Решения Cisco в области ИБ для центров обработки данных

Решения Cisco в области ИБ для
центров обработки данных

Руслан Иванов
ruivanov@cisco.com

Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Облачные Вычисления
Емкость по требованию;
Глобальный доступ

Виртуализация
Консолидация; Оптимизация; Скорость

Открытость
Защищенный доступ для мобильных пользователей,
Партнеров, Работников по контракту

Масштабируемость и простота
Емкость и Эффективность масштабируется
вместе с требованиями Бизнеса

2000 2005 2010 2015

© 2011 Cisco and/or its affiliates. All rights reserved. 2

Устаревшая Развивающаяся

§  Случайные Архитектуры §  Консолидация ЦоД и Серверов
§  Приложения, внедренные в §  Виртуализация Серверов
определенных ситуациях (пример. §  “Любая рабочая нагрузка на любом
multi-tier deployment) сервере”
§  Предсказуемый поток трафика §  Непредсказуемый поток трафика по
§  Безопасность обычно внедряется на мере миграции рабочей нагрузки
каждый набор серверов или §  Безопасность становиться более
хранилище направленной на данные (не хранилища)


Физическая Сеть ЦОД

Виртуальная Сеть ЦОД

Достижимость и Контекст

Данные в vMotion, другие данные

Аутентификация пользователя и
устройства

4

•  Определение границ: сеть, вычисления, виртуализация
Сегментация •  Задание политик по функциям, устройствам, организациям
•  Контроль доступа к сетям, ресурсам, приложениям

•  Противодействие атакам
Защита от
•  Контроль границ сети и межзонного взаимодействия
угроз •  Контроль доступа и использования ресурсов

•  Прозрачность использования
•  Соответствие бизнес-требованиям
Прозрачность
•  Упростить поддержку и соответствие требованиям
регуляторов


= Compute
Internet Edge

= Network
CORE
= Security
DISTRIBUTION VDC
Nexus 7018 Nexus 7018
SAN
ASA 5585-X ASA 5585-X

VPC VPC VPC VPC VPC VPC VPC VPC VSS
VSS
Nexus
5000 Catalyst
Series SERVICES
Unified 6500
Nexus Nexus Computing
7000 2100 System
Series Series
Nexus Firewall ACE
VSG
Zone 1000V
Multizone NAM IPS

10G Server Rack 10 G Server Rack Unified Compute Unified Access

Применение единой политики безопасности вне зависимости от
расположения и метода доступа к данным

Межсетевое
экранирование Сегментирование фабрики
Stateful/reflective ACL UCS Fabric Interconnect
Multi-context VM-FEX
VPN

Анализ и контроль TrustSec
доступа на основе
контекста Изоляция сетей
Security Group Tags (SGT) Physical
Security Exchange Protocol (SXP) Virtual (VLAN, VRF)
Security Group ACL Virtualized (Zones)


Сегментация

Направление север-юг: Проверка всего трафика
идущего в/из ЦОД
Physical

Cisco® ASA 5585-X •  Устройства на границе ЦОД инспектируют весь
трафик
•  Высокая производительность, включая сервисы IPS
Cisco Catalyst 6500 •  Разделение внешнего трафика от трафика ЦОД
ASA FW Module

Направление запад-восток: Созданиебезопасных зон
Virtual / Multitenant

доверия между приложениями и пользователями в ЦОД
Cisco ASA 1000V ASA 1000V Virtual Firewall контроль границы виртуализации
Virtual Firewall
•  Разделение между различными орг. единицами

VSG контролирует зоны
Cisco Virtual Security
Gateway (VSG) •  Разделение приложений или VM в рамках одной орг.
единицы

Межсетевое экранирование

Cisco® ASA 5585-X v9.0 с кластеризацией
•  Хорошая мастштабируемость
128 Gbps EMIX
50M Connections , 1.2 M CPS
1000 Virtual Contexts
4000 VLANs

•  Поддерживаемый функционал
http://www.cisco.com/en/US/partner/docs/security/asa/asa90/configuration/guide/ha_cluster.html#wp1571450

ASA 558x Appliance ASA Services Module
© 2010 Cisco and/or its affiliates. All rights reserved.
clustering in a roadmap Cisco Confidential 10

Защита бизнеса от внутренних и внешних угроз

hackers
organized crime

Защита
-  IPS 4500 Security Appliance
-  Cisco ASA CX Application Control
®

cyber criminals
disgruntled employee

Защита от угроз

Cisco IPS 4500 Protection for demanding data centers
•  Delivers hardware-accelerated inspection, real-world
performance, high port density and energy-efficiency
in an expandable chassis
•  Provides protection against both external and
internal attacks

Cisco ASA CX Contextual application-aware firewall
•  Delivers hardware-accelerated inspection, real-world
performance, high port density and energy-efficiency
in an expandable chassis
•  Provides protection against both external and
internal attacks


80 Gbps Average Inspection 160 Gbps IMIX Firewall

160 Gbps Max Inspection 40 Gbps Average Inspection IPS

2 Blade 4520
XL
16 RU Form Factor Q1CY13 16 RU Form Factor

Scaling Factor = 1 Scaling Factor < 1

1 Box Latency


Прозрачность

Контроль, Контекст, Прозрачность

•  Идеально подходит для ответа на вопросы: NetFlow
Кто с кем общается?
Что происходит в сети? Data Center Network
Куда перемещаются данные?
Visibility Context Control

Кто-нибудь имеет доступ к серверу
считающему зарплату? WHERE

И т.д… WHAT WHEN

•  Уникальная ценность Cisco
WHO HOW

Cat 3K-X Cat 4K Cat 6K NGA
With Service Module Sup7E, Sup7L-E Sup2T NetFlow Generating Appliance
Unsampled
Line-Rate
NetFlow


Использование Lancope, NetFlow, Identity, Репутации
Unified View
Threat Analysis and Context in
Lancope StealthWatch

Internal Network and Borders

SIO

NetFlow Telemetry Threat Context Data
Cisco Switches, Routers, and ASA 5500 Cisco Identity, Device, Posture, Reputation, Application


Для
справки

•  VDC – Virtual Device Context

•  VPC – Virtual Port Channel

•  VSS & MEC – Virtual Switching System & Multi-chassis Ether-channel

•  VSL & Peer Link – Virtual Switch Link

•  ECMP – Equal cost Multi-Path

•  VSD – Virtual Service Domain

•  VBS – Virtual Blade Switching

•  VRF – Virtual Routing & Forwarding

•  FabricPath

•  VSG – Virtual Security Gateway


vPC vPC и ASA

peer link peer link

vPC vPC vPC vPC

EC EC EC EC

Активный Резервный
Активный Резервный

•  Позволяет одному устройству использовать port channel
через два коммутатора высшего уровня
•  Два Активных Пути Передачи
•  Дизайн свободный от петель/Исключает STP blocked
порты
•  Использует всю пропускную способность каналов
•  Предоставляет лучшую сходимость в случае выхода из
строя линка/устройства

1

Ядро Ядро • ASA*
поддерживает

Link

IP1 IP2 Aggrega9on
Control
Protocol

(LACP),

стандарт
IEEE
802.3ad

• 
Каждый
port-‐channel

до
8
активных
и

8
резервных
линков

Активный
vPC
Peer-‐link
Активный

• 
Порты
Etherchannel

S1
S2
или

воспринимаются
как

резервный
физические
или
логические

интерфейсы
на

ASA

• 
ASA
5585-‐X
приносит
МСЭ
и

vPC
vPC
IPS
уровня
ЦОД

• 
Так
как
IPS
внедряется
как

устройство
внутри
МСЭ,
потоки

S3
S4
IPS
теперь
могут
быть

vApp vApp
полностью
оптимизированы

vApp vApp

vApp vApp

Zone/Multi-Tennant Zone/Multi-Tennant


Ядро Ядро
IP1 IP2

Коммутатор
6500
в
роли

Сервисного
коммутатора

• 6500
Link

Активный
vPC
Peer-‐link
Активный

Aggrega9on
Control
Protocol

S1
S2
или

(LACP),
стандарт
IEEE
802.3ad

резервный
• Трафик
направляется
через

сервисные

VLANы

• Каждый
port-‐channel

vPC
vPC
до
8
активных
и

8
резервных
линков

S3
S4

vApp vApp vApp vApp

vApp vApp

Zone/Multi-Tennant Zone/Multi-Tennant


VDC 1
Ключевая
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP функция
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …

VDCs
VDC 2

VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
Nexus 7000 STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …

Nexus 7000 VDC – Virtual Device Context
§  Разделение data plane и control plane
§  Надежное разделение контекстов управления (management plane)
§  Гибкое разделение аппаратных и программных ресурсов между контекстами –
портов, L2/L3 стеков, VLAN, VRFs, таблиц маршрутизации
§  Контроль выделяемых под контекст ресурсов
§  Изоляция процессов и программных сбоев


VDC 1
Ключевая
VLAN UDLD OSPF GLBP
функция
PVLAN CDP BGP HSRP
LACP CTS PIM SNMP
… …

VDCs
VDC 2
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
Nexus 7000 LACP CTS PIM SNMP
… …

Разделение VDC индустриально сертифицировано .
NSS Labs сертифицировал использование Cisco Nexus 7000 VDC функционал для Payment Card
Industry (PCI) среды в 2010 году.
http://www.nsslabs.com/research/network-security/virtualization/cisco-nexus-7000-q2-2010.html
Federal Information Processing Standards (FIP-140-2) сертификация была получена в 2011году
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp1533.pdf
Cisco Nexus 7000 получил сертификацию по требованиям Common Criteria с уровнем
сооттвествия EAL4 в 2011 году.
http://www.niap-ccevs.org/cc-scheme/st/vid10349/


•  МСЭ на пути следования Inter-VDC трафика

VRF

Север
VRF
Юг
VDC

VDC
Ядра

ASA
HA
Pair
1
Агрегации

v200

GW:

ASA
HA
Pair
2
10.1.200.254

VRF
VRF
Юг

Север

•  Прозрачные (L2) сервисы МСЭ •  Удобно использовать для топологий, где
установлены между Nexus VDC требуется нахождение МСЭ между
•  Позволяют применять другие сервисы
уровнем агрегации и ядром
(IPS, LB и т.д.) в случае необходимости •  Недостаток, что большинство/весь
•  ASA может быть виртуализирована 1:1 с
трафик направленный в Ядро проходит
привязкой к VRF-ам через МСЭ; возможно узкое место

2

•  МСЭ между Сервером и Шлюзом
Пара ASA в режиме высокой доступности в прозрачном режиме с VRF на
VDC Агрегации. Шлюз для серверов подключен к внешнему интерфейсу
МСЭ

GW:

VDC
10.1.200.254

Агрегации

v201
-‐
Outside
v200
–
Inside

Простой дизайн.
Уровень
3
Уровень
2

Физическое
подключение


Перенаправляем трафик Применяем сетевые
VM через VLAN-ы на сервисы на уровне
физические устройства гипервизора

Web App Database Web App Database
Server Server Server Server Server Server

Hypervisor Hypervisor

VLANs

Virtual Contexts VSN
VSN

Традиционные сервисные узлы Виртуальные сервисные узлы


Сервисный Модуль ASA

Web App Database
Server Server Server

Hypervisor
Устройства ASA 5585

VLANs

Virtual Contexts
Устройства защиты от атак Cisco IPS

Traditional Service Nodes


ASA 5585-SSP60

40 Гбит/с —
пропускная
способность
ASA 5585-SSP40 межсетевого экрана
10 Гбит/c —
пропускная
ASA 5585-SSP20 20 Гбит/с — способность системы
пропускная IPS
ASA 5585-SSP10 способность 350 000 соединений в
4 Гбит/c — пропускная 10 Гбит/с — межсетевого экрана секунду
способность пропускная 5 Гбит/с — пропускная
межсетевого экрана способность способность системы
2 Гбит/с — пропускная межсетевого экрана IPS
способность системы 3 Гбит/с — пропускная 200 000 соединений в
IPS способность системы секунду
50 000 соединений в IPS
секунду 125 000 соединений в
секунду
Комплекс зданий Центр обработки данных


Показатель Значение
Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K


•  Выход за рамки традиционных
решений

•  Наращивание мощностей в
соответствии с ведущими
отраслевыми системными
возможностями
–  64 Гбит/с
–  1,2 млн. соединений в секунду
–  1 000 виртуальных контекстов
–  4 000 сетей VLAN

•  Поддержка решений для ЦОД,
например развертываний
частных облачных
инфраструктур


100+Gbps
•  Все устройства в кластере

2 x 10GbE Data Traffic Port Channel
являются активными и
передают трафик

Cluster Control Link
являются либо основными
устройствами, либо
резервными, используемыми
от сеанса к сеансу
•  В случае сбоя узла
проведение сеанса переходит
на резервные устройства
•  Благодаря протоколу LACP
соседние коммутаторы
прекращают передачу
трафика по неработающему
каналу


высокая доступность

являются активными и
передают трафик.
являются либо основными

Cluster Control Link
устройствами, либо
резервными, используемыми
от сеанса к сеансу.
•  В случае сбоя узла
проведение сеанса переходит
на резервные устройства.
•  Благодаря протоколу LACP
соседние коммутаторы
прекращают передачу
трафика по неработающему
каналу.


•  Единая консоль конфигурации и автоматическая
синхронизация конфигурации в кластере.
Управление кластером из 8 устройств осуществляет всего один
экземпляр Cisco ASDM или CSM 4.4
•  Обработка удаленных команд выполняется на любом
узле.
•  Статистические данные использования ресурсов в
рамках кластера
Использование ресурсов ЦП и памяти для любого узла.
Использование канала управления кластером.
•  Поддержка Cisco® Security Manager


CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

•  Data Plane of Cluster MUST use
cLACP (Spanned Port-Channel)
cLACP
–
Spanned
Port
Channel

VPC Identifier on N7K must be the
same for channel consistency
ASA uses the ‘span-cluster’
command on channel
N7K
VPC
32

ASA
interface Port-channel32 Cluster
Data
Plane

port-channel span-cluster Cluster
Control
Plane
VPC
PEER
LINK

vss-load-balance

•  Control Plane [Cluster
Control Link] of Cluster N7K

N7K

MUST use standard LACP N7K
VPC
42
N7K

VPC
41

VPC
40
VPC
43

(Local Port-Channel) LACP
–
Local
Port
Channels

•  Each VPC Identifier on Nexus
7K is unique ASA
Port-‐Channel
40

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

•  Port Channel Identifier on ASA
is arbitrary
(max number 48)

•  ASA clustering relies upon stateless load
balancing from an external mechanism

•  Recommended method is to use a
spanned port-channel to a switch for
ingress and egress connections (vPC/ Внутренний

VSS with cLACP) Внешний

коммутатор
Коммутатор

•  BP is to use a symmetrical hashing
algorithm like src-dest IP (the default)

•  Could also use Policy Based Routing
(PBR) or Equal Cost Multi-Path (ECMP);
use both with Object Tracking

•  Both the latter two methods are only
supported in routed (L3) mode on the
firewall

3

3

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

Test 1: Pull Cluster
Control Link 1 on
MASTER cLACP
–
Spanned
Port
Channel

Result: No Change, No
Packet loss N7K
VPC
32

Cluster
Data
Plane

Cluster
Control
Plane
VPC
PEER
LINK

Test 2: Pull Cluster
Control Link 2 on
MASTER
N7K
N7K

N7K
VPC
42
N7K

VPC
41

Result: ASA Leaves VPC
40
VPC
43

Cluster – ASA 2 LACP
–
Local
Port
Channels

becomes MASTER, No
Packet Loss ASA
Port-‐Channel
40

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster


CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

Test 1: Power Off cLACP
–
Spanned
Port
Channel

ASA1
Result: No N7K
VPC
32

Packet loss
Cluster
Data
Plane

Cluster
Control
Plane
VPC
PEER
LINK

N7K
N7K

N7K
VPC
42
N7K

VPC
41

VPC
40
VPC
43

LACP
–
Local
Port
Channels

ASA
Port-‐Channel
40

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster


CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

cLACP
–
Spanned
Port
Channel

Test 2: Pull te0/6 on ASA1

Result: No Packet loss
N7K
VPC
32

Cluster
Data
Plane

Cluster
Control
Plane
VPC
PEER
LINK

Test 3: Pull te0/7 on ASA1

Result: ASA Leaves Cluster
– ASA2 becomes MASTER, N7K

N7K

No Packet Loss N7K
VPC
42
N7K

VPC
41

VPC
40
VPC
43

LACP
–
Local
Port
Channels

Note: Plugging ASA1 link(s)
back in, will eventually rejoin
cluster as SLAVE after LACP ASA
Port-‐Channel
40

negotiation – No preempt CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster


CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster

ASA
Port-‐Channel
32

cLACP
–
Spanned
Port
Channel

Test 4: Looking for Packet
loss
N7K
VPC
32

Eliminate as much of the
Cluster as possible until loss Cluster
Data
Plane

is detected Cluster
Control
Plane
VPC
PEER
LINK

Lose ASA1, ASA2 and ASA 3
and one of the data plane
Links on ASA4 N7K
N7K

N7K

N7K
VPC
41
VPC
42

VPC
40
VPC
43

Result: No Packet loss until a LACP
–
Local
Port
Channels

single ASA with a single link
is left standing ASA
Port-‐Channel
40

CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster


4

OTV delivers a virtual L2 transport over any L3 Infrastructure

O
Overlay - A solution that is independent of the
infrastructure technology and services, flexible over various
inter-connect facilities

T Transport - Transporting services for layer 2 and layer 3
Ethernet and IP traffic

V
Virtualization - Provides virtual stateless multi-access
connections, which can be further partitioned into VPNs,
VRFs, VLANs

MAC TABLE
Transport
VLAN MAC IF Infrastructure
2 OTV OTV OTV OTV
100 MAC 1 Eth 2
Layer 2
Lookup 100 MAC 2 Eth 1

MAC 1 è MAC 2
1
MAC 1 MAC 2 West East
Site Site


4
MAC TABLE Transport MAC TABLE
Infrastructure
VLAN MAC IF VLAN MAC IF
Decap
IP A
100 MAC 1 Eth 2 3 5 IP B 100 MAC 1 IP A
2 100 OTV MAC 2 Eth 1 OTV
Encap OTV
100 OTV
MAC 2 IP A 6
Layer 2 100 MAC 3 IP B MAC 1 è MAC 3 IP A è IP B
MAC 1 è MAC 3 IP A è IP B
100 MAC 3 Eth 3
Layer 2
Lookup Lookup
100 MAC 4 IP B 100 MAC 4 Eth 4

MAC 1 è MAC 3
MAC 1 è MAC 3 MAC 1 West East
MAC 3
Site Site
1
7


Two Active Data Centers
Connected via Layer 3 Core
OTV VDC Data Center 1 Data Center 2
from each
Core Core 2
OTV
Core 1
Core 3 Core 4
switch 20.1.1.0/24 . . 20.2.1.0/24 .
20.3.1.0/24 . 20.4.1.0/24
2 2 2
Core 1 Core 2 2
Core 3 Core 4

OTV Join
Interface Agg 1 Agg 2 Agg 3 Agg 4

OTV vPC 10 vPC 11 OTV OTV vPC 25 vPC 26 OTV
1 2 3
.1 .1 4 .1
.1
OTV Site VLAN 700 OTV Site VLAN 700
OTV 1 OTV 2 OTV 3 OTV 4
OTV switch s

connected to
Aggregation via
vPC

otv site-vlan 700
otv site-identifier 0001.0001.0001
vlan 1,101,700,999
CORE11-N7K-1-OTV# sh run int Overlay 1
Data Center 1
!Command: show running-config interface Overlay1
OTV !Time: Fri Oct 12 13:11:03 2012

Core 1 Core 2 version 5.2(1)
20.1.1.0/24 . . 20.2.1.0/24
2 2 interface Overlay1
Core 1 Core 2

otv join-interface Ethernet2/39
otv extend-vlan 101, 999
AS AS
A1 A2 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-
only
AGG 1 AGG 2 otv adjacency-server unicast-only
no shutdown

vPC 10 vPC 11
.1
CORE11-N7K-1-OTV# sh otv adjacency
.1 OT OT Overlay Adjacency database
V OTV Site VLAN 700 V

OTV 1 OTV 2
Overlay-Interface Overlay1 :
Hostname System-ID Dest Addr
Up Time State
0024.f716.43c4 20.2.1.1
02:28:19 UP
CORE31-N7K-1-OTV f866.f206.fcc3 20.3.1.1
10:28:07 UP
18ef.63e5.5343 20.4.1.1 45

otv site-vlan 700
otv site-identifier 0003.0003.0003
vlan 1,101,700,999

CORE31-N7K-1-OTV# sh run int Overlay 1
Data Center 2
!Command: show running-config interface Overlay1
OTV !Time: Fri Oct 12 23:05:50 2012

Core 3 Core 4 version 5.2(1)
20.3.1.0/24 . . 20.4.1.0/24
2 2
Core 3 Core 4 interface Overlay1
otv join-interface Ethernet2/27
AS
otv extend-vlan 101, 999
AS
A3 A4 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-
only
AGG 3 AGG 4
otv adjacency-server unicast-only
no shutdown

vPC 26
CORE31-N7K-1-OTV# sh otv adjacency
vPC 25
.1 .1 Overlay Adjacency database
OT OT

Overlay-Interface Overlay1 :
OTV 3 OTV 4 Hostname System-ID Dest Addr Up
Time State
CORE11-N7K-1-OTV 0024.f716.5444 20.1.1.1
13:00:46 UP
0024.f716.43c4 20.2.1.1 01:03:38
UP
18ef.63e5.5343 20.4.1.1 05:42:13
46
UP

Data Center 1 Data Center 2
Core 2
OTV
Core 1
. 20.2.1.0/24 Core 3 Core 4
20.1.1.0/24 . .
20.3.1.0/24 . 20.4.1.0/24
2 2 2 Core 3 Core 4 2
Core 1 Core 2

AS AS AS AS
A4
ASA
Cluster
A1 A2 A3

Master
AGG 1 AGG 2 Nigeria
Congo AGG 2
AGG 1 VDC 2
VDC 2

vPC 25 vPC 26
vPC 10 vPC 11
.1 OT OT .1 .1 OTV
.1
OTV OTV Site VLAN 700

OTV 1 OTV 2 OTV 3 OTV 4
s


Data Center 1 OTV Data Center 2
VLAN999

Core 2 VLAN101

Core 1
. 20.2.1.0/24 Core 3 Core 4
VLAN
102
20.1.1.0/24 . .
20.3.1.0/24
. 20.4.1.0/24
Outside
2 2 2
Core 3 Core 4 2
BVI

Core 1 Core 2

Master Slave Slave Slave
10.101.10.2
00
ASA Po
32
Po
32
ASA ASA Po
32
Po
32
ASA
4
1 3

2

VLAN101
vPC
vPC
vPC
vPC

32
32
32

Inside
Po
40
AGG 1 AGG 2 32
Po
40
Po
40
Congo
AGG 1
Nigeria
AGG 2
VDC 2
Po
40

VDC 2

VLAN
999
vPC
vPC
vPC
vPC

CCL
42
43
40
vPC 25 vPC 26 41

vPC 10 vPC 11
.1 .1 .1 .1
Data:
Po
OTV
OTV Site VLAN 700
OTV OTV OTV Site VLAN 700
OTV

32

Control:
OTV 1 OTV 3
OTV 2 OTV 4
Po
40

s


Unit "asa2" in state SLAVE
ID : 1
asa(cfg-cluster)# sh cluster info Version : 9.0(0.129)
Cluster DC-SEC: On Serial No.: JAF1534CCHB
Interface mode: spanned
CCL IP : 99.99.99.2
This is "asa3" in state SLAVE
ID : 3 CCL MAC : 7081.055a.
Version : 9.0(0.129) 2a96
Serial No.: JAF1518CKJH Last join : 01:06:02 EDT
CCL IP : 99.99.99.3 Oct 12 2012
CCL MAC : 4055.3980.0076 Last leave: 01:02:24 EDT
Last join : 01:53:16 EDT
Oct 12 2012
Oct 12 2012
Last leave: 01:53:03 EDT
Unit "asa4" in state SLAVE
Oct 12 2012 ID : 2
Other members in the cluster: Version : 9.0(0.129)
Unit "asa1" in state MASTER
Serial No.: JAF1553ALFH
ID : 0
CCL IP : 99.99.99.4
Version : 9.0(0.129) CCL MAC :
Serial No.: JAF1504CQPKc464.1366.e396
CCL IP : 99.99.99.1 Last join : 01:53:10 EDT
CCL MAC : 5475.d05b.
Oct 12 2012
0876 Last leave: 01:52:35 EDT
Last join : 08:09:52 EDT 12 2012
Oct
Oct 12 2012
Last leave: 02:19:19 EDT
Oct 12 2012

Common Data vPC
DC10-N7K-1# sh vpc brief
Legend:
vPC status
(*) - local vPC is down, forwarding via vPC peer- ---------------------------------------------------------
link
-------------
vPC domain id : 10 id Port Status Consistency Reason
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is not reachable Active vlans
through peer-keepalive
Configuration consistency status : success
-- ---- ------ ----------- ------
Per-vlan consistency status : success ------------
Type-2 consistency status : failed
Type-2 inconsistency reason : SVI type-2 configuration 32 Po32 up success success
Unique101-102,105
incompatible
vPC role : secondary, operational primary CCL vPCs
Number of vPCs configured : 10 ,
Peer Gateway : Enabled
Peer gateway excluded VLANs :- 191-193,19
Dual-active excluded VLANs :-
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled 5,197,461,5
vPC Peer-link status
--------------------------------------------------------------------- 91-594,597,
id Port Status Active vlans
-- ---- ------ --------------------------------------------------
1 Po1 up
101-102,105,191-193,195,197,461,591-594,597,599-60
599-600,700 ....-
0,700,900-902,905,910,999
42 Po42 up success success 50

Новое поколение
систем предотвращения
вторжений Cisco IPS

Cisco IPS 4520
Новинка
Производительность, масштабируемость, адаптивность

Cisco IPS 4510
Новинка

Cisco IPS 4360

Новинка

Cisco® IPS 4345

Новинка

Филиал Интернет- Комплекс Центр обработки
периметр зданий данных

Cisco Confidential – Redistribution Prohibited

Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520

Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)

4 ядер 4 ядер 8 ядер 12 ядер
Процессор
4 потока 8 потока 16 потока 24 потока

Память 8 GB 16 ГБ 24 ГБ 48 GB

6 x 1 GE Cu 6 x 1 GE Cu
Базовые порты данныъ 8 x 1 GE Cu 8 x 1 GE Cu
4 x 10 GE SFP 4 x 10 GE SFP

Ускоритель Regex Одинарный Одинарный Одинарный Двойной

Постоянное значение 2 с возможностью 2 с возможностью 2 с возможностью
Электропитание
переменного тока горячей замены горячей замены горячей замены


Решения Cisco в области ИБ для центров обработки данных

Решения Cisco в области ИБ для центров обработки данных

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Решения Cisco в области ИБ для центров обработки данных

Similar to Решения Cisco в области ИБ для центров обработки данных (20)

More from Cisco Russia

More from Cisco Russia (20)

Решения Cisco в области ИБ для центров обработки данных