Upload
doannhi
View
231
Download
5
Embed Size (px)
Citation preview
www.telefonija.rs
Agenda
Raunarske mree prvi koraci
Savremene lokalne komunikacionemree
CISCO Arhitekture reenje za CISCO Arhitekture reenje zasavremenu komunikaciju
Projekat SMATSA
Implementacija reavanje realnihproblema
2
Kasne 60-te: Sve vie raunara na univerzitetima i
laboratorijama u SAD Snana potreba za umreavanjem raunara i
deljenjem raspoloivih resursa
Prva polovina 70-ih: Realizacija prvih raunarskih mrea Octopus Raunarska mrea u okviruLawrence laboratorije (1970. godina)
Cambridge prsten Raunarska mrearealizovana na Univerzitetu u Cambridge-u(1974. godina)
Chase Manhattan Bank New York Prvakomercijalna raunarska mrea ARCNET kojusu razvili Metcalfe i Boggs (1977. godina)
4
Osnovni parametri: Maksimalno 255 nod-ova Brzina prenosa podataka 2.5 Mbps Maksimalno rastojanje izmeu nod-ova oko
7 km (uz korienje aktivnih hub-ova)
Topologije: Topologije: Magistrala Zvezda
5
Meusobno povezivanje vie raunara
Raspoloivost mrenih resursa (razni tipovi servera,mreni tampai...) raunarima u mrei
Mogunost izlaska na Internet
Prenos telefonskog saobraaja, to jest govora, prekopostojee raunarske mree
Podrka za napredne telefonske servise
Mrea mora biti sigurna i zatiena
Mogunost nadgledanja rada mrenih ureaja kao imogunost upravljanja istim
Beini pristup mrei
Pristup mrei sa udaljenih lokacija
Prenos video saobraaja u realnom vremenu
Mrea mora da bude skalabilna, dostupna i pouzdana
7
8
Daje smernice prilikom dizajna mree i prua uvid unajbolja praktina reenja za mree koje imaju od 100do 10000 korisnika
Predstavlja platformu za razvoj naprednih tehnologijakoje se koriste u okviru sledeih arhitektura: Borderless Networks Collaboration Data Center
SBA Piramida10
Cisco Borderless Networks Arhitektura pruasigurnu osnovu za razvoj mree u okviru vaeorganizacije na ije resurse se povezuju ljudi i ureajibez obira na to gde se nalaze.
Borderless mrena reenja podrana su od straneirokog portfolio-a Cisco proizvoda i to u oblastima:
Switching Routing Routing WAN Optimization Mobility Security
kao i Cisco servisa u oblastima:
Video Energy efficiency Security Mobility
11
Cisco Collaboration Arhitektura je jedan odosnovnih elemenata SBA arhitekture. Ova arhitekturaprua sveobuhvatno reenje u okviru kojeg se nalaze:
mrena infrastruktura collaboration aplikacije sigurnost mobility management aplikacije support servisi support servisi
Collaboration reenja:
Unified Communications TelePresence Customer Care Mobility and Wireless Collaboration for Business
12
Data Center Arhitektura daje jasne preporuke kakoizgraditi mreu koja e omoguiti da resursi datacentra postanu fleksibilniji, efikasniji i otporniji.
Ova arhitektura takoe prua uvid u ve primenjena ifunkcionalno testirana reenja koja su koristilapreporuke Data Center Arhitekture.
Data Center reenja:
Application Networking Application Networking Business Continuity Cisco Unified Computing Cloud Computing DC Networking Server Networking Security Storage Networking Virtualization Service Provider
13
15
Projektni zahtevi:
Postojanje redundanse na kimi lokalne raunarske mree kimatreba biti realizovana sa dva komunikaciona ureaja i paralelnomprenosnom strukturom
10 Gigabit Ethernet tehnologija u varijanti 10GBASE-SR X2 za vezuizmeu kime i pristupnog sloja raunarske mree
Layer 3 switching tehnologija sa podrkom za QoS i security servise
mogunost filtriranja saobraaja na osnovu Layer 3 i Layer 4 mogunost filtriranja saobraaja na osnovu Layer 3 i Layer 4informacija
CoS model (IEEE 802.1Q/802.1p) za implementacije QoS
svaki spratni koncentrator se vezuje na oba centralna komunikacionaureaja
mogunost iskorienja viestrukih veza ka vorovima istog ili nieghijerarhijskog nivoa
mogunost distribucije informacija o pripadnosti korisnika razliitimVLAN-ovima
Colapsed backbone sve funkcije distributivnog sloja se prenose nakimu lokalne raunarske mree
Jedno primarno vorite16
Mehanizmi za raspodelu optereenja, zatitu od ispada spojnih putevai poveanja brzine protoka na kimi lokalne raunarske mree:
Podela korisnika na VLAN-ove STP (Spanning Tree Protocol) optimizacija Port Costa na svim
portovima preko kojih se povezuju switch-evi pristupnog sloja sakimom lokalne raunarske mree. Iskljuiti STP na svim portovima nakoje se prikljuuju raunari i serveri. Cilj bra konvergencija.
MSTP (Multiple Spanning Tree Protocol) omoguava maksimalnoiskorienje spojnih puteva izmeu pristupnog switch-a i vorita. Zaeljeni skup VLAN-ova forsira se izbor odgovarajueg root switch-a, i nataj nain utiemo na formiranje STP stabla.
HSRP (Hot Standby Routing Protocol) za eljeni skup VLAN-ovaforsira se izbor odgovarajueg active router-a (gateway-a).
Gigabit EtherChannel omoguava grupisanje minimalno 2 amaksimalno 8 Gigabit Ethernet linkova u jedan link veeg kapaciteta.
SiSi SiSi
SiSi
Layer 2 Switch
Layer 3 Switch
Korisnicki uredaji
10 Gbps Etherent
Legenda:
mL3sw-1 mL3sw-2
REALIZACIJA KIME
LOKALNE RAUNARSKE
MREE
VS-C6506E-S720-10G VS-C6506E-S720-10G 17
Projektni zahtevi:
mogunost grupisanja korisnika u izolovane segmente
mogunost kontrolisanja propusnog opsega na nivou korisnika
mogunost klasifikacije i promene prioriteta saobraaja
redundansa na nivou opreme i kablovske infrastrukture nijeobaveznaobavezna
redundansa na nivou opreme i veze ka kimi lokalne raunarskemree je obavezna
Gigabit Ethernet tehnologija u varijanti 10/100/1000 BaseT napristupnom delu
10 Gigabit Ethernet tehnologija za vezu spratnih koncentratorasa kimom lokalne raunarske mree
Spratni koncentratori treba da omogue napajanje za IP telefone
Voice VLAN za IP telefone
est sekundarnih vorita
18
REALIZACIJA
PRISTUPNOG
SLOJA
SiSi SiSi
SiSi
Switch pristupnog sloja
Layer 3 Switch
Korisnicki uredaji
10 Gbps Etherent
Legenda:WS-C3750E-48PD-S WS-C3750E-48PD-S
Korisnicki racunarSwitch pristupnog
slojaIP Telefon
NAIN
POVEZIVANJA
SWITCH-evi
PRISTUPNOG
SLOJA
WS-C3750E-48PD-S
19
Projektni zahtevi:
Kreirati sledee VLAN-ove na AP-ovima: Voice VLAN VLAN za komunikaciju Wireless IP telefona
Data VLAN jedan ili vie VLAN-ova za prenos podataka
VLAN za upravljanje i meusobnu komunikaciju AP-ova (roamingfunkcionalnosti)
Kontrola pristupa wireless mrei preko RADIUS servera: Open Key Authentication metod za autentifikaciju
IEEE 802.1x protokol kao okvir za kontrolu pristupa
EAP protokol za autentifikaciju korisnika i dinamiku razmenukljueva za kriptovanje podataka
pripadnost VLAN-u
Podrka za G.711 i G.729 codec-e na wireless IP telefonima
Spratnu pokrivenost treba da obezbede po 3 AP-a
Obezbediti funkciju roaming-a
20
Koncept realizacije Wireless LAN infrastrukture
21
Projektni zahtevi:
veza sa Internetom posredstvom jednog Internet servis provajdera(za uvoenje redundanse i visoke pouzdanosti potrebna i veza kadrugom ISP-u)
statiko rutiranje
dinamiko i statiko transliranje privatnih adresa na javne adresedobijene od ISP-a
Internet firewall realizovan u failover konfiguraciji
postojanje DMZ zone postojanje DMZ zone
kontrola saobraaja pomou security nivoa na interfejsima i accesslista
VPN (Virtual Private Network) servis
Akceleratorske kartice za ubrzavanje enkripcije saobraaja
Antivirusna zatita:
Detekcija virus-a, spyware-a, spam-a
Phising
web content filtering
inspekcija http, ftp; smtp, pop3 saobraaja
antispam podrka na nivou upita u MX record
.....
22
23
Projektni zahtevi:
Aplikativno reenje
Skalabilan i visoko pouzdan telefonski sistem
Jednostavna integracija dodatnih aplikativnih reenja koja eomoguiti implementaciju naprednih telefonskih sevisa
Podrka za 1000 IP telefona
Postavljanje korisnika u unapred definisane korisnike grupe
Podrka za TAPI, JTAPI, CTI i XML protokole/interfejse
Podrka za SIP, H.3232, MGCP, SCCP signalizacione protokole
Hardverska platforma mora imati:
redundantno napajanje (hot swappable) redundantne SCSI diskove (hot swappable) hardverski RAID kontroler koji omoguava mirroring hard disk ureaja
Podrka za razliite voice codec-e
Podrka za kontrolu propusnog opsega (Call Admission Control)
Podrka za inteligentno usmeravanje poziva (Automated AlternateRouting)
Mogunost voenja detaljnih zapisa o pozivima (Call Detail Record)24
Mehanizmi za garantovanje kvaliteta govornog i video signala:
Cilj: kanjenje 200ms; varijacija kanjenja 30ms; gubitak paketa 1%
IP telefon mora imati mogunost obeleavanja paketa radi njihovekvalifikacije
Switch-evi u pristupnom sloju treba da imaju mogunost postavljanjaranije obeleenih paketa u razliite redove ekanja (queue), kao imogunost promene prioriteta paketa
Switch-evi u pristupnom sloju treba da imaju podrku zaimplementaciju razliitih algoritama koji e servisirati razliite redoveekanja
Postojanje minimalno dva queue jedan za glas i video, drugi za Postojanje minimalno dva queue jedan za glas i video, drugi zaostali tip saobraaja
Podrka za IGMP protokol (IGMP snooping)
Obeleavanje razliitih tipova saobraaja
25
Arhitektura sistema za procesiranje poziva
CPA_BCPA_A
Intra Cluster Communication
CPA_B
CPA_A
Primarna registracija
Sekundarna registracija
Korisnici: 1-500
Korisnici: 501-1000
Multi-site model IP telefonije sa centralizovanim procesiranjem pozivaSekundarna registracija
CPA cluster
SiSi
SiSi
Centralna lokacija
PSTN
IP WAN
Udaljene lokacije
Multi-site model IP telefonije sa centralizovanim procesiranjem poziva
26
Komunikacija sa eksternim aplikativnim reenjima
Call Processing Agent
CTI(TAPI/JTAPI)
SCP
Web Server
XML overHTTP
Internet
CTI Aplikacije
CPA cluster
LDAPCorporate Directory
LDAP
Pretraga pokorisniku
Specificna setovanja
LDAPCorporate Directory
Trai korisnika
Rezultat pretrage
Komunikacija sa bazama korisnika
27
Projektni zahtevi: Aplikativno reenje Korienjem jednog potanskog sandueta, standardnog e-mail klijenta,
omoguava se prijem glasovnih, fax i e-mail poruka Mogunost pristupa potanskom sanduetu preko IP ili obinog analognog
telefona Podrka za najmanje 200 korisnika, uz mogunost proirenja do 1000
korisnika Podrka za G.711 i G.729 voice codec-e Integracija sa korporativnim e-mail i fax serverom
Sprega sa sistemom za procesiranje poziva
CPA cluster
PSTNIP LAN
Unify Messaging
VG_A
VG_B
28
Prijem i slanje fax poruka posredstvom fax servera
VG_AFO_MUX
PSTNIP LAN
E-mailserver
Fax
server
T.30 1 2
3
Prijem fax poruka metodom store-and-forward
VG_BFO_MUX
Korisnik
VG_A
VG_B
FO_MUX
FO_MUX
PSTNIP LAN
Korisnik
E-mailFax
server
T.30 3 2
1
Slanje fax poruka metodom store-and-forward
29
Arhitekture fax server okruenja
Principska ema fax server okruenja
Principska ema fax server okruenja sa Microsoft Exchange serverom
30
Projektni zahtevi:
Omoguiti korisniku multimedijalne servise kao to su voice, web ivideo
Maksimalno 120 istovremenih web i voice konferencija
Maksimalno 40 istovremenih video konferencija
Konferencije se mogu zakazati, rezervisati i po potrebi snimiti
Mogunost audio konferencije za korisnike sa TDM centrala
Oprema za videokonferenciju rasporeena u 5 malih sala
31
Projektni zahtevi: Integracija minimum 3 ISDN PRI linije Visoka otpornost sistema na otkaze komunikacionih ureaja i spojnih
puteva ka PSTN Raspodela optereenja Podrka za H.323 i MGCP protokole (SIP nije obavezan) Prenos DTMF signala out-of-band Podrka za G.711 i G.729a voice codec-e Kontrola i ponitavanje eha u skladu sa ITU-T G.168 Mogunost markiranja i klasifikacije paketa u skladu sa IEEE
802.1Q/802.1p
Arhitektura sistema za spregu sa javnom telefonskom mreom
32
Projektni zahtevi: Dva ureaja za spregu sa GSM mreama Ureaji se smetaju u klaster Minimalno 8 GSM kanala po ureaju Podrka za H.323 protokol Podrka za G.711 i G.729a voice codec-e GSM SIM kartice svih GSM operatora od interesa
Logika ema sistema za spregu sa GSM mreama
33
Projektni zahtevi: Izvesti kabliranje telefonskim kablom od svakog interfonskog mesta do
reka glavne distribucije u zgradi Na interfonska mesta postaviti telefonske aparate Telefonske aparate povezati preko telefonskog kabla na predviene FXS
portove voice gateway-a Prilikom podizanja slualice korisnik se automatski spaja na predvieni lokal
u zgradi (recepcija, portirnica ili sl.)
Povezivanje interfona u IPT sistem
34
35
Zatita Intranet segmenta
Koriste se Firewall Servisni Moduli (FWSM) koji se nalaze na centralnim L3switch-evima
FWSM moduli rade u failover konfiguraciji Svakom serverskom VLAN-u se dodeljuje jedan logiki interfejs na FWSM
modulu Jedan VLAN za komunikaciju izmeu FWSM-a i MSFC-a Na FWSM modulu kreirati Intranet context Statike rute
Realizacija zatite Intranet segmenta
36
Zatita komponenti IP telefonskog sistema
Na FWSM modulu kreirati IPT context Primenti isti princip zatite kao i kod Intranet segmenta
Logika ema sistema zatite komponenti IPT sistema
37
Zatita Internet segmenta
Firewall sistem treba da obezbedi filtriranje saobraaja koji dolazi saInterneta
Zatita serverskih komponenti IPT sistema od SYN flooding napada
IPS funkcionalnosti
Failover konfiguracija
Sitem treba da bude modularan
Antivirusna zatita
Realizuje se na pristupnoj taki ka Internetu
Gateway koji titi mreu od pretnji spolja
Sistem treba da bude redundantan
VPN koncentracija
Terminacija VPN tunela na firewall sistemu za zatitu Internetsegmenta
Definisati saobraaj koji se kriptuje
38
Zatita Internet segmenta i antivirusna zatita
39
Zatita pristupa administratorskim
Zatita pristupa administratorskim funkcijama ureaja
Kontrola bazirana na lokalno definisanim lozinkama Kontrola uz pomo centralizovanog AAA servera Autentifikacija i autorizacija konzolnog i telnet pristupa na AAA serveru Accounting informacije se belee na AAA serveru
Zatita pristupa administratorskimfunkcijama ureaja
Lokalno definisanim lozinkama Korienjem centralizovanog AAA servera Konzonlni i telnet pristup se autentifikuju i
autorizuju na centralnom AAA serveru Accounting informacije se belee na AAA
serveru
40
Projektni zahtevi:
Postaviti NMS (Network Management Station) u segmentlokalne raunarske mree u okviru koga se nalaze mreniadministratori
SNMP protokol za komunikaciju NMS-a sa mrenim ureajima
Na NMS se nalazi aplikacija za nadzor i upravljanje
Aplikacija treba da obezbedi: prikaz mrene topologije i autodetekciju ureaja na mrei prikaz mrene topologije i autodetekciju ureaja na mrei
nadzor i upravljanje korisnikim radnim stanicama i mrenimserverima
nadzor i upravljanje mrenim komunikacionim ureajima
nadzor mrenih servisa
nadgledanje i kontrola saobraaja na mrei, pristup podacima ostatusima ureaja i portova, iskorienju propusnog opsega, i sl.
kontrola dogaaja i statusa
prikupljanje statistika o sistemu za spregu sa javnom telefonskommreom
nadgledanje i upravljanje sistemom za procesiranje poziva
mogunost generisanja e-mail notifikacija o definisanim dogaajima
pristup NMS korienjem web interfejsa za nadzor i upravljanjemreom
41
42
Projektni zahtevi:
Prikupljanje statusnih informacija sa AP ureaja SNMPprotokolom
Generisanja alarma
Automatska konfiguracija velikog broja AP ureaja
Upravljanje softverima ureaja
Specifine funkcije kao to su: Wireless LAN IDS u saradnji sa Access Point ureajima koji skeniraju
radio spektar
Nadgledanje politika sigurnosti postavljenih na Access Pointureajima
Nadgledanje radio spektra i generisanje alarma u sluaju padaperformansi WLAN mree
Detekcija interferencija u radio spektru i otkrivanje lokacijeinterferencije
U sluaju ispada jednog Access Point ureaja, automatskarekalkulacija izlaznih snaga susednih Access Point ureaja u ciljuostvarivanja optimalnog radio pokrivanja
Otkrivanje lanog Access Point ureaja, otkrivanje port-a na switch-ui fizikog poloaja lanog Access Point ureaja
43
Cisco 5508 Wireless Controller
44
Cisco Wireless Control System
45
Cisco Wireless Control System
46
47
48
Obratiti panju na verziju software-a na Cisco 5508 WirelessController-u:
Problem: sa verzijom software-a 6.0.188.0 Cisco 5508 WirelessController ne moe da nae LWAAP-ove koji su povezani na mreu.
Reenje: potrebno je upgrade-ovati software na neku noviju verziju(mi smo upgrade-ovali na verziju 6.0.199.0).
Obratiti panju na izabrani Country Code na Wireless Controller-u:
Problem: Wireless IP telefoni nee da se poveu na mreu ako je za Problem: Wireless IP telefoni nee da se poveu na mreu ako je zaCountry Code izabrana Srbija.
Reenje: izabrati Country Code neke od zemalja koje imaju ureenestandarde (USA, Nemaka...).
Mogunost kontrole standardnog (standalone) AP-a preko WirelessControllera
Problem: Wireless Controller ne prepoznaje standardni (standalone)AP u mrei.
Reenje: sa Cisco-ovog sajta skinuti Autonomous to LightweightMode Upgrade Image za odgovarajuu seriju i model AP-a iMigration Tool (verzije TFTP servera). Uz pomo TFTP serveramogue je upload-ovati potrebni image na standalone AP.
50
Mogunost pristupa LWAAP-u sa default-nom konfiguracijom:
Problem: LWAAP se nalazi na nepristupanom delu (npr. usputenom plafonu), a mi hoemo da mu pristupimo i dodelimoeljenu IP adresu.
Reenje: po default-u LWAAP je konfigurisan da dobija adresu odDHCP-a. Sve to treba da uradimo jeste da LWAAP poveemo namreu u odgovarajui VLAN u okviru koga emo podii DHCP sajednom adresom. Nakon dobijanja adrese od DHCP-a pristupamoLWAAP-u i dodeljujemo mu eljenu IP adresu.
Mogunost konfigurisanja LWAAP-a preko CLI-a: Problem: CLI LWAAP-a je prilino siromaan, i mnoga podeavanja
nam nisu dostupna. Reenje: Da bi smo preko CLI-a imali sva podeavanja, potrebno je
da se LWAAP povee (kroz mreu) sa Wireless Controller-om, nakonega emo dobiti sve CLI funkcionalnosti kao i kod standalone AP-a.
Mogunost nadgledanja linkova u mrei preko LMS-a: Problem: LMS nee da iscrta linkove izmeu dva ureaja Reenje: Da bi u okviru LMS-a na emi LAN mree imali iscrtan link
izmeu dva ureaja (sa svim svojim parametrima), na ureajimamora biti puten CDP protokol.
51
Mogunost SSH pristupa ureaju preko LMS interfejsa: Problem: koji od klijenata za SSH pristup ureaju izabrati (putty,
SecureCRT, Hyper Terminal...) Reenje: Kada govorimo o LMS-u i mogunosti SSH pristupa
ureaju preko LMS interfejsa, najbolje se pokazao putty, to jestnjegova integracija sa LMS-om omoguava SSH pristup ureaju.Kod integracija ostalih SSH klijenata postoji softverski problem.
Failover konfiguracija na ASA-i: Problem: prilikom pada interfejsa na aktivnoj ASA-i, ne dolazi do
failovera, to jest ASA koja je bila u standby ne postaje aktivna. Reenje: Da bi failover na ASA-i ispravno funkcionisao, prilikom
njegovog konfigurisanja treba slediti Cisco-ove preporuke, to jestfailover link izmeu dve ASA-e ide preko switch-a, dok state linkdirektno povezuje dve ASA-e.
52