ENTERASYS K-Series User Manual [ru]
ТЕХНИЧЕСКОЕ ОПИСАНИЕ
Enterasys K-Series™
Гибкий модульный коммутатор с функциями премиум-класса для применения
на периферии или в ядре сети небольшого предприятия
Сокращение совокупной стоимости владения
благодаря универсальной коммутации высокой
плотности от периферии до ядра небольшой сети
с гибкими вариантами подключения
и энергопотребления
Максимальная эффективность и надежность
поддержки новых ИТ-служб (таких как виртуальные
настольные системы) благодаря расширенным
возможностям предоставления сетевых ресурсов
Сокращение затрат и защита премиум-класса для
критически важных сетей благодаря комплексным
возможностям контроля и управления
Надежные функции определения местоположения,
идентификации и общего управления, включая
поддержку программ BYOD (использование личных
устройств для работы), благодаря легким
в развертывании средствам управления доступом
и приоритетами
Обзор продукта
Enterasys K-Series™ – самое экономичное в отрасли решение для коммутации на основе потоков.
Предоставляя исключительные уровни автоматизации, доступности и управления от границы
сети до ядра небольшого предприятия, эти гибкие модульные коммутаторы существенно
сокращают эксплуатационные расходы, предлагая при этом функции премиум-класса.
Решения K-Series построены на базе специализированных микросхем Enterasys CoreFlow2 ASIC.
Эта краеугольная технология коммутации обеспечивает высокую доступность важных бизнесприложений и возможность улучшить средства управления для выполнения соглашений об
уровне обслуживания (SLA) в соответствии с потребностями бизнеса.
Разработанные для решения проблем, связанных с растущим спросом на доступ к новым
приложениям и сервисам, устройства K-Series защищают бизнес-трафик и поддерживают
меняющиеся потребности. Они поддерживают консьюмеризацию ИТ и программы BYOD,
требующие более надежных средств определения местоположения, идентификации, контроля
и общего управления. Коммутаторы K-Series прекрасно подходят для интеллектуального
управления обменом данными между пользователем, устройством и приложением. Кроме
того, они обеспечивают контроль и управление для устранения проблем подключения и
определения местоположения устройств, а также гарантируют защиту корпоративных данных.
Коммутаторы Enterasys K-Series поставляются в следующих формфакторах:
• 6-слотовое шасси, вмещающее до 144 портов 10/100/1000 и 4 порта 10 Гбит;
• 10-слотовое шасси, вмещающее до 216 портов 10/100/1000 и 8 портов 10 Гбит.
K-Series поддерживает до 12 каналов 10 Гбит для подключения к магистральной сети, включая
4 порта на плате коммутационной матрицы и 8 портов в двух модулях ввода/вывода 10 Гбит.
K-Series принимает решения о пересылке и применяет политики безопасности и роли во время
классификации/определения приоритетов трафика со скоростью физической пропускной
способности канала. Все модули ввода/вывода предоставляют максимальные возможности
качества обслуживания (QoS) для критически важных приложений (например, передача голоса
или видео высокой четкости) даже во время большой загруженности сети, а также упреждающе
предотвращают DoS-атаки и распространение вредоносного ПО.
В решениях K-Series реализована передовая архитектура коммутации на основе потоков для
интеллектуального управления обменом данными между пользователем и приложением.
Это значительно превосходит возможности коммутаторов, использующих для реализации
управления доступом только сети VLAN, списки управления доступом и порты. Чтобы
гарантировать каждому пользователю доступ к его критически важным приложениям
(независимо от того, где он подключен к сети), применяются идентификация пользователя и
назначение ролей. Правила политик K-Series объединены с глубоким анализом пакетов
и могут интеллектуально определять угрозы безопасности и автоматически реагировать на них,
повышая при этом надежность и качество работы.
Преимущества
Соответствие требованиям бизнеса
Гарантированное получение каждым •
конечным пользователем информации,
сервисов и приложений, необходимых
для достижения целей бизнеса с помощью
широких возможностей контроля и
управления сетью.
Сокращение затрат на энергопотребление •
и охлаждение благодаря экологичной
и эффективной модульной системе
электропитания, обеспечивающей
оптимальное постепенное увеличение
потребления энергии.
Согласование удобства работы •
конечных пользователей и защиты
сети с помощью эффективного
предоставления важнейших сетевых
сервисов с одновременной блокировкой
подозрительного трафика.
Эффективность эксплуатации
Шасси высокой плотности и малого •
формфактора, устанавливаемое
в стандартную стойку, содержит
до 216 портов 10/100/1000 с 8 каналами
10 Гбит для подключения к магистральной
сети, что существенно сокращает место
в стойке.
Снижение эксплуатационных расходов •
и увеличение срока безотказной работы
с помощью автоматизации управления
и встроенных функций восстановления
работоспособности.
Автоматическое определение и •
поддержка новых устройств и сервисов
с сокращением времени развертывания.
Безопасность
Сокращение рисков и упрощение •
управления сетью со встроенной,
а не внешней системой безопасности.
Защита бизнес-трафика от атак •
злоумышленников и обеспечение
конфиденциальности, целостности
и доступности данных.
Расширение функций управления •
доступом к сети и безопасностью до
уровня существующих пограничных
коммутаторов и беспроводных точек
доступа, а также решение проблем,
связанных с консьюмеризацией ИТ.
Поддержка и обслуживание
Лидирующее в отрасли решение по •
степени удовлетворенности клиентов
и показателям устранения неполадок
на первоначальном этапе.
Для нас нет ничего важнее
наших клиентов
Существенной отличительной особенностью K-Series является
возможность собирать данные NetFlow со скоростью физической
линии, предоставляя пользователям и приложениям полную
информацию об утилизации сетевых ресурсов. Решения K-Series
вместе с устройствами S-Series являются единственными
корпоративными средствами коммутации, поддерживающими
многопользовательскую/многофакторную аутентификацию
на каждом порту. Эти возможности абсолютно необходимы
при использовании IP-телефонов, компьютеров, принтеров,
копировальных устройств, камер видеонаблюдения, устройств
считывания идентификационных карточек, а также подключенных
к сети виртуальных машин.
Новые модульные коммутаторы предоставляют гибкие возможности
подключения, функции премиум-класса и интегрированную систему
безопасности, позволяющую быстро адаптировать сеть
к меняющимся бизнес-требованиям.
Аппаратные функциональные возможности для
обеспечения высокой доступности
В устройствах K-Series предусмотрено множество стандартных
функций для обеспечения высокой доступности. Эти аппаратные
возможности обеспечения высокой доступности позволяют внедрять
K-Series в критически важные среды, требующие круглосуточной
ежедневной доступности.
Решения K-Series поддерживают следующие аппаратные
возможности для обеспечения высокой доступности:
• пассивная объединительная плата шасси;
• вентиляторные отсеки с возможностью горячей замены
и несколькими вентиляторами;
• источники питания с горячей заменой и распределением нагрузки;
• подключение нескольких входов переменного тока для
резервирования электропитания;
• создание групп агрегирования нескольких каналов (LAG) путем
объединения до 36 групп по 8 портов Ethernet.
Распределенная архитектура на основе потоков
Чтобы обеспечить для трафика детальный контроль и управление
без вреда для производительности, в Enterasys K-Series использована
архитектура на основе потоков. Она гарантирует, что при установлении специфического потока обмена данными между двумя
оконечными устройствами первые пакеты в этом взаимодействии
обрабатываются в коммутаторе с помощью механизмов
многоуровневой классификации и модуля матрицы ввода/вывода.
При этом определяются роли и применяемые политики, выполняется
анализ пакетов и выбирается действие. После идентификации потока
все последующие пакеты, связанные с этим потоком, автоматически
передаются на Enterasys ASIC без дополнительной обработки.
В таком случае в Enterasys K-Series применяется детальное
управление каждым потоком со скоростью, соответствующей полной
пропускной способности линии.
Многопользовательская/многофакторная
аутентификация и политика
С помощью аутентификации компании получают возможность
управлять доступом к сети и обеспечивать мобильность
пользователей и устройств. Она позволяет узнать, какие устройства/
пользователи подключены к сети и в каком месте выполнено
это подключение. Устройства Enterasys K-Series обладают
уникальными, лучшими в отрасли передовыми в части методов
средствами одновременной аутентификации. Модули K-Series могут
одновременно поддерживать несколько различных технологий
аутентификации, в том числе:
• аутентификацию по стандарту 802.1X;
• аутентификацию устройств в сети по MAC-адресу;
• аутентификацию через веб-интерфейс, также известную как PWA,
при которой имя пользователя и пароль вводятся в окне браузера;
• CEP (конвергенция оконечных устройств); при этом методе
идентифицируются и аутентифицируются VoIP-телефоны различных
производителей. Эта возможность предоставляет большую
гибкость компаниям, стремящимся внедрить в инфраструктуру
механизмы управления доступом.
Важно отметить, что коммутаторы K-Series поддерживают
многопользовательскую аутентификацию. Она позволяет подключать
к одному и тому же физическому порту несколько устройств
и пользователей, при этом они аутентифицируются по отдельности
с помощью одного из методов (802.1X, MAC, PWA или CEP). Основным
преимуществом многопользовательской аутентификации является
авторизация нескольких человек с помощью динамических
политик или назначения VLAN для каждого аутентифицированного
пользователя. Использование динамической политики называется
многопользовательской политикой.
Многопользовательская аутентификация и политика предоставляют
клиентам значительные преимущества, распространяя сервисы
безопасности на пользователей, подключенных на границе сети
к неуправляемым устройствам, коммутаторам/маршрутизаторам
других производителей, VPN-концентраторам или беспроводным
точкам доступа LAN. Использование аутентификации обеспечивает
управление безопасностью, приоритетами и пропускной
способностью, защищая при этом инвестиции в сетевую
инфраструктуру. Решения K-Series поддерживают до 8 пользователей
на порт с лицензируемой возможностью до 256 пользователей на
порт. Системные ресурсы (шасси) рассчитаны на 1152 пользователей
в K6 и 1920 пользователей в K10.
Динамическая классификация пакетов на основе
потоков
Еще одной уникальной особенностью Enterasys K-Series, отличающей
эти решения от конкурирующих коммутаторов, является
возможность многоуровневой классификации пакетов на основе
пользователя или QoS. Из-за широкого набора используемых в сетях
приложений одной традиционной многоуровневой классификации
пакетов уже недостаточно, чтобы гарантировать своевременную
передачу критически важных приложений. В устройствах K-Series
многоуровневая классификация пакетов на основе пользователей
позволяет классифицировать трафик не только по типу пакетов,
но и по роли пользователя в сети и назначенной ему политике.
Благодаря такой классификации пакеты можно классифицировать на
основе уникальных идентификаторов, например «все пользователи»,
«группы пользователей» или «индивидуальный пользователь». Это
обеспечит более детальный подход к управлению сетью
и сохранение ее конфиденциальности, целостности и доступности.
Страница 2
Мониторинг сети с помощью NetFlow высокой
точности
В коммутаторах Enterasys K-Series доступны возможности управления
производительностью сети и обеспечения ее безопасности с помощью
стандарта NetFlow без замедления коммутации и маршрутизации или
покупки дорогостоящих дочерних плат для каждого модуля. В отличие от
обычных технологий периодической выборки Enterasys NetFlow отслеживает
каждый пакет в каждом потоке.
Значение недискретизированного мониторинга NetFlow в режиме
реального времени заключается в возможности точного контроля
того, какой трафик проходит через сеть. Аномальные ситуации
обнаруживаются NetFlow, и выполняется соответствующее действие.
Кроме того, NetFlow можно использовать для планирования
пропускной способности, позволяя администратору сети
отслеживать потоки и объемы трафика, чтобы при необходимости
изменить конфигурацию или выполнить модернизацию сети. Это
экономит время и средства, т. к. администраторы знают, когда и где
могут потребоваться изменения.
Краткие характеристики
Мониторинг сетевого трафика: зеркалирование портов
Зеркалирование портов – это интегрированное средство диагностики
для отслеживания производительности сети и обеспечения ее
безопасности, особенно полезное при отражении проникновений
в сеть и атак. Это экономичная альтернатива специальным
ответвляющим устройствам и другим решениям, которые могут
потребовать дополнительного оборудования, нарушить работу сети,
повлиять на клиентские приложения или создать точки отказа в сети.
Зеркалирование портов хорошо поддается масштабированию
и мониторингу. Его очень удобно использовать в сетях с недоста-точным
количеством портов. Для зеркалирования можно настроить физические
и виртуальные порты, порты узлов (VLAN-интерфейсы), а также порты для
обнаружения вторжений. Благодаря этой функции становятся легкими и
экономичными процессы анализа двунаправленного трафика и мониторинга
подключения, например, коммутатора подразделения его высокоскоростным
каналом к магистральному коммутатору.
Зеркалирование портов в K-Series можно настроить для входящего
трафика, для исходящего трафика или для обоих видов трафика,
суммарно до 4 зеркал портов, «один в один», «многие в один», «один
в многие», зеркалирование в соответствии с политикой.
Многоуровневая классификация пакетов:
предоставляет пользователям доступ
к критически важным приложениям с помощью
анализа трафика и функций управления
• Уровни пользователя, порта и устройства (классификация пакетов
с уровня 2 по 4)
• Привязка QoS к приоритетным очередям (802.1p и IP ToS/DSCP):
доступно до 11 очередей на порт
• Различные механизмы организации очередей (SPQ, WFQ, WRR
и гибридный)
• Детальные уровни QoS/ограничение скорости
• Привязка сетей VLAN к политикам
Службы коммутации/VLAN: обеспечение
высокоэффективных процессов подключения,
агрегации и служб быстрого восстановления
• Расширенное соответствие отраслевым стандартам (IEEE и IETF)
• Управление входящей и исходящей пропускной способностью на
поток
• Поддержка служб VLAN
– Агрегирование каналов (IEEE 802.3ad)
– Множественные остовные деревья (IEEE 802.1s)
– Быстрое изменение конфигурации
остовного дерева (IEEE 802.1w)
• Мосты провайдеров (IEEE 802.1ad), готовность к поддержке Q-in-Q
• Подавление избыточного потокообразования
• Сервер DHCP
IP-маршрутизация: динамическая оптимизация
трафика, ограничение широковещательной
передачи и эффективная устойчивость сети
• Стандартные функции маршрутизации: статические маршруты,
поддержка RIPv2, RIPng и многоадресной маршрутизации (DVMRP,
IGMP версий 1/2/3), маршрутизация на основе политик, карты
маршрутов и VRRP
• Лицензируемые протоколы маршрутизации: OSPF версий 2/3,
VRF и PIM-SM
Безопасность (пользователь, сеть и управление)
• Защита на уровне пользователя
– Аутентификация (802.1X, MAC, PWA+ и CEP), блокирование
портов по MAC-адресу (статическое и динамическое)
– Многопользовательская аутентификация/политики
• Защита на уровне сети
– Списки управления доступом (ACL): стандартные и расширенные
– Службы безопасности на основе политик (например, защита
от спуфинга, доступа по неподдерживаемому протоколу,
предотвращение проникновения, ограничение DoS-атак)
• Безопасность управления
– Безопасный доступ к K-Series по протоколу SSH, SNMP версии 3
Управление, контроль и анализ: средства,
оптимизированные для управления
доступностью и работоспособностью сети
• Конфигурация
– Поддержка отраслевого стандарта интерфейса командной
строки и веб-управления
– Множество образов микрокода с редактируемыми файлами
конфигураций
• Анализ сети
– SNMP версий 1/2/3, RMON (9 групп) и SMON (rfc2613) VLAN
и статистика
– Зеркалирование портов/VLAN («один к одному», «один ко
многим», «многие ко многим»)
– Недискретизированный NetFlow на каждом порту без влияния
на эффективность коммутации и маршрутизации
• Автоматизированная настройка и изменение конфигурации
– Установленный для замены модуль ввода/вывода автоматически
наследует настройки предыдущего модуля.
Страница 3
Loading...