Post on 21-Jan-2016
description
© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice.
More From Your Network
ProCurve Networking – dział rozwiązań sieciowych HP
Seminarium EDUROAM – UMK, 16-17.03.2006
Kazimierz.Osinski@hp.com
2
ProCurve Networking by HP
HP było pierwszą firmą która skierowała do sprzedaży moduł Gigabit Ethernet w standardzie 1000BaseT
Dział sieciowy HP istnieje od 25 lat
W laboratoriach HP powstał standard 10BaseT (Ethernet przez kabel UTP – skrętka telefoniczna)
W laboratoriach HP powstał standard sieci komputerowych 100VG AnyLan
3
Magic Quadrant for Global Campus LAN
HP jest nr2 na rynku rozwiązań sieciowych na świecie (źródło : IDC, 2006).
Rozwiązania sieciowe HP trafiają w potrzeby co najmniej 80% przedsiębiorstw.
Przedsiębiorstwa inwestujące w sieci LAN o wielkości do 5000 węzłów muszą mieć ofertę ProCurve Networking na swojej liście wyboru.
4
ProCurve NetworkingSecure routers
Layer 3 and 4+ switches
Layer 2, 3, and 4 switches
Layer 2 and 3 switches
Layer 2 switches
Stackable
ProCurve Secure Router 7102dl
ProCurve Secure Router 7203dl
Chassis ProCurve Routing Switch 9315m
ProCurve Routing Switch9308m
ProCurve Routing
Switch 9304m
Mini chassis
ProCurve Switch 5308xk-48G
ProCurve Switch 5308xl
ProCurve Switch 5304xl
Stackable
ProCurve Switch 3400cl-48g
ProCurve Switch 3400cl-24g
ProCurve Switch 6400cl
ProCurve Switch 6410cl
Mini Chassis
Stackable
ProCurve Switch 4140gl
ProCurve Switch 4160gl
ProCurve Switch 4108gl bundle
ProCurve Switch 6108
ProCurve Switch 2848
ProCurve Switch 2824
ProCurve Switch 2650
ProCurve Switch 2626
ProCurve Switch 2650-PWR
ProCurve Switch 2626-PWR
ProCurve Switch 4148gl
ProCurve Switch 4108gl
ProCurve Switch 4104gl
Managed stackables
Unmanaged stackables
ProCurve Switch 2524
ProCurve Switch 2512
ProCurve Switch 408
ProCurve Switch 2724 ProCurve Switch 2324
ProCurve Switch 2124
ProCurve Switch 2708
ProCurve Switch 2312
Power over EthernetProCurve Switch
2600-8-PWR
ProCurve Switch 8116fl
ProCurve Switch 8108fl
ProCurve Routing Switch 9408sl
ProCurve Switch 5372xl
ProCurve Switch 5348xl
ProCurve Switch 5304xl-32G
5
Mobility products
Network management software
ProCurve NetworkingWireless access points
Secure access
ProCurveWireless Access Point 520wl
ProCurve Wireless Access Point 420
ProCurve Access Controller 720wl
ProCurve Access Control Server 740wl
ProCurve Integrated Access Manager 760wl
ProCurve Mobility Manager 1.0
ProCurve Manager Plus ProCurve Identity Driven ManagerProCurve Identity
Driven Manager 2.0
6
Gwarancja i serwis w cenie The Best Warranty in the industry !
Stabilna oferta : obowiązuje od kwietnia 1998r bez zmian !
Gwarancja LIFETIME– Tak długo jak użytkownik posiada produkt– Obejmuje wszystkie urządzenia oprócz serii 9300m,9400sl,8100fl i 700wl– Obejmuje wszystkie elementy urządzenia :
– Zasilacze, wiatraki, moduły, transceivery
Serwis gwarancyjny :– NBD– W cenie urządzenia !– Nie wymaga kupowania żadnych opcji serwisowych !
Bezpłatny upgrade firmware (OS) przełączników zarządzalnych :
• Udostępniany bez konieczności rejestracji na www.hp.com• Bez względu na to czy nowa wersja zawiera łaty czy zupełnie nowe funkcje
7
Użytkownicy oczekują
Ochrona zasobów i kontrola dostępu
• Właściwy dostęp do danych dla właściwych osób
• Kontrola w różnych warstawach
Wyższa produktywność
•Praca w dowolnym miejscu
•Takie samo środowisko pracy bez względu na miejsce pracy
Uprościć komunikację
•Niższe koszty
•Komunikacja i przesyłanie danych bez opóźnień
•Infrastruktura gotowa na uruchomienia dowolnego systemu komunikacji (VoIP, Triple Play)
ConvergenceSecurity Mobility
8
EDGE Network
EDGE FabricHigh performance forwarding fabric
IntelligentEDGE
Per PortDistributed Processors
Internet
Servers
Clients
WirelessClients
Clients
Każdy port jest konfigurowalny
Każdy port odpowiada za bezpieczeństwo sieci
Inteligencja sieci jest rozproszona
Centralne zarządzanie polisami
Niższe koszty
Wieksza funkcjonalność
9
Adaptive EDGEArchitectureEdge-to-Edge
Wirededge
Adaptative Edge ArchitectureBezpieczny i mobilny dostęp, skalowalność
EDGEportal(WAN)
HQ LAN
Wirelessedge
intranet
BranchLANs
publicstreams
privatelinks
Internet
publicstreams
secure wirelessconnections (WLAN)
= 802.11i / IDM
securewired
connections(LAN)
= 802.1x / IDMsecure VPN tunnels
(WAN)
secureremote
connections(WAN)
= SR 7000dlVPN IPSec
WANedge
10
Pytanie jakie zadaje 90% Dyrektorów IT :Czy sieć bezprzewodowa może być bezpieczna ?
Jak kontrolować kto ma dostęp ?Jak zarządzać ?
Jak zachować prywatność przesyłanych informacji ?
11
Sieci przewodowe… port jest punktem wejścia do sieci.
…właściwe zarządzanie bezpieczeństwem portu pozwalało zbudować bezpieczną sieć.
12
Sieci bezprzewodowe…miejsce podłączenia dowolne
…każdy kto znajduje się w zasięgu AP możepróbować uzyskać dostęp do sieci.
13
Secure your Network Today
You never know who is watching….even right now!!!
14
437 AP’ów wykrytych w ciągu 90 minut
60% AP’ów pracowało w konfiguracji fabrycznej (out-of-the box configuration)
Tylko 23% miało włączony WEP
(źródło: ARS Technical @ http://arstechnica.com/wankerdesk/3q02/warflying-1.html)
WARDRIVING
15
London, Paris, NewYork… WarszawaStatystycznie wszędzie sytuacja jest taka sama…
16
http://www.warchalking.org/
Bezpieczeństwo i koszty
17
Pytanie jakie zadaje 90% Dyrektorów IT :Czy sieć bezprzewodowa może być bezpieczna ?
Jak kontrolować kto ma dostęp ?Jak zarządzać ?
Jak zachować prywatność przesyłanych informacji ?
18
Proste zarządzanie użytkownikami i grupami dzięki polisom
Wireless data privacy
Autentykacja bazująca na standardach sieciowych
Kontrola dostępu
Skalowalność
HP ProCurve Secure Access 700wl rozwiązanie do budowy infrastruktury bezpiecznej sieci WiFi
State-of-the-art enterprise-level
security
19
Jak zintegrować LAN i WLAN ?
HP ProCurve
Secure Router 7000dl
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
Internet
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
Access Control Server
• ulokowany w centrum sieci
• zarządza
• autentykacją
• roamingiem
• konfiguracją
Access Controller
• specjalizowany switch
• ulokowany na krawędzi sieci
• obsługuje od 4-12 urządzeń
HP ProCurve
Access Server 740wl
HP ProCurve
Access Controller 720wl
HP ProCurve
Access Point 420wl
20
Jak zintegrować LAN i WLAN ?
HP ProCurve
Secure Router 7000dl
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
Internet
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
Autentykacja
• RADIUS
• NT Domain (single sign-on)
• LDAP
• 802.1x
• Kerberos
• Active Directory
• Internal database
Centralne zarządzanie i konfiguracja
Wymuszanie praw dostepu
• kontrola na bazie parametrów
• User, Group, Location i Time
• konto Guest
• IGMP v3 multicast
HP ProCurve
Access Server 740wl
HP ProCurve
Access Controller 720wl
HP ProCurve
Access Point 420wl
21
Jak zintegrować LAN i WLAN ?
HP ProCurve
Secure Router 7000dl
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
Internet
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
Bezpieczeństwo transmisji danych
IPsec
• DES, 3DES, AES
• 802.1x
Mobilność
• Layer 3 Roaming
• rozszerzona obsługa klientów
HP ProCurve
Access Server 740wl
HP ProCurve
Access Controller 720wl
22
Własne ekrany logowania
23
Własne ekrany logowania zależne od lokalizacji
24
LOGi
LOG File :
8:50 Guest User Connection Addr : FF6F0... Granted, Location LobbyAP01
8:55 Guest User Connection Addr : FF6F0... Granted
Location HallAP12
9:00 User JohnB Athenticated , Group users : Access Granted
9:00 Guest User SamN Authenticated , Group TempWorkers, Access granted
Location OpenOfficeAP7A
25
5300xl + moduł kontroli dostępuPorty kontrolowane
przez XL Access Controller Module
(do 30 portów w przełączniku)
Normalne porty
przełącznika
26
Jak zintegrować LAN i WLAN ?
HP ProCurve
Secure Router 7000dl
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
HP ProCurve
Switch 5300xl
Internet
HP ProCurve
Switch 5300xl
Moduł Kontroli
Dostępu
HP ProCurve
Switch 5300xl
HP ProCurve
Access Point 420wl
HP ProCurve
Access Server 740wl
ProCurve Switch 8100fl
27
Back office
ProCurve Access Control Server 740wl
ProCurve Routing Switch 9300m Series
ProCurve Switch 5300xl series
Proxy server/Firewall
InternetAuthentication
servers
ProCurve Switch 2650-PWR and 2626-PWR
ProCurve Wireless Access Point 420
ProCurve Wireless Access Point 520wl
Option accessories: xl 10/100-TX PoE Module ProCurve 600/610 EPS
trusted ports
ProCurve Wireless Access Point 420
ProCurve Wireless Access Point 520wl
Guest Network Ports
ProCurve 5300xl Switch xl Access xl Controller Module
Jak zintegrować sieć LAN i WLAN ?
28
5300xl/3400cl/5400zl/3500yl/6200ylIdentity Driven Manager 2.0
Dynamicznie konfiguruje porty przełącznika na podstawie polis stworzonych przez administratora.
Konfiguracja następuje na podstawie identyfikacji użytkownika.
VLAN BandwidthLimit
User/Group, Time, Location,
QoSACLs
DeviceID
ClientIntegrityStatus
Steruje ustawieniami =>
Na bazie =>
New
New
29
Check for:Time of dayLocationDevice IDClient Status
Choose Access Policy:User’s Group NameACLVLANQoSBW limit
Check for:Time of dayLocationDevice IDClient Status
Choose Access Policy:
User’s Group NameACLVLANQoSBW limit
Username Password
ACL, VLAN, QoS, BW
Group nameGroup name
Integracja IDM 2.0 i 700wl
DB
Authentication Database
LDAP,
Active Directory, or
Flat File
802.1X
PCMIDMPlug-In
IDMAgent
Wired Client
CommonAccess Policy Group names
with the 740
Username:Password:
Jo Bloe
XXXXXX
ClientStatus
Approved
Jo Bloe
802.1xProCurve
Approved
Supplicants
IDM PoliciesApplied
720
ProCurve or
3rd party Access Point
Wireless
Client
700 SeriesPoliciesApplied
User namePassword802.1X
Group nameGroup name
ACL, VLAN, QoS, BW
740 PoliciesACL’s, VLAN ,QoS,BW
IDMAgent
RADIUS
Authentication
Server
IDMAgent
ClientStatus
IDM może być użyty w środowisku sieci LAN i WLAN.740720
Click to advanceClick to advanceClick to advanceClick to advanceClick to advanceClick to advanceClick to advanceClick to advanceClick to advanceEnd of Animation
30
• Microsoft IAS
• Funk SBR
• freeRADIUS**User
DB
PCMPLUS 2.01
RADIUS Active Directory, LDAP, Flat File - 802.1x (preferred)
- Web/MAC Auth
- ProCurve Approved
Supplicant (required only w/ 802.1x)
IDMPlug-
In
IDMAgent
Minimum Requirements of IDM 2.0
Client
ProCurve Switch
31
Internet
Guest
Employee
Non-CompliantEmployee
Access only to Internetat 2 Mbps
EnterpriseLAN
Access toInternet and
Corp Servers
Access only toAnti-Virus
remediationServer
EdgeSwitch
Anti-Virus remediationServer
CorporateServer
AccessPolicyServer
Conference Room
Conference Room
Incorporating Client Integrity User Experience
Non-compliant PCs have their access rights set to ‘remediation’Network
Administrator
1. Sets up role based access policy groups & assigns rules and access profiles:
•Set rules•Time •Location•Device ID•Client integrity
status•To trigger each policy
profile•ACL•VLAN•QoS•BW limit
2. Put users in appropriate access policy group
New
New
32
Zarządzanie.Pełna integracja.
Command from the Center
Control at the EDGE
ProCurve Mobility Manager 1.0 Identity Driven Manager 2.0
ProCurve Manager Plus 2.0(ProCurve Manager)
Network Infrastructure (Switches, Routers, AP’s)
33
HP ProCurve Manager +
34
Secure Mobility Sterowanie zdarzeniami
University databases
Wireless PC
WirelessPDA
WirelessPC
WirelessPDA
Desk PC
HP ProCurveSwitch 5300xl
(with PoE)
InternetIntranet
Data center
WirelessPC
High-performanceworkstations Wireless
PDA
Department (Engineering example)
HP ProCurveWireless Access Point 520wl
HP ProCurve AccessController 720wl
[PoE capable]
10 GE available
Rogue AP
Multi-GE trunk for increased bandwidth to Eng’g Dept.
Large lecture hall
Wireless PC
PCM+ Airwave
Rogue AP Event
Shutdown Port!
35
Back office
ProCurve Access Control Server 740wl
ProCurve Routing Switch 9300m Series
ProCurve Switch 5300xl series
Proxy server/Firewall
InternetAuthentication
servers
ProCurve Switch 2650-PWR and 2626-PWR
ProCurve Wireless Access Point 420
ProCurve Wireless Access Point 520wl
Option accessories: xl 10/100-TX PoE Module ProCurve 600/610 EPS
trusted ports
ProCurve Wireless Access Point 420
ProCurve Wireless Access Point 520wl
Guest Network Ports
ProCurve 5300xl Switch xl Access xl Controller Module
Zintegrowane sieci, zarządzalne, bezpieczne
LAN, Kontrola dostępu, konfiguracja portów WLAN, Kontrola dostępu,
konfiguracja portów,
poufność
Zarządzanie
polisami,
monitorowanieProCurve Manager+
IDM, PMM
Integracja z
rozwiązaniam
i
bazującymi na
Otwartych
Standardach,
Endpoint Integrity
Checking
36
Więcej informacji : www.hp.pl/sieciwww.hp.com/rnd
Kazimierz.Osinski@hp.com
38
Slajdy dodatkowe – poza prezentacją
39
What is ProCurve IDM?
ProCurve Identity Driven Manager (IDM) dynamically assigns access rights to identities (users) on the network
In concert with ProCurve Manager Plus (PCM+), IDM provides an affordable, feature-rich, unified, centralized approach to enterprise network management.
40
Internet
Guest
Employee
Non-CompliantEmployee
Access only to Internetat 2 Mbps
EnterpriseLAN
Access toInternet and
Corp Servers
Access only toAnti-Virus
remediationServer
EdgeSwitch
Anti-Virus remediationServer
CorporateServer
AccessPolicyServer
Conference Room
Conference Room
Incorporating Client Integrity User Experience
Non-compliant PCs have their access rights set to ‘remediation’Network
Administrator
1. Sets up role based access policy groups & assigns rules and access profiles:
•Set rules•Time •Location•Device ID•Client integrity
status•To trigger each policy
profile•ACL•VLAN•QoS•BW limit
2. Put users in appropriate access policy group
New
New
41
Identity Driven ManagerThe On-Demand Network User Experience
Internet
Guest
Employee
CompliantEmployee
Access only to Internetat 2 Mbps
EnterpriseLAN
EdgeSwitch
Anti-VirusServer
CorporateServer
AccessPolicyServer
Conference Room
Conference Room
Access toInternet and
Corp Servers
Access toInternet and
Corp Servers
NetworkAdministrator
1. Sets up role based access policy groups & assigns rules and access profiles:
•Set rules•Time •Location•Device ID•Client integrity
status•To trigger each policy
profile•ACL•VLAN•QoS•BW limit
2. Put users in appropriate access policy group
New
New
42
ProCurve Mobility Manager 1.0Przykład – Rogue Device Detection
Student
Rogue
Średni sygnał
Back Office • Nieznany AP MAC, SSID, etc• Które AP wykryły go ?• Siła sygnału• Zaufany czy intruz !?
PCM Console
IT Administrator
Email lub page alert
Student Student Student Student
StudentStudentStudentStudentStudent
Uczelnia
420 420
Silny sygnał
Słaby sygnał
Sąsiednibudynek
420