CISCO konferencia

 

Akkor most még egyszer, de ezúttal már Wordben szerkesztve. Sajnos csak az első napon vehettem részt, a csütörtöki előadásokra már nem maradt időm. (a korábbi bejegyzések alapján, gondolom, ez érthető). Bevallom úgy érkeztem ide, hogy azt gondoltam: talán néhány apróbb részlet lehet újdonság, de teljesen vadidegen dologgal nem fogok találkozni. Nos, szerencsére, tévedtem.

Az első előadásra csak annyiban vesztegetem az időt, amennyit a CISCO szlogenje fontos: „The platform is the Network”. Szépen hangzik. Abból indulnak ki, hogy a korábbi alkalmazások, amelyeket kiszolgálók láttak el, mind bekerültek a „hálózatba” vagyis a CISCO eszközökbe. Ilyen például a DHCP, a tűzfal, a VPN, a titkosítás stb. stb.. A jövőben a hálózati eszközök okosak lesznek és már olyan alkalmazásokkal integrálódnak, mint a vállalatirányítási rendszerek. Meglehet, a tendencia ez. Csakhogy a platform szinonim fogalom a csapdával, és már egy évtizede árulnak „platformfüggetlen” alkalmazásokat, többek között a nagyobb ERP szoftverek is ilyenek. (Más kérdés, hogy egyébként azok is platformként és így csapdaként kezdenek működni) Akárhogy is, a szabad szoftverek épp a platformok ellen lépnek fel, s a CISCO tanulhatna a Microsoft platform-történetéből. Erről ennyit.

Az első szakmai előadás a hálózatok biztonsági vonatkozásairól szólt, arról, hogyan kell a tervezés integráns részévé tenni a biztonsági tervezést, de egyúttal hogyan kell a kettő között kompromisszumot kötni. Nem mehet egyik sem a másik rovására.

Most volt először alkalmam élőben látni a NAC-ot, (Network Access Control), amely a ISA 2004 quaranteen hálózatának CISCO-s, teljes hálóra kiterjedő változata. Impozáns bemutató volt, hogy a szabályok betartása vagy be nem tartása alapján kerültek egyik VLAN-ból a másikba a munkaállomások. Apró szépséghibája a megoldásnak, hogy egy telepített komponensen, a Cisco Trust Agent-en igen sok múlik, enélkül félkarú óriás az egész mutatvány. A CTA –t azonban telepíteni, frissíteni, vagyis menedzselni kell. Sokkal jobb lenne, ha ez a szolgáltatás az OS része lenne, a Windows XP-re akár egy Service PAck-en keresztül is felkerülhetne. Együtt kellene tehát működnie a CISCO-nak az OS gyártókkal, ahelyett, hogy ügynököket fejlesztene. Alternatív megoldásként egy Antivírus szállító is szóba jöhet, aki mint policy modult telepíteni a CTA funkcionalitását. Ez az ötlet nem csak nekem jutott eszembe. A Trend Micro előadásában épp az került terítékre, hogy ők disztributálják a CTA-t. Talán egyszer majd integrálják is, hogy minél kevesebb dolgunk legyen vele.

A NAC-ot ismertem, de a következő előadáson előkerülő MARS-ról még nem hallottam. Ez igazából egy mesterséges intelligencia avagy szakértői rendszer. Úgy működik, hogy begyűjti a (nem csak CISCO) eseménynaplókat a tűzfalakból IDS, IPS rendszerekből, routerekből, szerverekből, switchekből, antivírus rendszerekből. Az eseményeket korellálja, összeveti, és ezek alapján felismeri a lehetséges támadásokat, azok súlyosságát, és főleg útvonalát. Mivel ismeri és feltérképezi a teljes hálózatot, ezért vizuálisan képes megjeleníteni, honnan indult és hogyan terjedt a támadás. szükség esetén pedig be is avatkozik, például egy switch portot le tud kapcsolni. A MARS nem egy IPS, nem fogdos el csomagokat, hanem egy szakértői rendszert, amely többek között az IPS-ek adatait is elemzi. Bámulatos, a mélységi és hálózati védekezés mintapéldája!

Ennél is izgalmasabb témát találtam ebéd után, ez pedig a WAFS. (Wide Area File System). Milyen problémákat vetnek fel az elosztott rendszerek? Például azt, hogy a távoli, kicsi telephelyeken nem költséghatékony komplett infrastruktúrát üzemeltetni, ugyanakkor bizonyos szolgáltatásokat nem lehet WAN-on keresztül megoldani, legalábbis nem elfogadható válaszidő mellett. A WAN vonalak szűk sávszélessége, nagy késleltetése, továbbá a fájlmegosztásra használt protokollok bőbeszédűsége egyaránt probléma.

Mi kell egy távoli telephelyen, ahol mondjuk 15-20 felhasználó dolgozik? Mi az alábbi szolgáltatásokat nyújtjuk:

  • Tartományvezérlő, Globális katalógus
  •  DHCP/DNS/WINS – hálózati szolgáltatások,
  •  Fájl-, és nyomtatómegosztás,
  •  Szoftvertelepítés (GPO és fájlmegosztás segítségével)
  •  Antivírus szerverszolgáltatás (részeiben fájlmegosztás alapú),
  •  Patch disztribúció (Webszolgáltatást igényel a SUS és a WSUS).
  •  Mentés az adatokról (a kiszolgálókról nem) 

Nálunk nincs, de el tudom képzelni, hogy helyi proxy szerver működik az internetes forgalom csökkentésére, esetleg a telephely kiharcol magának egy Exchange kiszolgálót is a levelezéshez. A fenti szolgáltatásokhoz legalább egy kiszolgálóra van szükség. A biztonság szem előtt tartása esetén a szerverek száma már minimum kettő, hiszen a tartományvezérlőt célszerű különválasztani a többi funkciótól. Ha hozzávesszük, hogy a két kiszolgálót menteni is kell, továbbá, hogy nincs helyi személyzet, könnyen belátható, hogy vagy fajlagosan drága megoldást hozunk létre, vagy kispórolunk ugyan egy-két szolgáltatást, de csökkent az IT kiszolgálás színvonala vagy biztonsága.

A WAFS számos vonatkozásban jelenthet megoldást. A CISCO két céget vásárolt fel, amelyek termékeit összegyúrta, most a 3.0-ás verziónál tart. A WAFS lényegében egy transzparens CIFS/NFS proxy, amely akár a Microsoft DFS szolgáltatásával is együttműködik. A WAN mindkét végén (központ és telephely) telepítve tömöríti az általa ismert forgalmakat, továbbá cache-eli a fájlmegosztás, fájlhozzáférési kérelmeket nagyságrenddel csökkentve a válaszidőt, kvázi LAN sebességet nyújtva a telephelyi felhasználók felé. Megoldották természetesen a lockolást és a késleltetett írást is. Ez pedig forradalmi átalakulást eredményezhet a távoli telephelyeken, mert:

  •  A WAFS miatt nincs szükség fájlszerverekre a kisebb telephelyeken
  •  Az állomány-kiszolgálók megszűntével tartományvezérlőkre sincs szükség
  •  Az Antivírus rendszerek definíció-disztribúcióját, ha az CIFS-et használ, szintén megoldja a WAFS
  •  A patch disztribúció webes forgalomként proxyzható, de az új WSUS Bits 2.0 technológiája miatt amúgy is központosítható a kiszolgáló
  •  A DNS/WINS központosítható, ha nincs tartományvezérő a helyszínen.
  •  A DHCP kiszolgáló központosítható, ha a routerek Relay agent funkciót is ellátnak.

Ez tehát azt jelenti, hogy szervermentes övezetté lehet tenni a távoli telephelyeket anélkül, hogy jelentősen romlana a válaszidő. Megtakarítunk egy (vagy több) szerver vasat, operációs rendszert, tartományvezérlőt, szalagos egységet, kazettákat, Antivírus licencet és mindezek üzemeltetési költségeit. Hátulütő a hálózat rendelkezésre állása, de az ADSL korszakban a redundancia megvalósítása nem túl drága.

Az ötlet egyébként olyan jó, hogy amikor ehhez a cikkhez a megfelelő CISCO oldalt kerestem a Google-al, a Tacit Networks oldalára tévedtem. Ők még tovább jutottak ezen az úton: a levelezést, az Exchange-et, a nyomtatást sőt még a tartományvezérlést is cache-elik, pontosan azért, hogy a kisebb telephelyeken egyetlen szervert se kelljen telepíteni. Nagyon ígéretes dolog ez, rajta kell tartanom a szemem.

És itt még nem ért véget a nap. A kedvenc témámról, a virtualizációról is esett szó. Ezúttal az I/O virtualizációval ismerkedtem meg. A kulcsszó: InfiniBand. Ahogy kivettem ez egy szabvány, amely lényegében egy PCI-X kártyában és egy hálózati architektúrában testesül meg. Az InfiniBand kártyákra definiálni lehet hálózati és SAN HBA kártyákat is (ezem, ugye, így már virtuális kártyák). A végeredmény: a külön SAN és LAN hálózat helyett egyetlen InfiniBand hálózattal oldható meg a rendszer. Megtakaríthatjuk a HBA és LAN kártyákat, továbbá a SAN vagy a LAN switcheket (a kettő közül persze csak az egyiket). Összetett hálózat esetén ez akár komolyabb darabszám-csökkenést is eredményezhet. Nem ismerem az árakat, de a virtualizáció, mint olyan, vélhetőleg itt is költségcsökkenéshez vezethet egy bizonyos méret felett.

A nap utolsó előadásában Wifi Mesh hálózatokról hallottam. Az újdonság itt az, hogy már a gerinchálózathoz is Wifi kapcsolat köti az aktív eszközöket, lehetővé téve, hogy nehezen megközelíthető, vagy drágán bekábelezhető helyekre is eljusson a net. Nem nagy durranás, inkább a természetes fejlődés iránya, itt nagyon sokat azért nem csodálkoztam.

 Összefoglalásul azt mondhatom, hogy jó bemutatkozása ez a konferencia a Cisco-nak. Az előadók többnyire gyakorlott szakemberek, de gyakorlatlan oktatók voltak, ezen javítani kellene a jövőben. Szemben pl. az MS barcelonai vagy amszterdami rendezvényeivel, itt jóval rövidebbek voltak az előadások, így nem volt lehetőség valódi mélységeket megmutatni, legfeljebb felvillantani. Ha tényleg nem marketing-konferenciáról van szó, márpedig a CISCO vállaltan szakmai találkozót szervezett, akkor több időt kell adni az előadóknak, hogy igazi tudást adhassanak át a hallgatóságnak.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: