscription Licenses), так и в виде постоянной лицензии (AnyConnect Plus Perpetual Licenses). В последнем случае для обеспечения возможности скачивать новые версии клиента AnyConnect и обращаться в службу технической поддержки Cisco TAC требуется наличие сервисного контракта. Лицензии AnyConnect Plus необходимо заказывать на определённое количество пользователей. Под пользователем подразумевается реальный человек, который будет использовать сервис удалённого подключения. Минимальное количество пользователей – 25. Можно указать любое количество пользователей (26, 27, и 101 и т.д.).

Cisco AnyConnect Apex Subscription Licenses

Данный тип лицензий предоставляет все возможности, включённые в AnyConnect PLUS и открывает дополнительные возможности, а именно:

• подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
• проверка устройств на соответствие политикам безопасности;
• криптография нового поколения (Suite B).

Данный тип лицензий подходит для замены SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant.

Лицензия AnyConnect Apex может быть только в виде подписки на 1, 3 или 5 лет.

Лицензии AnyConnect Apex, также, как и AnyConnect Plus, необходимо заказывать на определённое количество пользователей.

Cisco AnyConnect VPN Only licenses

Данный тип лицензий открывает функциональность подключения по VPN:

• подключение по VPN с помощью клиента AnyConnect как для стационарных, так и для мобильных устройств;
• подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
• проверка устройств на соответствие политикам безопасности, но только при подключении по VPN к Cisco ASA;
• криптография нового поколения (Suite B).

В отличие от AnyConnect Plus/Apex лицензий AnyConnect VPN-Only не предоставляет функциональность:

• Network Access Module (NAM) – сапликант 802.1Х;
• ISE Posture - проверка устройств на соответствие политикам безопасности в комплексе с решением Cisco ISE;
• Web Security Module – подключение к облаку ScanSafe для инспекции web-трафика.

Лицензии Cisco AnyConnect VPN-Only привязываются к конкретному устройству Cisco ASA по серийному номеру.

Лицензии Cisco AnyConnect VPN-Only в отличие от AnyConnect Plus/Apex приобретаются не на определённое количество пользователей, которые потенциально могут подключаться с помощью AnyConnect, а на количество одновременных сессий. Минимальное количество - 25 одновременных сессий, далее есть варианты 50, 100 и т.д.

Установка лицензионных ключей на сетевое оборудование

Как говорилось ранее, новая схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам, кроме лицензий AnyConnect VPN-Only. Однако, для того, чтобы открыть функционал SSL-VPN шлюза на устройстве, в частности, на Cisco ASA, необходимо ввести лицензионный ключ.

При покупке лицензий AnyConnect Plus/Apex пользователю высылается так называемый multi-use Product Activation Key (PAK), т.е. PAK, который можно использовать много раз. С помощью данного PAK и сайта пользователь может сгенерировать лицензионные ключи на неограниченное количество устройств.

При покупке лицензий AnyConnect VPN-Only пользователю высылается Product Activation Key (PAK), который необходимо привязать к серийному номеру Cisco ASA на сайте.

Более подробную информацию по новой схеме лицензирования SSL VPN можно найти на сайте.

В первую очередь отличие в области применения. NGFW - прежде всего межсетевой экран. Данное устройство можно использовать на периметре корпоративной сети, с помощью этого устройства можно организовать подключение к Интернет-провайдерам. Для многих компаний функционал и производительность современного NGFW позволяет обходиться без выделенного Web-шлюза.

Область применения Cisco WSA (Web Security Appliance) – корпоративный высокопроизводительный прокси сервер. Данное устройство не может быть использовано для подключения к Интернет-провайдерам, поэтому, должно использоваться только совместно с межсетевых экраном, в роли которого может выступать Cisco FPR, но без подписок на продвинутые сервисы (IPS, URL, AMP).

С точки зрения функционала выделим следующие основные отличия между WSA и NGWF:

1. WSA является прокси-сервером и может кэшировать web-страницы, NGFW – не может.
2. WSA умеет осуществлять антивирусные проверки (реактивная антивирусная защита) посредством IronPort Dynamic Vectoring and Streaming engine (DVS). Данный механизм использует платформы и сигнатуры антивирусов Sophos, McAfee и WebRoot для сканирования трафика на предмет наличия вредоносного кода. NGFW не может осуществлять активные антивирусные проверки.
3. WSA предоставляет возможность защиты от утечки проприетарной информации. WSA имеет встроенные средства проверки исходящего трафика на наличие корпоративных данных (размер выгружаемого файла, MIME-тип файла, имя файла или шаблон имён файлов). Кроме того, WSA может быть интегрирована с DLP-системами (Data Loss Prevention) сторонних производителей. NGFW не предоставляет таковой возможности.
4. WSA предоставляет сервис Layer-4 Traffic Monitor (L4TM). Данный сервис позволяет:
   • просматривать TCP/UDP трафик на всех портах;
   • блокировать сессии с известными сайтами, содержащими вредоносный код;
   • блокировать попытки вирусного кода обойти порт 80 (а, следовательно, обойти корпоративный проки-серврер);
   • блокировать попытки заражённых устройств устанавливать сессии управления с внешними компонентами Bot-сетей (блокировка malware phoning home activity);
   L4TM использует для своей работы глобальную базу данных Cisco IronPort update server. NGFW предоставляет сервис NG IPS. Система предотвращения вторжений NG IPS эффективно борется с вирусной активностью типа «червь», а также предотвращает различные виды сетевых атак на ресурсы компании, отслеживая проявления данных атак по существующим сигнатурам.
5. WSA предлагает более гибкие возможности по фильтрации скачиваемых или выгружаемых файлов (процесс upload/download).

Cisco WSA

Cisco WSA не объединяются в кластер. Однако, для обеспечения высокой доступности сервисов устройства могут объединяться в отказоустойчивые группы. Для этого используется протокол CARP - Common Address Redundancy Protocol. Данный протокол обеспечивает единый IP-адрес для сервисов, предоставляемых устройствами Cisco WSA, входящими в отказоустойчивую группу. Благодаря этому отказ устройства Cisco WSA в отказоустойчивой группе проходит прозрачно для клиентов.

Для создания отказоустойчивой группы не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.

В отказоустойчивую группу можно объединять виртуальные и физические устройства Cisco WSA. Конфигурации устройств в отказоустойчивой группе не реплицируются автоматически. Целостность конфигураций необходимо обеспечивать вручную.

Cisco ESA

Cisco ESA могут быть объединены в кластер. Но для Cisco ESA кластер не является средством обеспечения высокой доступности. Устройства Cisco ESA не обладают средствами мониторинга состояний «соседа».

Кластер для Cisco ESA является средством централизованного конфигурирования нескольких устройств. Кластер – это набор устройств Cisco ESA с общей конфигурацией. В пределах кластера устройства разделяются на группы. В кластере всегда существует как минимум одна группа. Каждое устройство может принадлежать только единственной группе. Соответственно, конфигурация устройств может быть разделена и детализирована на трёх уровнях: на уровне кластера, группы и конкретного устройства Cisco ESA.

Для создания кластера не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.

В кластер можно объединять виртуальные и физические устройства Cisco ESA. При этом нужно не забыть тонкость с настройкой антиспам и антивирус обновлений.

Обеспечение отказоустойчивости для входящих Email может быть достигнуто путём создания нескольких A-записей с разными приоритетами в MX-записи компании, указывающие на разные устройства Cisco ESA.

NGFW (Next-Generation Firewall) – межсетевой экран (МСЭ), который обеспечивает глубокую инспекцию пакетов, предотвращение вторжений (IPS), и проверку трафика на уровне приложений. Большинство NGFW также поддерживают фильтрацию веб-сайтов, антивирусную проверку, проверку зашифрованного трафика TLS/SSL, интеграцию со сторонними системами управления идентификацией (LDAP, RADIUS и Active Directory).

В портфолио компании Cisco присутствует четыре решения с функциональностью NGFW:

• Cisco ASA с сервисами FirePOWER;
• Firewall Treat Defense (FTD);
• Управляемые из облака устройства Meraki MX серии, на текущий момент (декабрь 2020) решение в России не продаётся;
• Программно-определяемое решение SD-WAN.

Первые три решения относятся к устройствам Cisco Secure Firewall. SD-WAN – программно-определяемая WAN сеть c интегрированными функциями безопасности.

Рассмотрим первые два решения. Они оба обеспечивают идентичный функционал. Отличие заключается в архитектуре решения.

Cisco ASA с сервисами FirePOWER – это классический МСЭ под управлением операционной системы ASA OS с сервисами FirePOWER, запущенными в виде виртуальной машины. В этом решении отдельно настраивается функционал Cisco ASA и отдельно Firepower. В случае FTD, мы имеем одну операционную систему, которая выполняет всю функциональность решения. Варианты ОС и интерфейсы управления. Рекомендованным вариантов развертывания NGFW является вариант FTD.

Каждое из этих решений состоит из следующих компонентов:

1. Аппаратная или виртуальная* платформа. В качестве современной аппаратной платформы могут быть модели Cisco ASA 5508 и выше, Cisco Firepower 1000/2100/3100/4000/9000.
2. Подписки на функционал: IPS, фильтрацию веб-сайтов, антивирусная проверка. Подписки могут быть на 1/3/5 лет.
3. Опционально - система управления Firewall Management Center (FMC) в виде виртуальной или аппаратной платформы. Для обеспечения полной функциональности решения, FMC является обязательным компонентом.
4. Опционально – агент для интеграции с MS Active Directory: Cisco UserAgent (последняя поддерживаемая версия FTD - 6.6) или Cisco ISE/ISE-PIC.

* только для решения FTD.

Внедрение решения NGFW требует проработки для получения максимальной эффективности при его работе.

Преимущества NGFW по сравнению с классическими межсетевыми экранами:

• Надёжная система предотвращения вторжений нового поколения (NG IPS). Обеспечивает максимальный уровень защиты внутренних ресурсов компании от атак «из вне».
• Полное видение сети. Технология Network visibility позволяет получать максимально полную информацию об устройствах, участвующих в сетевом взаимодействии. К такой информации относится версия операционной системы устройства, версия программного агента, участвующего в сетевом взаимодействии (браузер, клиент Skype и т.д.), пользователи, работающие на данном устройстве, вероятные уязвимости с точки зрения сетевой безопасности и многие другие параметры. Пример отображения параметров конечного оборудования представлен на рисунке ниже:

• Распознавание файлов различных типов и проверка файлов на наличии вредоносного кода. Устройство способно распознавать более сотни различных типов файлов (mp3, mp4, bmp, rar, pdf и т.д.). Кроме того, технология Advanced Malware Protection (AMP) позволяет проверять скачиваемые/выгружаемые файлы на наличие вредоносного кода.
• Ретроспективный анализ. Обеспечивается реакция системы не только до момента атаки или во время атаки, но и после её прохождения. Реакция системы после проведения атаки крайне важна для поддержания необходимого уровня безопасности. Ведь вредоносный код может попасть на конечное оборудование не только через сеть, но и простым подключением зараженного носителя. При таком прохождении атаки Firepower безусловно не может заблокировать вредоносный код на конечном оборудовании. Однако, если занесённый вирус проявит себя в сетевом взаимодействии, например, пытаясь распространиться на другие устройства, Firepower вычислит вирус, проследит заражённый код и пути его распространения по сети.
• Межсетевой экран нового поколения. Позволяет настраивать гибкие политики доступа. Возможна настройка фильтрации по Интернет-приложениям, URL и категориям URL, репутации сайтов.
• Интеграция с Active Directory. Политики доступа могут быть применены к конкретным пользователям или группам пользователей AD вне зависимости от клиентского устройства, с которого осуществляется сетевое взаимодействие.
• Широчайшие возможности мониторинга, создания гибких отчётов. Пример предлагаемых отчётов представлен на рисунке ниже:

• Гибкие возможности интеграции в сетевую инфраструктуру. В виде физического или виртуального устройства. Различные режимы работы: NGFW в режиме L3, NGFW в прозрачном режиме (transparent), NGIPS в inline-режиме или пассивном.

Решения Cisco ASA5500-X и новейшие решения Cisco Firepower (FPR) серии 1000/2100/3100/4000/9000 входят в нишу сразу двух классов устройств: межсетевой экран нового поколения (NGFW) и система предотвращения вторжений нового поколения (NGIPS).

Существует несколько вариантов программного обеспечения, которые могут быть запущены на различных платформах Cisco Secure Firewall:

• ASA OS – классическая операционная система ASA*.
• FirePOWER Services on ASA – программный модуль FirePOWER для Cisco ASA.
• FirePOWER NGIPS – классическая операционная система IPS-сенсора FirePOWER.
• Firewall Treat Defence (FTD) – консолидированная операционная система включающая в себя как функциональность ASA, так и модуля FirePOWER для Cisco ASA.

Устройства и соответствующие им варианты программного обеспечения удобно представить в табличном виде:

Замечание: Cisco Firepower серии 1000/2100/3100/4000/9000 используют операционную систему Cisco Firepower eXtensible Operating System (FXOS) как оркестратор и для низкоуровневого управления шасси. ASA OS или FTD являются гостевыми операционными системами относительно FXOS.

Firewall Threat Defense (FTD) – образ программного обеспечения для Cisco ASA 5500-X и устройств Firepower (FPR) 1000/3100/2100/4000/9000. FTD включает в себя функционал классического ПО Cisco ASA и ПО Firepower, тем самым являясь полноценным NGFW. Управление системой происходит через выделенное решение - Firewall Management Center (FMC).

Помимо доступа через FMC, на FTD можно попасть и через CLI по SSH. В CLI отсутствует возможность по настройке устройства, но присутствуют команды для мониторинга и траблшутинга. Большинство стандартных команд из категории show ничем не отличаются от таких же команд для «полноценных» ASAv/ASA. Есть команды capture, packet-tracer, debug, test и т.п.

Ещё одним вариантом управления FTD является «on-board» система Firepower Device Manger. Это легковесная система управления, встроенная в образ FTD. Обеспечивает базовые настройки устройства и предлагаем необходимый минимум для запуска устройства в небольшом офисе/филиале.

FTD так же доступен в виде виртуальной машины – vFTD.

Лицензирование FTD, в любых исполнениях, выполняется по новой схеме – Cisco Smart Software Licensing.

Для лицензирования функций NGFW для FTD выполняется в форме подписок на 1/3/5 лет. Доступны подписки на функционал Treat, Malware и URL Filtering:

Кроме подписки и само устройства приобретаются различные опции:

• система управления FMC (в виде виртуальной машины или физического аплайнса),
• система для интеграции* с MS Active Directory: Cisco ISE или ISE-PIC,
• лицензии на Anyconnect (VPN доступ для пользователей).

Доступные варианты управления МСЭ Cisco определяются типом ОС, установленной на этих устройствах.

Существуют следующие варианты управления:

• ASA CLI – классическая командная строка для ASA OS.
• ASDM – графический интерфейс для управления ASA OS и частично сервисами FirePOWER, запущенными на Cisco ASA.
• FMC (Cisco Secure Firewall Management Center, ранее Firewall Management Center) – отдельно стоящая система управления (виртуальная машина или аппаратный аплайнс) решениями Firepower, включая FTD OS, NGIPS и пр.
• FDM (Firepower Device Manager) – легковесная система управления, которая работает «из коробки», то есть по умолчанию; встроена в образ FTD.

Некоторые системы управления для некоторых вариантов программного обеспечения предоставляют ограниченные возможности настройки. Например, для ASA с сервисами FirePOWER с помощью ASDM можно настраивать полный функционал ASA, но ограниченный функционал Firepower (подробнее).

Оба решения используются для управления решением FTD (Firewall Threat Defense). Ниже представлена информация о доступной функциональности решения FTD при управлении через FDM и FMC.

Данные устройства представляют собой новую платформу Cisco Firepower (FPR), которая пришла на замену популярным межсетевым экранам Cisco ASA. Они относятся к классу межсетевых экранов нового поколения (NGFW). Помимо современной OC FTD, на эти устройства может быть установлена также классическая ОС ASA.

Основные особенности данного класса устройств:

• фильтрация по Интернет-приложениям (более 4000 приложений),
• фильтрация по URL и категориям URL (более 80 категорий),
• фильтрация по IP, DNS, репутация сайтов,
• система предотвращения вторжений нового поколения (NG IPS),
• проверка файлов на наличии вредоносного кода (Cisco AMP),
• построение защищённых VPN туннелей: site-to-site (IKEv1 и IKEv2), remote-access (Anyconnect),
• работа в отказоустойчивом режиме (active/standby, active/active) и кластеризация*,
• централизованное управление,
• глубокий мониторинг и создание гибких отчётов,
• операционная система: Firewall Threat Defense (FTD) или Cisco Adaptive Security Appliance (ASA) OS,
• защита от DDoS*,

* только для линеек 4000/9000

Богатая функциональность налагает определённые требования на проработку решения при его внедрении для получения максимальной эффективности.

* RJ45 - 10/100/1000Base-T

Компания Cisco начала продажи устройства Firepower 1000. Это самая младшая линейка относительно нового класса устройств Firepower (FPR).

Данные устройства примечательны очень хорошей производительностью. Как мы помним, сервисы Firepower/FTD можно запустить на аппаратной платформе Cisco ASA начиная с ASA 5508. И если сравнить платформы Cisco ASA c FPR 1000, новые устройства получаются намного интереснее, особенно FPR 1010.

Начиная с версии FTD 6.5/ASA 9.13.1 на всех устройствах FPR (1000/2100/4000/9000) можно запустить как образ FTD, так и ASA OS (классический МСЭ). Поэтому, даже если не планируется использовать Cisco FTD, можно установить образ ASA OS и получить на базе решений FPR (1000/2100/4000/9000) привычный классический МСЭ с очень хорошей производительностью.

По производительности линейка устройств Cisco Firepower полностью закрывает линейку устройств Cisco ASA.

Firepower Management Center (FMC, предыдущие названия Defence Center, FireSIGHT) – система управления решениями Firepower (сервисы FirePOWER, FTD).

Firepower Management Center 6.2

Версия FMC 6.2 стала доступна в начале 2017 года.
Среди наиболее заметных нововведений:

• Поддержка TS Agent. Это агент для терминальных серверов, который поможет с аутентификацией пользователей. Подробнее можно почитать в нашем блоге на хабре.

Другие важные доработки касаются в основном Firepower Threat Defence (FTD - что это такое?):

• Поддержка удобнейших инструментов Cisco ASA – Packet Tracer и Packet Capture. Packet Tracer запускает прохождение виртуального пакета с задаваемыми характеристиками через FTD. Позволяет проверять корректность настроек: будет ли пакет пропущен или отброшен, если отброшен, то каким правилом, какой выходной интерфейс будет выбран, какое правило NAT отработает и т.д.

  

  Packet Capture позволяет захватывать определяемые шаблоны трафика. Крайне удобно в процессе отладки. Например, можно понять, блокируются ли пакеты нашим устройством, или они даже не доходят до него.

  

• Integrated Routing and Bridging (IRB). Теперь можно объединить физические L3 интерфейсы в bridge-группу. То есть, интерфейсы будут делать L2-switching и могут быть помещены в один vlan. Это крайне полезно в первую очередь для ASA5506, у которой 8 физических L3-инетфейсов. Теперь при установке ASA5506 в мини-офисе нет необходимости докупать дополнительный коммутатор.

• Site-to-Site VPN. Поддержка Site-to-Site IPsec была внедрена уже в версии 6.1. Но в той версии VPN можно было настроить только между двумя ASA (с софтом FTD или с обычным софтом). VPN между ASA и маршрутизатором не поддерживался. Авторизация VPN точек поддерживалась только по PSK. В версии 6.2 добавили аутентификацию по сертификатам, вместе с этим стал работать IPsec c маршрутизаторами.

• URL Lookups. Часто встаёт вопрос, где посмотреть, будет ли знать Firepower категорию и репутацию того или иного сайта. Ранее, для этого необходимо было вручную проверять каждый URL через сайт brightcloud. Теперь это можно сделать непосредственно через FMC сразу для нескольких URL:

  

  

• FlexConfig. Позволяет деплоить с помощью FMC некоторые шаблоны CLI-команд ASA. FlexConfig помогает, если на ASA с софтом FTD нужно использовать функциональность, который пока не возможно настроить через FMC. Например:
  • Routing (EIGRP, PBR, and IS-IS);
  • Netflow (NSEL) export;
  • WCCP;
  • И т.д.
• Remote Access VPN (с версии 6.2.3). Появилась возможность использовать Cisco AnyConnect для удалённого подключения через протокол SSL или IPsec IKEv2.

Firepower Management Center 6.3

Версия FMC 6.3 стала доступна в декабре 2018 года.
Наиболее заметные нововведения:

• Новая Specific лицензия: позволяет использовать FMC в изолированных сетях. До этого было только два способа использовать smart-лицензии: разрешить FMC доступ в интернет для связи с Cisco Smart Software Manager или настроить связь через специализированный прокси (Satellite License) внутри сети. Теперь же можно установить лицензию на определенный период времени без необходимости доступа куда-либо.
• FTD устройства теперь поддерживают аппаратное ускорение SSL для платформ Firepower 2100, 4000, 9300.
• FTD поддерживает двухфакторную аутентификацию для пользователей Anyconnect. Второй фактор: токены RSA или DUO-пароли передаются на мобильное устройство.

Firepower Management Center 6.4

Версия FMC 6.4 стала доступна в апреле 2019 года.
Наиболее заметные нововведения:

• FMCv может быть развернут на Microsoft Azure.
• Site-to-site VPN:
  • Можно настроить VPN-соединения между площадками, использующими динамический IP-адрес.
  • Стали доступны для использования динамические крипто карты для топологий point-to-point, hub-and-spoke.
  • Можно настроить VPN-подключение с использованием сертификатов вместо общего ключа.
• Cisco Threat Response (CTR) можно интегрировать с FTD. Это позволит коррелировать данные о событиях в Firepower с данными из других источников для единого представления угроз в сети.
• Диспетчер объектов (Object Manager) теперь позволяет просматривать политики, параметры и другие объекты, в которых используется существующий объект network, port, VLAN или URL, что значительно упрощает администрирование.

FirePOWER Management Center 6.5

Версия FMC 6.5 стала доступна в сентябре 2019 года.
Наиболее заметные нововведения:

• Поддержка VMware vSphere/ESXi 6.7.
• FMCv поддерживает подключение до 250 сенсоров.
• Возможность установить ASA OS вместо FTD на новый модельный ряд FPR1010/1120/1140/1150.
• Firepower 1010:
  • Режим работы внутренних портов: восьми портовый коммутатор или восемь маршрутизируемых портов.
  • Поддержка PoE+ на двух портах.
• Фильтрация тегов ISE SGT как по источнику, так и по назначению в ACP.
• Новая версия Firepower User Agent 2.5, которая может интегрироваться с FMC 6.4 и 6.5.
• Можно использовать бэкап для переноса конфигурации FMC, даже если они не одной модели. Переход можно осуществить только с младших моделей к старшим, но не наоборот.
• Расширенные возможности командной строки FTD. Получения статистики о количестве обработанных пакетов Prefilter политикой, Snort процессом и т.д.

Firepower Management Center 6.6

Версия FMC 6.6 стала доступна в апреле 2020 года.
Наиболее заметные нововведения:

• Поддержка Multi-Instance Clustering для платформ FPR 4000 и 9300.
• Поддержка VRF и VRF-lite (кроме платформы FPR 1010).
• Возможность использовать резервный пир для Site-to-Site VPN (IKEv1 и IKEv2).
• Поддержка DTLS 1.2 для Remote-access VPN.
• Работа ACL в соответствии с определённым временем (time-based ACL и prefilter).
• Версия VDB больше не влияет на восстановление FMC из бекапа.
• Тема интерфейса Light theme теперь стала по умолчанию.

Firepower Management Center 6.7

Версия FMC 6.7 стала доступна в ноябре 2020 года.
Наиболее заметные нововведения в плане настройки и администрирования:

• Возможность управления FTD через Data интерфейс - особенно важно для удаленных офисов, таким образом для управления не требуется отдельный адрес или отдельное устройство для маршрутизации трафика от Management интерфейса FTD до FMC в центральном офисе.
• Возможность простой смены адреса FMC со стороны сенсора.
• Фильтр по подсетям для получаемых ISE обновлений на оконечных МСЭ. Функция позволяет ограничить получаемые данные о пользователях конкретным МСЭ от FMC (которые тот получает от ISE) лишь обслуживаемыми данным МСЭ подсетями. Это предотвращает переполнение памяти на слабых МСЭ, как правило стоящих в регионах информацией об аутентификации.
• Хранение больших объемов данных событий вне FMC используя Cisco StealthWatch (используя приложение Security Analytics and Logging).
• Возможность отмены неудачного обновления ПО и откат на прошлую версию.
• Виртуальный FMC (FMCv и FMC300v) теперь поддерживают HA.
• Поиск и фильтрация по политикам NAT.
• Массовый импорт объектов (network, port, URL, VLAN) из CSV файла.
• Мониторинг состояния устройств и загрузки Памяти/CPU/Диска/Соединений в реальном времени.
• Новая темная (Dusk) тема интерфейса.

Наиболее заметные нововведения в плане функциональности:

• Для AnyConnect VPN появилась возможность развертывания модулей и профилей к ним.
• LDAP Attribute Map авторизация для интеграции с LDAP и Active Directory для RA VPN.
• Static-VTI и маршрутизируемый Site-to-Site VPN. Маршрутизация в туннель выполняется либо статическим маршрутом либо BGP.
• Динамический RRI (Reverse Route Injection) для site-to-site VPN.
• Фильтрация URL и определение приложений для TLS 1.3 БЕЗ РАСШИФРОВКИ коммуникаций, используя информацию из сертификата сервера.
• (Beta) DNS Filtering функция предварительного получения репутации и категории запрашиваемого домена. DNS фильтрация использует те же категории что настроены в политике URL фильтрации:
  • Улучшает результаты URL фильтрации;
  • Не требует для своей работы расшифровки трафика.
• Последовательность доменов аутентификации. Теперь можно проводить аутентификацию пользователей из разных доменов в одной подсети.

Firewall Management Center (FMC, предыдущие названия Firepower Management Center) – система управления решениями Firepower (сервисы FirePOWER, FTD).

Firewall Management Center 7.0

Версия FMC 7.0 стала доступна в сентябре 2021.

Наиболее заметные нововведения:

• Поддержка VMware vSphere/VMware ESXi 7.0
• Новые виртуальные среды для FMCv и FTDv:
  1. Cisco HyperFlex
  2. Nutanix Enterprise Cloud
  3. OpenStack
• Универсальный просмотрщик событий
• Поддержка Dynamic objects
• Новый движок Snort 3
• Кросс-доменное доверие для AD
• Резервный VTI для site-to-site VPN
• Балансировки нагрузки для Remote Access VPN
• Локальная аутентификация для RA VPN
• Поддержка Dynamic access policies для RA VPN
• Атрибуты для AnyConnect
• Визард обновления и возможность обновления нескольких устройств за раз

Изменения в плане лицензирования:

• FTDv performance tiered Smart Licensing, лицензирование на основании производительности (в виде подписок).

Firewall Management Center 7.1

Наиболее заметные нововведения:

• Поддержка Secure Firewall 3100
• Firepower Recommendations для Snort3
• Улучшение процедуры обновления
• Импорт/экспорт конфигурации устройства
• Поддержка FQDN в Manual NAT
• VPN filters

Firewall Management Center 7.2

Наиболее заметные нововведения:

• Route Based (VTI) with hub and spoke topology
• Настройка VXLAN и EIGRP через FMC

Firewall Management Center 7.3

Наиболее заметные нововведения:

• Loopback для VTI
• RA VPN c TLC 1.3
• Dynamic VTIs with site-to-site VPN
• OSPF и EIGRP поверх VTI

Cisco Secure Firewall Management Center 7.4

Наиболее заметные нововведения:

• Loopback-интерфейсы для BGP и трафика управления (management traffic)
• SD-WAN PBR на базе performance metrics (RTT, jitter, packet-lost и MOS)
• Dynamic VTI для route-based site-to-site VPN
• Кластер из 16 нод на базе FTDv под VMware и KVM
• Схема лицензирования PLRv3

Схема взаимодействия достаточна проста: SFR модуль <- FMC <- облачные сервисы Cisco На FMC из облака загружаются автоматически или вручную обновления URL баз, геолокация (GeoDB), база данных уязвимостей VDB (vulnerability database), IPS сигнатуры. И уже оттуда они устанавливаются на SFR модуль.

Следующая таблица описывает требования доступа к облачным сервисам для определенных функций Firepower:

Рассмотрим работу некоторых технологий Firepower подробнее:

• URL фильтрация
  Предположим у нас настроено правило URL фильтрация по категориям и репутациям. В этом случае если пользователь переходит по URL, то SFR модуль смотрит в локальную БД и определяет категорию и репутацию. База с категориями загружается на SFR модуль заранее. А вот репутация сохраняется, в случае аналогичного запроса ранее. Если в локальной БД этого URL нет, то SFR модуль отправляет запрос на FMC, что бы тот запросил информацию у облака URL. В случае поломки FMC или недоступности URL облака, запрос пользователя не совпадает с правилом Access Control Policy и правило пропускается.
  
• Проверка AMP
  Предположим на FMC настроена политика, которая производит динамический анализ файлов.
  1. На SFR модуль приходит файл и необходимо определить диспозицию файла (степень его вредоносности). Для этого SFR модуль опрашивает FMC, FMC смотрит локальную базу и, если диспозиция известна, возвращает ответ.
  2. Если диспозиция неизвестна, FMC начинает с некоторой периодичностью опрашивать AMP облако.
  3. Если диспозиция не пришла (или пришла как Unknown) на сенсор в течении 200 мс, файл пропускается, а SFR модуль отправляет файл в облако TG (Threat Grid) для анализа.
  4. TG проверяет его на наличие вредоносного кода.
  5. После проверки TG передаёт диспозицию по данному файлу в AMP облако (хэш файла с пометкой).
  6. FMC периодически опрашивает AMP облако по тем файлам, которые ранее были отправлены для анализа. Получив эту информацию, FMC отмечает у себя в логах.

Фактически FMC нужно рассматривать только как точку управления для SFR модуля. Конфигурация правил на SFR модуле сначала производится на FMC, и только после этого загружается на него. Если FMC выключен, на SFR модуль это никак не повлияет, и он продолжит работать с последней загруженной конфигурацией и последними загруженными базами. Но обновлять базы он не сможет.

На данный момент сертифицировать решения NG Firewall (МСЭ нового поколения) любых западных производителей во ФСТЭК не представляется возможным, т.к. они все используют в своей работе зарубежные облачные сервисы. Сертифицировать можно только базовый функционал. У Cisco он соответствует функционалу ПО классической ASA. Поэтому сертификация платформ FPRxxx проходит с ПО классической ASA. На данный момент (сентябрь, 2020 г.) сертифицировано устройство Firepower 2130. Завершение сертификации остальных устройств Firepower серии 1000, 2100 и 4000 планируется в следующем 2021 году. Для устройств ASA 55xx-X сертификат ФСТЭК доступен для всех моделей.

Напомним, что на сегодня нет обязательных требований по сертификации во ФСТЭК оборудования для защиты персональных данных в коммерческих организациях.

На данный момент (2018) схема лицензирования разделена на две модели:

1. По количеству пользователей:
   Пакеты Cisco Umbrella Professional, Insights, Platform, и Roaming лицензируются по количеству пользователей (рабочих мест). Рабочее место определяется как уникальное рабочее место имеющее подключение к Интернет. В лицензию Roaming, как и другие лицензии Umbrella не входит лицензирование самого агента AnyConnect.
2. По количеству устройств (сетевых):
   Пакеты Branch и Wireless LAN лицензируется по количеству маршрутизаторов ISR4k или точек доступа. В данной модели лицензирования не имеет значения число защищаемых устройств.

Разберем каждый пакет подробнее.

Umbrella Professional – предоставляет защиту против Malware, Phishing, вызовов на Command and Control сервера для пользователей, находящихся как внутри сети, так и за её пределами, в дополнение к WEB фильтрации и отчетности.

Umbrella Insights – предоставляет все сервисы пакета Professional и дополнительно включает возможность использования политик защиты с детализацией по пользователям благодаря интеграции с Microsoft Active Directory, фильтрацию URL и IP-уровня, собственные списки фильтрации URL, инспекция файлов на вредоносный контент с использованием Cisco AMP и других антивирусных движков, возможность сохранения логов и расширенная отчетность. Также доступна аналитика использования облачных приложений.

Umbrella Platform - предоставляет все сервисы пакета Insights и дополнительно включает уже преднастроенные и настраиваемые API механизмы интеграции. Также становится доступна консоль расследования Investigate для 50-ти рабочих мест операторов, предоставляющих более глубокий контекст для расследования.

Umbrella Branch - Поддерживает модели ISR: 1100, 4221, 4321, 4331, 4351, 4431 и 4451.

Umbrella Wireless LAN - дает возможность интеграции с контроллерами БЛВС Cisco 2504, 5508, 5520, 8510 и 8540, а также с Wireless Services Module 2 (WiSM2).

Umbrella Roaming – дает возможность установки клиента Umbrella или модуля Anyconnect Umbrella на хостовую машину и его использование как мобильного агента. В лицензию Roaming, как и другие лицензии Umbrella не входит лицензирование самого агента AnyConnect.

Принцип работы корпоративных пользователей (пакеты Professional, Insights, Platform)

Для самого минимального развертывания Umbrella достаточно на всех компьютерах компании назначить в качестве DNS сервера облако Umbrella (или на локальном DNS сервере прописать внешний DNS Umbrella). Базовая защита будет обеспечена, но в этом случае мы не сможем формировать политики по локальным IP адресам и не будем знать какой пользователь запросил тот или иной URL. Что бы это исправить, необходимо внедрить Virtual Appliance (VA).

В локальной сети устанавливается Umbrella VA, у которого всего одна функция: разделять внутренние и внешние DNS запросы. При отправке запроса к локальным ресурсам он отправляет его к локальному DNS серверу, остальные же отправляются в облако Cisco Umbrella. Возможно три варианта решения по запросу: разрешить, блокировать, не известно. В случае «Allowed» пользователю возвращается правильный IP адрес, в случае «Blocked» пользователь получает адрес страницы блокировки. В третьем случае происходит проксирование трафика через облако и его инспекция. Сначала он проверяется антивирусом, чтобы определить, известно ли, что он злонамерен, далее сканирует Cisco AMP, которая блокирует файлы с плохой репутацией на основе контрольной суммы.

В данном варианте возможно настраивать политики фильтрации по сети, хосту или пользователю, в последнем случае необходима интеграция с AD. Для интеграции необходимо установить Connector на домен контроллере (или на любой сервер в домене), который передаст через VA список групп и пользователей в облако Umbrella.

Принцип работы удаленных пользователей (пакет Roaming)

Umbrella Roaming Client это DNS клиент, который устанавливается на компьютер. Ошибочно считать его клиентом VPN или антивирусом. Клиент использует IP 127.0.0.1:53 (localhost) и назначает себя DNS сервером, гарантируя что все DNS запросы будут направлены в датацентр Umbrella, при этом взаимодействуя с ресурсами локальной сети с использованием внутренних доменов.

Принцип работы для ISR4k и беспроводных контроллеров Cisco (пакеты Branch и WLAN)

Для развертывания необходимо только обновить ПО на ISR 4000 и можно применять политики. Со стороны пользователей нет необходимости делать какие-либо действия.

Требования для ISR:

• Установленная security K9 лицензия
• Cisco IOS XE 16.3 или более поздняя
• Лицензия на подписку Cisco Umbrella
• Cisco ISR 4000 устанавливается как шлюз DNS-сервера по умолчанию

Требования для беспроводных контроллеров Cisco:

• AireOS 8.4 или новее
• Лицензия на подписку Cisco Umbrella
• Для первоначальной регистрации, WLC должна иметь доступ к api.opendns.com на порт 443.

Рекомендуемая схема работы

Хост инициализирует DNS трафик и ISR его перехватывает и инспектирует. Если запрос для локального домена, то он передается DNS серверу корпоративной сети. Если запрос предназначен для внешних доменов, то к запросу добавляется Extended DNS (EDNS) запись и отправляется в облако Umbrella. EDNS нужно что бы передать идентификатор устройства в облако и на основе него формировать политики.

Ключевая задача Cisco ISE – централизованная точка аутентификации (кто), авторизации (куда) и логирования (что делал) различных подключений в сети (проводных, беспроводных, VPN). Данный продукт имеет широкую функциональность помноженную на очень гибкую схему создания различных правил.

Среди ключевых функций Cisco ISE можно выделить следующие:

1. Аутентификация и авторизация для проводных и беспроводных подключений. Определение, кто подключится, и на основе различных атрибутов (например, группа в Active Directory) обеспечение гранулярного доступа (VLAN, динамический ACL, SGT-метка и пр.).

   Используются следующие методы аутентификации:

   • протокол 802.1x,
   • на базе MAC-адресов (MAB),
   • централизованная аутентификация через выделенный Web-портал,
   • EasyConnect (пассивная аутентификации на основе данных из Active Directory).

   В качестве источников для аутентификации может выступать локальная база пользователей, Active Directory, LDAP, сервисы двухфакторной аутентификации и пр.

2. Профилирование устройств. Определение типа устройств, вендора, ОС и пр. атрибутов. Выполняется на базе анализа MAC-адреса, DHCP запроса, CDP/LLDP информации и пр. источников. В дальнейшем данные о профилировании могут использоваться при авторизации устройств.

3. Оценка состояния. На устройство загружается программный клиент (временный или постоянный), который позволяет определить версию ОС, установленные патчи для ОС, актуальность баз антивируса, запущенные приложения, ключи в реестре и многое другое. Если клиент не соответствует каким-то корпоративным требованиям, есть возможность приведения его в соответствие (например, запуск обновления баз антивируса). Информация, полученная при оценке состояния, может использоваться при авторизации устройств.

4. Централизованный доступ на сетевое оборудование (TACACS+ или RADIUS). При использовании TACACS+ мы получаем возможность не только обеспечит единую точку аутентификации на всех сетевых устройствах с целью их администрирования, но и возможность гранулярно определять команды, к-е разрешено вводить тому или иному оператору сети. При этом все действия логируются.

5. Гостевой доступ для беспроводных клиентов. Доступен вариант с регистрацией и предоставлением временных паролей, например, через ресепшен или через СМС-сообщения.

6. Концепция BOYD. Пользователи могут самостоятельно регистрировать свои устройства на портале самообслуживания, после чего данные устройства могут подключаться к сети.

7. Доступ через VPN. Аутентификация и авторизация пользователей, к-е подключаются через remote-access VPN, например, Cisco Anyconnect.

8. Интеграция с NGFW для предоставления данных по пользователям, а именно привязка IP-адреса к имени пользователя.

9. TrustSec. Cisco ISE может назначать SGT-метки для подключаемых к сети пользователей. Предоставлять базу «IP-адрес – SGT-метка» по протоколу SXP, а также через коннектор pxGrid. Централизованно хранить матрицу доступа с SGACL.

10. Интеграция с MDM решениями. Позволяет использовать информацию о мобильном устройстве, полученную из MDM. Например, проверка PIN,  Jailbreak и пр. атрибутов.

11. Интеграция с решением Cisco SD-Access и ACI.

12. Интеграция с другими решениями по безопасности: Stealthwatch, Qradar, Fortigate, CheckPoint и пр.

Внедрение решения Cisco ISE требует детальной проработки для получения максимальной эффективности при его работе.

ISE-PIC – это Cisco ISE, где доступен единственный функционал – PassiveID. Данное решение позволяет интегрироваться с MS Active Directory для получения информации по привязке «пользователь-IP-адрес». Далее эта информация может быть передана на NGFW по протоколу pxGrid. В качестве NGFW может быть решение на базе Cisco FTD. Фактически ISE-PIC заменяет Cisco Firepower User Agent, который с версии FMC 6.7 больше не поддерживается.

Для традиционной системы Cisco IPS необходимо обновление базы сигнатур сетевого взаимодействия известных видов атак и вирусов (червей). Для обновления базы сигнатур необходима подписка, получаемая в рамках сервисного контракта SmartNet IPS Svc. Подписка может быть на год, два или три года. Варианты уровней поддержки SmartNet для ASA IPS аналогичны с любыми другими SmartNet.

Для системы ASA CX, реализованной как виртуальный блейд на ASA 5500-X необходима подписка Cisco ASA 5500-X Series CX Subscriptions.

Для открытия функционала NG IPS в рамках функционала CX необходимо наличие подписки на NG IPS. Данную подписку можно заказать либо как дополнение к подпискам CX, либо как отдельный партномер (например, ASA5512-IP3Y=).

Для перенаправление трафика в облачный сервис ScanSafe необходима также соответствующая подписка.

Подробное описание данных подписок приводится в статье Лицензирование Cisco ASA 5500 в разделе Cisco ASA 5500-X Series CX Subscriptions and ScanSafe.

Открытие сервисов FirePOWER на Cisco ASA рассмотрено в рамках отдельного вопроса «Как запустить сервисы FirePOWER на ASA 5500-X?».

Наиболее существенное функциональное отличие ASA5506 от ASA5505 заключается в отсутствии встроенного коммутатора. ASA5506 оснащена восемью маршрутизируемыми (L3) портами 1Гбит/с. Функция PoE также не доступна на ASA5506. Таким образом, для разворачивания минимальной инфраструктуры в офисе Cisco рекомендует использовать ASA5506 в паре с SMB коммутатором. Например, наиболее доступным вариантом может послужить использование неуправляемых гигабитных коммутаторов SG110D-08 и SG110D-05. Из-за отсутствия встроенного коммутатора ASA5506 не сможет послужить прямой заменой ASA5505 для некоторых инсталляций.

UPD 16-02-2017. При использовании программного обеспечения FTD 6.2, а также версии ASA OS 9.7.1 и выше, есть возможность использовать Integrated Routing and Bridging. Более того, для ASA5506 по умолчанию будет предоставляться конфигурация, в которой порт Ge1/1 – внешний интерфейс, а порты Ge1/2 – Ge1/8 объединены в Bridged-группу, то есть эмулируют аппаратный коммутатор. Таким образом, ASA5506 с указанным ПО сможет заменить ASA5505 без покупки дополнительного коммутатора.

ASA5506 построен на базе более производительной платформы. Оснащена более мощным процессором, 4 ГБ RAM и 8 ГБ flash-памяти. Кроме того, ASA 5506 имеет встроенный SSD диск, что позволяет разворачивать на устройстве сервисы FirePOWER (ограничено версией 6.2) без каких-либо дополнительный аппаратных средств. Наиболее значимые отличия можно свести в таблицу:

	ASA 5505 / Security Plus	ASA 5506 / Security Plus
Максимальная пропускная способность МСЭ	До 150 Мбит/с	До 750 Мбит/с
Встроенные интерфейсы	8 L2 интерфейсов 100 Мбит/с	8 L3 интерфейсов 1 Гбит/с
Поддержка PoE	Ethernet 0/6 и 0/7 поддерживают PoE	Нет
Сервисы FirePOWER	Нет	Платформа полностью готова для запуска сервисов FirePOWER (ограничено версией 6.2) Управление Firepower как с помощью ASDM, так и с помощью выделенной централизованной системы FMC При запущенных сервисах AVC+NGIPS+AMP производительность устройства составляет 40 Мбит/с
Максимальное количество одновременных сессий	10,000/25,000	20,000/50,000
Максимальное количество VPN-туннелей IPsec IKEv1	10/25	10/50
Максимальное количество подключений AnyConnect или безклиентских подключений	25	2/50
Максимальное количество поддерживаемых VLAN	3 (802.1q не доступен) / 20 (802.1q доступен)	5/30
Высокая доступность*	только Stateless Active/Standby Failover	Stateless так и Statefull Active/Standby Failover
Питание	AC/DC	только AC

* Режим Active/Active Failover не поддерживается обеими моделями

Хотелось бы отметить два наиболее важных отличия в схемах лицензирования. Первое – в отличие от ASA5505, новая модель ASA5506 поставляется без ограничений на подключаемых пользователей. Второе отличие связано c Security Plus лицензией. Для ASA5505 без Sec Plus мы имели только 3 Vlan, и, следовательно, 3 маршрутизируемых интерфейса. При этом, третий Vlan и интерфейс был функционально ограничен – трафик третьего интерфейса мог инициировать сессии в сторону только одного соседнего интерфейса. В сторону второго соседнего интерфейса идти не мог. Таким образом, для реализации полноценного DMZ на ASA5505 требовалась Sec Plus лицензия. Новая модель ASA5506 оснащена восемью полноценными маршрутизируемыми интерфейсами и поддерживает до 5 Vlan в базовой лицензии. Таким образом, базовая лицензия позволяет задействовать все восемь физических L3 интерфейсов и сконфигурировать до пяти логических субинтерфейсов. Всего можно настроить и маршрутизировать 13 подключенных непосредственно IP-подсетей.

ASA5506 имеет две особые модификации: ASA 5506W – со встроенной точкой доступа и ASA 5506H – в защищенном исполнении.

На данный момент времени (декабрь 2015) информация о планах завершения продажи/поддержки (End-of-Sale, End-of-life) для модели ASA 5505 не поступала со стороны производителя.

Для того, чтобы запустить сервисы FirePOWER на Cisco ASA 5500-X необходимо выполнение следующих условий:

1. Наличие SSD-диска на Cisco ASA. Если в наличие уже имеется Cisco ASA, SSD-диск можно заказать отдельным партномером ASA5500X-SSD120=. Модели ASA5506, 5508 и 5516 оснащены SSD-диском по умолчанию.
2. Версия программного обеспечения ASA начиная с версии 9.2.2.
3. Наличие SmartNet для соответствующей модели, покрывающего сервисы FirePOWER. Например: CON-SNT-A12FPK9.
4. Наличие позиции Control License. Данная позиция является бесплатной, однако должна быть включена в спецификацию. Пример партномера: ASA5516-CTRL-LIC. Control License позволяет применять правила контроля доступа (разрешение/запрет) для пользователей и приложений. Например, запретить доступ для приложения Skype. Запретить пользователю доступ на конкретный URL (для работы с категориями URL, а также репутациями требуется лицензия URL). И пр.

5. Лицензия-подписка на сервисы FirePOWER. Лицензии-подписки доступны в следующих пяти комбинациях:

   

   Где IPS (также называется Protection) – система предотвращения вторжений, файловый контроль (разрешение/запрет на передачу файлов) и Security Intelligence фильтрация (использование динамических баз вредоносных хостов в сети интернет);
   URL - URL-фильтрация по репутации и категориям сайтов;
   AMP – борьба с вредоносным кодом и угрозами нулевого дня.

   Пример партномера подписки на 3 года для ASA5516: L-ASA5516-TAMC-3Y

   При использовании резервных устройств на них должны приобретаться те же подписки, что и на основное. Конфигурация также должна быть абсолютно идентична основному устройству.

   Подписки доступны на 1, 3 и 5 лет для новых моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше. Для ASA5512 и ASA5515 – подписки только на 1 год.

6. Системы управления сервисами FirePOWER. Для полноценного управления сервисами FirePOWER необходимо заказать систему управления Firepower Management Center (FMC). Самый доступный вариант – в виде виртуальной машины. Виртуальная машина может быть скачана бесплатно с сайта cisco.com, однако, для её активации необходимо наличие лицензии:
   • FS-VMW-2-SW-K9 на 2 устройства ASA with FirePOWER services
   • FS-VMW-10-SW-K9 на 10 устройств ASA with FirePOWER services
   • FS-VMW-SW-K9 на 25 устройств FirePOWER или ASA with FirePOWER services
   С версии ASA OS IOS 9.4(2) заказ системы управления FMC является опциональным. Настройка сервисов FirePOWER может быть осуществлена посредством ASDM. FMC необходим при некоторых требованиях, в частности, для построения отчётов, работы IPS и пр. Отличия между управлением сервисами FirePOWER на ASA через ASDM и Firepower Management Center рассмотрены здесь.

В настоящий момент существуют бандлы для ASA55XX-FPWR-BUN для соответствующих моделей Cisco ASA. Бандл включает все вышеперечисленные условия. Для моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше бандл ASA55XX-FPWR-BUN включает в себя как модели K8, так и модели K9 (на выбор), то есть, содержащие в ПО алгоритмы 3DES/AES.

Из-за ограничений в производительности ASA 5506 запуск сервисов FirePOWER или же FTD начиная с версии 6.3 на данной платформе невозможен.

С выходом версии Firepower 6.0.0.0 появилась возможность управления Firepower с помощью стандартного графического интерфейса Cisco ASA ASDM на всех моделях Cisco ASA серии 5500-X. До этого сервисы FirePOWER на моделях Cisco ASA 5512, 5515, 5525, 5545 и 5555 можно было настраивать только с помощью выделенной системы управления Firepower Management Center (далее FMC, другие названия Defence Center, FireSIGHT).

Однако, на настоящий момент времени (май 2019) ASDM имеет некоторые ограничения при настройке и управлении Firepower, по сравнению с FMC. Перечислим наиболее существенным ограничениям ASDM:

1. Не поддерживается функциональность Network Discovery (автоматическое обнаружение хостов в сети, составление профилей для каждого обнаруженного хоста, включающего ОС хоста, пользователей хоста, открытые порты, индикаторы компрометации, уязвимости и т.д).
2. Не поддерживается функциональность Next Generation IPS. Так как нет возможности обнаружения хостов в сети и составление профилей хостов (см. пункт 1), поддерживается только классический IPS.
3. Не поддерживается автоматическое создание политик IPS. Требуемые для защиты сети сигнатуры IPS необходимо включать вручную. В то время как при использовании FMC система автоматически генерирует политики IPS (FireSIGHT Recommendations) на основании информации о сети, профилей хостов, сетевых транзакций, корреляции и т.д.
4. Не поддерживается автоматизация обработки событий IPS. Не поддерживается автоматическое составление индикаторов компрометаций, корреляция событий, определение релевантности сигнатур атаки в соответствии с контекстом.
5. Не поддерживается динамический анализ файлов в рамках функциональности Advanced Malware Protection (AMP), т.е. отправка всего файла в облако для расширенного анализа в файловой
6. Не поддерживается захват файлов.
7. Система построения отчётов. ASDM ограничен по возможности построения отчётов по сравнению с FMC. Кроме того, нет возможности экспортировать отчёты в разных форматах (HTML, PDF, CSV).

Управление сервисами FirePOWER на Cisco ASA через ASDM идеально подходит при использовании Cisco ASA в небольших офисах для подключения к Сети Интернет, когда основная задача сводится к настройке функциональности межсетевого экрана нового поколения (NGFW). ASDM предоставляет всё необходимое, чтобы настроить ограничения доступа к сайтам по категориям, ограничения по использованию Интернет-приложений (Skype, Torrent, TeamViewer), реализации политик на основании информации из MS Active Directory, ограничения по скачиванию выгрузки файлов. При этом, ASDM предоставляет средства отчётности начального уровня в виде преднастроенных панелей (Dashboards), на которые выводятся виджеты, отображающие необходимую информацию.

Наличие выделенной системы управления FMC требуется в случаях, когда необходимо обеспечить сервисы «продвинутой» безопасность для корпоративной сети. В частности, при необходимости запуска сервисов системы предотвращения вторжений нового поколения (NGIPS) настоятельно рекомендуется использование FMC. Кроме того, FMC необходим, когда существуют требования к созданию настраиваемых отчётов различного уровня сложности. Например, отчёты по посещению Интернет-ресурсов для конкретных пользователей, отчёты по загрузке Интернет-каналов различными Интернет-приложениями и т.д.

• SD-Access – решение по построению кампусной сети (проводной и беспроводной). В качестве контролера использует Cisco DNA Center. Контроллер является аплайнсом, который размещается локально на площадке заказчика.
  
• SD-WAN – решение по построению распределённой WAN сети, работающей поверх любых каналов связи (Интернет, выделенные каналы, пр.). У компании Cisco доступно два решения: SD-WAN Viptela и SD-WAN Meraki. SD-WAN Viptela поддерживает как облачное, так и локальное размещение контроллеров (в виде виртуальных машин). Решение SD-WAN Meraki – только облачный вариант.
  
• ACI – решение по построению сред для обработки данных (ЦОД). Контроллер - Cisco APIC (Cisco Application Policy Infrastructure Controller). Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).

SD-WAN - программно-определяемая WAN-сеть. SD-WAN позволяет связать удалённые в офисы в единую сеть. Ключевое отличие от традиционной WAN сети заключается в наличии централизованного «мозга» (control-plane). В терминах SD-WAN – это контроллер(ы).

Такая централизация обеспечивает упрощение при настройке, мониторинге, а также крайне гибкую функциональность в работе WAN сегмента.

SD-WAN – это общий термин, который не принадлежит контрактному вендору и не является стандартном. Это концепция.

У Cisco SD-WAN представлен двумя решениями: Viptela SD-WAN и Meraki SD-WAN. Каждое из них работает по своим принципам, но со схожей функциональностью. Когда мы говорим про Cisco SD-WAN, чаще всего речь идёт про решение Viptela.

Viptela SD-WAN обладает богатой функциональностью и высокой степенью кастомизации. Контроллеры могут размещаться как в облаке Cisco, так и на площадке/в облаке заказчика (on-premise). Meraki SD-WAN работает только в облаке Cisco и предоставляет интуитивно понятный интерфейс управления.

SD-WAN пришёл на смену таким технологиям как DMVPN и iWAN. Данное решение используется для построения защищённой распределённой сети поверх любых каналов связи.

SD-WAN использует три контроллера, отвечающие за работу всего решения, - это vSmart, vManage и vBond. Каждый из них является обязательным элементом. Контроллер vSmart отвечает за распространение политик на устройства. Через vManage осуществляется управление решением. vBond отвечает за связность устройств (аутентификацию, авторизацию, списки устройств и пр.).

Основные преимущества SD-WAN:

1. Автоматизация процессов настройки (Zero Touch Provisioning): новые устройства автоматически загружают на себя конфигурацию, что существенно уменьшает время запуска новых офисов.
2. Упрощение администрирования оборудования: централизация настроек – единый портал для всех устройств, гибкая схема шаблонов.
3. Всестороння аналитика работы WAN сети: телеметрия оборудования, загрузка каналов, качество каналов, разбор трафика по приложениям и пр.
4. Сегментация и гибкая схема топологий: решение нативно поддерживает сегментацию трафика внутри VPN. На логическом уровне возможно использовать различные топологии VPN: полно связную (Full-mesh), централизованную (Hub-and-Spoke), частично связанную (Partial Mesh) и точка-точка (Point-to-Point).
5. Интеллектуальная маршрутизация трафика: для разного типа трафика мы можем задать свои критерии маршрутизации, принимая во внимание различные параметры сети.
   • Маршрутизация трафика с учетом качества каналов связи: потери пакетов, задержки, джиттер.
   • Гибкая схема маршрутизации: фильтрация маршрутов, подстановка next-hop’ов, маршрутизация на основе L3/L4/L7 параметров трафика и пр.
   • Выстраивание сервисных цепочек: принудительная маршрутизация трафика через сервисные узлы (МСЭ, балансировщики и пр.).
6. Встроенные средства безопасности: FW, IPS, AMP, URL-фильтрация.
7. Оптимизация трафика.
8. Высокий уровень масштабируемости и отказоустойчивости.

1. Контролеры vManage, vBond и vSmart. Поддерживают как облачное (AWS, Azure, Google Cloud Platform), так и локальное размещение (ESXi или KVM).
2. Сетевые устройства: Cisco ISR 1100 и 4000, Catalyst 8000, ASR 1000, vEdge, ISRv, CRS 1000v.
3. Подписка на каждое сетевое устройство:  Cisco DNA Essentials, Advantage или Premier. Набор поддерживаемых сервисов определяется типом подписки.

До версии Cisco IOS XE 17.2.1 для работы в экосистеме SD-WAN на сетевом устройстве устанавливается специализированная прошивка (SD-WAN Integrated IOS XE). Начиная с версии 17.2.1 образ операционной системы единый, как для независимого режима работы, так и в составе SD-WAN.

1. Централизация управления и минимизация времени внедрения новых офисов позволяет существенно сократить временные затраты на администрирование WAN-сети.

   Больше не нужно заходить на каждое устройство в отдельности. Все устройства настраиваются через шаблоны, а политики применяются централизовано. Это обеспечивает автоматизацию выполнения рутинных операций.

   Для подключения нового офиса достаточно загрузить его уникальные атрибуты (IP-адреса, названия и пр.) и применить нужные шаблоны. Далее подключив устройство к сети с минимальными настройками, оно устанавливает связь с контроллерами и автоматически загружает конфигурацию.

2. Интеллектуальная маршрутизация трафика и защита от потерь пакетов существенно повышает качество работы сети.

   Система фиксирует не просто отказ канала связи, а даже незначительную деградацию качества его работы. И далее при необходимости может переключить трафик на другой канал или использовать корректирую потерю пактов технологию (дублирование трафика или внесение избыточности для восстановления потерь).

3. Централизованный всесторонний мониторинг позволяет повысить надёжность работы сети.

   В режиме реального времени мы видим состояние устройств, качество каналов связи, их загрузку и пр. информацию.

4. Встроенные средства безопасности снижает риски со стороны информационной безопасности без затрат на установку и обслуживания дополнительного оборудования. Кроме полного шифрования всех передаваемых данных в WAN сети, каждый WAN Edge маршрутизатор можно превратить в полноценный NGFW.

В первую очередь данный вопрос актуален при размещении контроллеров SD-WAN на площадке/в облаке у заказчика.

Так как типов контроллеров несколько, последствия будут разными. Но во всех случаях сеть продолжит передавать трафик.

vManage – потеряется возможность управления сетью и станет недоступен мониторинг.

vSmart – перестанут обновляться маршруты, политики, ключи шифрования. Т.е. сеть будет работать в том состоянии, к-е было на момент отказа как минимум 24 часа (этот период можно увеличить до 14 дней).

vBond – к сети невозможно будет подключить, как новые устройства, так и текущие в случае их перезагрузки.

Если используются контроллеры в облаке Cisco, то вероятность их отказа крайне низка. Но есть шанс полной потери связи с облаком, что будет эквивалентно отказу всех контроллеров. Соответственно и последствия будут идентичными.

Если контроллеры размещены в облаке Cisco, то все вопросы обеспечения отказоустойчивости контролёров SD-WAN находятся в ведении вендора и конечному пользователю задумывать об этом не нужно.

При размещении контроллеров SD-WAN на площадке/в облаке у заказчика (так называемый on-premise вариант), вся ответственность за обеспечение отказоустойчивости контроллеров SD-WAN ложится на плечи заказчика.

Для каждого контроллера схема реализации отказоустойчивости своя:

1. vManage.
   • Если у нас относительно небольшое количество пограничных маршрутизаторов (WAN Edge router), то рекомендованная схема – Active/Cold Standby. В этом случае поднимается резервный vManage с выключенными интерфейсами. Далее на него с некой периодичностью с активной ноды копируется база данных (вручную или через скрипт).
   • Если наша сеть включает большое количество пограничных маршрутизаторов, то рекомендованная схема – кластер из vManage (минимум 3 шт.). vManage в рамках кластера полностью синхронизируют данные между собой. WAN Edge получает информацию обо всех vManage через vBond и подключается к одному из них.
2. vSmart. Поднимается два или более независимых узла vSmart. Данные между ними синхронизируются через протокол OMP. WAN Edge получает информацию обо всех vSmart через vBond и подключается к одному из них.
3. vBond. Поднимается два или более независимых узла vBond. Они никак не синхронизируют информацию между собой. Это им и не требуется. Всё данные для работы они получают с vManage. В DNS для одной A-записи прописываются IP-адреса всех vBond. Далее благодаря механизму round-robin в DNS WAN Edge подключается к одному из vBond.

Кроме встроенных средств обеспечения отказоустойчивости можно использовать средства, предоставляемые платформой виртуализации. Но в этом случае мы не получаем гарантии, что после нештатного отключения контроллер поднимется корректно.

Отказоустойчивость маршрутизаторов WAN Edge в сторону локальной сети обеспечивается динамической маршрутизацией (BGP/OSPF/EIGRP) или протоколом VRRP. В сторону WAN – динамической маршрутизацией на базе протокола OMP.

Расширенные функции безопасности это:

• URL-фильтрация,
• ретроспективный анализ файлов на базе Cisco AMP,
• IPS.

Для их запуска необходима подписка DNA и аппаратные ресурсы на маршрутизаторе.

С точки зрения подписок для работы IPS достаточно DNA Essentials. Для URL/AMP – DNA Advantage/Premier.

Так как данные функции запускаются в отдельном контейнере (LxC), на маршрутизаторе минимально должно быть 8 GB RAM и 8 GB Flash.

OMP (Overlay Management Protocol) – протокол динамической маршрутизации созданный на базе протокола BGP. Данный протокол используется между контроллерами vSmart, а также между vSmart и маршрутизаторами WAN Edge.

OMP работает поверх DTLS. Также, как и другие протоколы динамической маршрутизации OMP имеет Administrative Distance, которая для OMP равна 250.

OMP используется для передачи информации о:

• префиксах (маршрутах),
• ключах шифрования,
• сервисных маршрутах (например, до FW/IPS/пр.),
• TLOC*-адресах,
• политиках (application-routing, cflow, data policy).

* TLOC состоит из системного IP-адреса маршрутизатора (system IP), типа интерфейса (link color) и типа инкапсуляции (IPSec или GRE).

SD-Access – программно-определяемая сеть. Ключевым элементом которой является контроллер Cisco DNA Center. Именно он отвечает за работу сети. SD-Access позволяет сетевому администратору абстрагироваться от конкретных технологий и полностью сфокусироваться на настройке сети под требования бизнеса через user-friendly интерфейс. Администратор теперь оперирует абстракциями. А уже контроллер переводит их в машинный язык, т.е. набор команд на сетевом оборудовании.

Основными преимуществами SD-Access являются:

1. Автоматизация процессов настройки и администрирования оборудования. Это позволяет снизить временные издержки, а также минимизировать сбои в сети, связанные с человеческим фактором. Автоматизация достигается за счёт контроллера Cisco DNA Center. Именно он выполняет все функции автоматизации и оркестрации.
2. Полная сегментация сети. При подключении устройств к сети происходит их аутентификация и авторизация (802.1x, Active Directory и пр.). Применение политик позволяет гранулярно предоставить доступ к сетевым ресурсам и обеспечить высокий уровень локализации трафика. Для решения данной задачи используются технологии Cisco TrustSec, VRF и пр.
3. Прозрачность работы сети:
   • единые политики для проводной и беспородной сети,
   • единая точка контроля за сетью (Cisco DNA Center) и визуализация её работы,
   • глубокий мониторинг в связке с машинным обучением позволяет обеспечить преактивную работу сети; минимизация времени на решение инцидентов в сети.

1. DNA Center на базе физического сервера Cisco (аплайнс),
2. Решение ISE (в виде аплайнса или виртуальной машины) с необходимым набором лицензий (Basic и Plus),
3. Сетевая инфраструктура: коммутаторы, маршрутизаторы (опц.), точки доступа с контроллерами (опц.).
4. Подписка на каждое сетевое устройство: Cisco DNA Advantage или Cisco DNA Premier.

Основными коммутаторами инфраструктуры SD-Access являются Cisco Catalyst 9000. Также могут быть использованы коммутаторы Cisco Catalyst 3850, 4500e, 6500, 6800 и Nexus 7700.

Маршрутизаторы – Cisco ISR 4000, ASR 1000 и CRS 1000v.

Беспроводная инфраструктура: точки доступа x700, x800, 9100; котроллеры 3504, 5520, 8540, 9800.

Так называемая underlay-сеть (транзитная сеть, связывающая между собой fabric edge, fabric border и control plane устройств) может быть построена на любом коммутационном оборудовании. Однако, эта сеть должна быть L3, т.е. обеспечивать маршрутизацию трафика между устройствами SD-Access фабрики. В идеале она должна поддерживать работу протокола IS-IS, что позволить автоматизировать настройку данного оборудования с помощью DNA Center.

Фабрика ACI используется для построения сети ЦОД.

Основные преимущества фабрики ACI:

1. Автоматизация процессов настройки и администрирования.
2. Всестороння аналитика работы сети ЦОД.
3. Сегментация на всех уровнях работы сети позволяет строить многопользовательскую среду.
4. Интеграция со сторонними системами: поддержка различных API-интерфейсов.

1. Контролер Cisco APIC. Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
2. Коммутаторы Cisco Nexus 9300 и 9500, виртуальный коммутатор приложений Cisco AVS.

Для расширения базовой гарантии на оборудование и программное обеспечение Cisco можно приобрести дополнительно контракт Cisco SmartNet, который даёт следующие преимущества:

• Возможность замены оборудования с временем реагирования: на следующий рабочий день (8x5xNBD), через 4 часа (24x7x4), через 2 часа (24x7x2). Оборудование для замены привозит логистическая компания, например, DHL. Новое оборудование приедет с настройкой по умолчанию.
• Возможность получения круглосуточной технической поддержки при обращении в Cisco Technical Assistant Center (TAC). В рабочее время поддержка осуществляется на русском языке. В другое время на английском.
• Возможность обновлять программное обеспечение на устройстве, которое покрыто контрактом. Но только в рамках купленного функционала.
• Доступ в закрытую часть сайта cisco.com.

Более подробную информацию о Cisco SmartNet можно прочесть у нас на сайте в статье «Что такое SmartNet»

Для получения доступа в к Вашему сервис-контракту Cisco SmartNet необходимо:

1. Зарегистрироваться на сайте www.cisco.com.
2. Добавить сервисный-контракт к вашему профилю.

Добавить сервисный контракт можно непосредственно в профиле на сайте www.cisco.com или же по телефону. Более подробная инструкция представлена на нашем сайте.

При создании профиля пользователя ознакомьтесь с правилами задания имени Вашей компании здесь.

Cisco Smart Software Licensing – схема лицензирования продуктов Cisco, предоставляющая возможности по централизованному управлению лицензиями на ПО (приобретение, развертывание, контроль, отслеживание и т.п.) через портал Smart Software Manager. Основное направление этой схемы – это отказ от установки лицензионных файлов непосредственно на устройства. Вместо этого, на устройстве, достаточно будет активировать новую схему лицензирования и зарегистрировать его в Smart Software Manager, используя уникальный idtoken. Благодаря настроенной регистрации, устройство будет самостоятельно, раз в 30 дней, проверять актуальность активированных на нем лицензий. В случае невыполнения подтверждения актуальности лицензии (например, отсутствует доступ в интернет на устройстве) будет произведен «откат» на лицензии по умолчанию (например, актуально для ASAv), либо будет запущен «льготный» период на 90 дней, по завершению которого лицензии будут отозваны (например, актуально для сервисов Firepower). Доступ в интернет для устройства, с целью проверки лицензий, может быть реализован напрямую или с использованием HTTP прокси.

Для работы данной схемы лицензирования компания создаёт Smart Account. Именно через него происходит управление лицензиями. 

Smart Account – учётная запись в облачном сервисе компании Cisco, в которой хранятся данные по лицензированию устройств заказчика. Smart Account используется в рамках схемы лицензирования Cisco Smart Software Licensing.

С выходом версии ПО Cisco IOS XE 16.10.x для корпоративных маршрутизаторов и коммутаторов введены изменения в механизме лицензирования программного обеспечения (ПО) Cisco. Теперь для этих устройств используется схема лицензирования Cisco Smart Software Licensing. Всем заказчикам необходимо создать Smart Account для управления своими лицензиями. В дальнейшем, не имея такого типа учётной записи, заказчики не смогут использовать ПО Cisco.

При обновлении (в том числе «случайном») до 16.10.x существующие на маршрутизаторах PAK и RTU-лицензии будут конвертированы в Evaluation-лицензии со сроком действия 90 дней, по истечении которых необходимо синхронизировать состояние этих лицензий со своим Smart Account.

С помощью учетной записи Cisco Smart Accounts, Вы можете:

• Иметь единое место, где вы можете легко просматривать все ваши программные продукты Cisco и управлять доступом в режиме реального времени.
• Делегировать уровни доступа вашим сотрудникам для работы с вашими программными активами Cisco.
• Принимать оптимальные решения по использованию лицензий.
• Контролировать соблюдение лицензионных соглашений.

Виды учетных записей в рамках Smart Accounts

В рамках Smart Accounts существует 2 основных типа учётных записей:

• Customer Smart Account - учётная запись, ориентированная на конечных пользователей.
  
• Partner Holding Smart Account - учётная запись, ориентированная на партнёров (дилеров).
  

Когда компания создала свой Smart Account, то внутри неё можно делать виртуальные учетные записи (Virtual Accounts).

Лучшие практики по управлению Smart & Virtual accounts

•       На данный момент наличие более 100 виртуальных учетных записей в рамках Умной учетной записи не рекомендуется.

•       Вы можете создать более 100 виртуальных учетных записей, если это требуется Вашей организацией, но не более, чем 1000 (для избежания проблем с пользовательским интерфейсом ).

•       Пользователи виртуальной учетной записи назначаются только на виртуальную учетную запись (Virtual Account), поэтому они могут управлять только лицензиями в этой виртуальной учетной записи.

•       Public. Наименования виртуальных учетных записей видны партнёрам в поисковике Smart Account в CCW .

•       Private. Наименования виртуальных учетных записей не видны в поисковике в CCW, но могут быть назначены партнёром во время создания Квоты /Заказа, указывая точное наименование Виртуальной учетной записи.

Управление Smart Accounts: Выбор ролей

Перейдите на Step 2: Select Roles.

1.   Здесь можете увидеть роли и привязанные к ним привилегии

Smart Account администратор может назначить следующие роли пользователям:

•        Smart Account User

•        Smart Account Administrator

•        Smart Account Approver

•        Assign to Specific Virtual Account only

2.   После того как вы решили, какую роль назначить, выберите соответствующую пометку и нажмите Next.

Управление Smart Accounts – лицензионные соглашения

В Customer Smart Account, вы можете рассматривать соглашения(Smart Licensing Agreements), их дату, статус, и Утверждающего/Администратора, кто подписал Соглашение.

Управление Smart Accounts: Виды ролей

Более детальная информация доступна в тренинге Smart Accounts Roles Training

Клиенты могут предоставить Партнёрам доступ к управлению лицензиями на Smart Account, добавив Партнёра в качестве Пользователя.

Обратите внимание, что, разрешая доступ пользователям-партнёрам к своей учётной записи Smart, клиенты неявно признают, что это позволит партнёрам получить доступ ко всей информации в учётной записи Smart, которая включает лицензии, устройства и т. д.

Кроме того, обратите внимание, что клиент несёт ответственность за все действия своих партнёров, которые включают лицензирование.

Запрос учётной записи Smart Account

1. Зайдите на Cisco Software Central (CSC) – software.cisco.com и нажмите Create Account, чтобы запросить Smart Account. Чтобы запросить доступ к существующему Smart Account выберите Submit request.

2. Выберите „Yes, I have the authority to represent my company…” если вы уполномоченное лицо вашей компании и будете авторизировать активизацию Smart Account .

3. Выберите „No, the person specified below should be notified to authorize activation”, если у вас нет права авторизировать или предпочитаете не авторизировать Smart Account или планируете делегировать авторизацию другому лицу.

4. Введите Account Name

5. Нажмите Continue

Запрос учётной записи Smart Account – редактирование имени домена организации (опционально)

1.   Если нужно, вы можете редактировать домен, нажав Edit (опционально).

2.   В разделе Edit Account Identifier, поменяйте домен (edit top-level domain /add a prefix).

3.   Нажмите OK для подтверждения нового Domain ID.

4.   Проверьте Account Name и измените, если необходимо.

5.   Теперь вы можете нажать Continue для осуществления запроса на Smart Account.

Запрос учётной записи Smart Account – ввод данных о компании (опционально)

Если вы указали No под account authorization, у вас откроется окошко Company information. Вы можете указать имя компании и адрес отличный от имени компании и адреса Вашего профиля на сайте Cisco.

Запрос учётной записи Smart Account – номинирование администратора (опционально)

1.   Введите имейлы пользователей, разделенных запятой, для того чтобы номинировать их на получение административного доступа. Выбирая опцию I request access to myself вы номинируете себя на административную роль.

2.   Нажмите Continue, чтобы продолжить.

Запрос учётной записи Smart Account – проверка информации и подтверждение запроса

1.   Проверьте информацию в Smart Account information и имена пользователей, для которых запрошен административный доступ.

2.   Нажмите Submit Request.

Запрос учётной записи Smart Account – завершение запроса

1.   После подачи запроса вы получите сообщение о подтверждении Smart Account Request Complete. Запрос поставлен в состояние ожидания pending state до тех пор, пока не будет одобрен Cisco.

2.   Вы также получите подтверждение по e-mail.

После подачи запроса, временный Smart Account будет создан.

Ваши заказы могут быть привязаны к временному Smart Account, но все закупленные позиции не могут быть использованы пока Smart Account не активизирован.

Завершение настройки Smart Account – ссылка на доступ из уведомления на e-mail

Уведомление по электронной почте будет отправлено назначаемому лицу со ссылкой для проверки информации об учетной записи.

1.   Нажмите Complete Smart Account Setup для доступа к Account Authorization странице. 1а. Вам необходим CCO ID. Если нет такого, нажмите register for a new account.

2.   Чтобы узнать более подробно о Smart Accounts, нажмите на ссылку Learn more about Smart Accounts.

Завершение настройки Smart Account – активация авторизации

1.   Выберите Yes, I have authority to represent my company… если вы можете представлять вашу компанию для авторизации учетной записи.

Замечание: Если у вас нет полномочий, укажите No, the person specified below must be notified to authorize activation чтобы номинировать пользователя кто может авторизировать создание учетной записи.

2.   Нажмите Continue.

Завершение настройки Smart Account

1.   Пересмотрите информацию и нажмите Activate Smart Account для завершения настройки.

Завершение настройки Smart Account - Подтверждение

Страница подтверждения. Нажмите Cisco Software Central для просмотра и управления Вашим Smart Account.

При создании профиля пользователя ознакомьтесь с правилами задания имени Вашей компании здесь.

Доступ к управлению устройствами на портале Cisco Smart Software Manager доступен со страницы Cisco Software Central:

1. Использовать в названии только английский язык.
2. Использовать только англоязычный общеупотребительный акроним организационно-правовой формы в конце названия (или не использовать его совсем):
   CLOSED JOINT-STOCK COMPANY CENTER FOR SHARE BUILDING =>
   CENTER FOR SHARE BUILDING CJSC or CENTER FOR SHARE BUILDING
   FEDERAL STATE UNITARY ENTERPRISE STATE RESEARCH INSTITUTE OF APPLIED PROBLEMS =>
   STATE RESEARCH INSTITUTE OF APPLIED PROBLEMS FSUE
3. Избавляться от слов, несущих мало смысловой нагрузки:
   FILIAL PAO MRSK CENTRA I PRIVOLZH'YA ? KALUGAENERGO => KALUGAENERGO
4. Не использовать спец. символы:
   "MMC "NORILSK NICKEL" OJSC => NORILSK NICKEL MMC OJSC
5. Использовать пробелы для разделения слов в названии:
   19INCHES => 19 INCHES
6. Использовать для общеупотребительных слов перевод, для специфических (в т.ч. имён собственных) – транслитерацию:
   ADMINISTRACIYA => ADMINISTRATION
   AGENSTVO => AGENCY
   FILIAL => BRANCH
7. Не использовать сокращения, или указывать их в скобках после полного названия:
   AO VMES, AO VMZ
8. Не усложнять написание дефтонгов при транслитерации. Не использовать ‘ для смягчения звуков:
   AO MIHAJLOVSKIJ GOK IM AV VARICHEVA => MIHAILOVSKIY GOK IM AV VARICHEVA AO
   AO PETERBURGSKIY MEL'NICHNYY KOMBINAT => PETERBURGSKIY MELNICHNY KOMBINAT A