Waar laat u uw eigen speciale applicatie…

Stel: u, als netwerk beheerder, hebt een aparte applicatie die u nodig hebt en op de branch-kantoren moet draaien… Op welk platform laadt u deze applicatie?

Als er nog servers zijn in iedere branch, dan kan de applicatie op één van de servers… nadeeltje: dan wordt hij beheert door de servermensen, die gaan eisen stellen aan patches, welk OS, hoe de backup geregeld zal worden… Maar goed, het zou kunnen:

Remote router met server

Maar vaak is er geen server in de branch, want dat is de situatie die de meeste bedrijven nastreven: geen remote servers. Nu is het al jaren mogelijk om een serverblade in de router te plaatsen:

Remote router met blade

Er staat nu inderdaad geen losse server in de branch… maar het blade is een server, met eigen cpu, memory en opslag, alleen opgeborgen in het chassis van de router.

Sinds IOS XE release 3.17 is er nog een optie, waarbij er geen extra server nodig is en alles onder controle van de netwerk-afdeling blijft. Het is namelijk mogelijk om eigen applicaties te draaien op de router CPU:

Remote router met KVM

Dit gaat niet ten koste van de routers IOS en er is ook geen risico dat de applicatie de IOS stoort.

Hoe werkt het? Eerst even de architectuur van IOS XE, bijvoorbeeld op een ISR4451:

Remote router met WAAS

De basis van IOS XE is een Linux kernel met daarop een KVM hypervisor. IOS is een virtuele machine op deze hypervisor, die één van de cores in de CPU gebruikt. De andere drie cores in de control-plane-CPU worden niet door IOS gebruikt. Tot en met 3.16 was de hypervisor onzichtbaar voor de gebruiker van de CLI, alleen WAAS kan als extra vm worden opgestart.

Vanaf IOS XE 3.17 is dit anders. U mag uw eigen applicaties op de vrije cores zetten:

Remote router meer KVM

De hypervisor zorgt ervoor dat IOS ongestoord zijn eigen core heeft, met zijn eigen memory en geeft alleen IOS toegang tot de forwarding plane van de router.

Met enkele nieuwe commando’s (zoals: router# virtual-service install name my_kvm package bootflash:xxx.ova ) wordt een .ova file als virtuele machine geladen op de hypervisor…

Waarmee u dus dit

Remote router met KVM

bereikt: uw eigen applicatie draait op de router.

Op welke routers? ISR 4400’s, ASR1000’s en de CSR.

(als er vanavond niets leuks op de tv is: bedenk twee redenen waarom het zinnig is om op de CSR, die zelf een virtuele machine is, een virtuele machine te kunnen starten.)

 

Bouw een wireless netwerk in minder dan tien minuten!

Diverse onderzoeken tonen het al aan: de dagen van een bedraad netwerk zijn geteld wanneer het gaat om het leggen van een verbinding met endpoint devices. In huis worden netwerken allang niet meer bedraad aangesloten en daar heeft de alles-in-één Wi-Fi router dan ook gewonnen. Sterker nog, de meeste end-user devices hebben niet eens meer een UTP-poort. Denk hierbij aan tablets, smartphones en laptops. Bedrijven geven niet zo gemakkelijk de veiligheid, betrouwbaarheid en snelheid van een bedraad netwerk op. Het bouwen van een ‘business class’ wireless netwerk vergt nu eenmaal de nodige planning en expertise.

Controller

De laatste jaren heeft de ontwikkeling op draadloos gebied niet stilgestaan. Deze ontwikkeling heeft geleid tot nieuwe wireless standaarden, verbeterde wireless security en grotere snelheden. Ook de installatie van draadloze netwerken is stukken eenvoudiger geworden. Waar we in het begin ieder access point nog apart moesten voorzien van een configuratie, gaat het tegenwoordig een stuk eenvoudiger. Dit komt door het gebruik van een controller die meerdere access points centraal en tegelijk configureert en monitort. Veel grote ondernemingen gebruiken dan ook een wireless oplossing met een controller om hun (vaak honderden) access points goed te kunnen configureren en beheren.

Voor kleine mkb-bedrijven ligt dat anders. Zij vinden een controller vaak een grote investering, zeker wanneer ze tussen de vijf en tien access points op een locatie hebben hangen. Toch kunnen we wel stellen dat we eigenlijk altijd een controllerfunctie in een modern draadloos netwerk nodig hebben. Ik weet dat onze concurrenten spreken van controller-less oplossingen, maar laten we realistisch zijn: ook in die oplossingen is een controller opgenomen. Weliswaar geen fysieke controller, maar wel een controllerfunctie. De controllerfunctie wordt dan afgehandeld door een access point in het netwerk.

Mobility Express Solution: draadloos netwerk voor het mkb

Om aan de vraag van het mkb te voldoen, heeft Cisco met de komst van de Cisco Aironet 1830 en 1850 Series Access Points de Mobility Express Solution op de markt gebracht. Mobility Express is Cisco’s geïntegreerde controller-less software op de Cisco Aironet 1830 en 1850 Series access points. Mobility Express helpt klanten in het mkb, zoals kleine scholen en retailers met niet erg technisch personeel, om toch in tien minuten een wireless netwerk op te zetten door gebruik te maken van de web management interface.

Er zijn inmiddels al concurrenten op de markt met vergelijkbare functionaliteiten, zoals de Ruckus Wireless Unleashed. Uniek aan Mobility Express is dat veel configuratie-instellingen al voorgeconfigureerd zijn op basis van de geïntegreerde ‘best practices’.

Cisco-Best-practices

Cisco Mobility Express Best Practices

Master access point

Bij Mobility Express gedraagt het eerste access point in het Mobility Express-netwerk zich als een managementhub, ook wel het ‘master access point’ genoemd. Dit access point zal alle configuratie-instellingen naar de andere access points pushen. Hierbij gaat het niet per se om de Aironet 1830 en 1850 Serie Access Points, maar ook om de oudere Aironet 1700, 2700 en 3700 Series Access Points.

Cisco-Network-Summary

Cisco Mobility Express Network Dashboard

802.11ac Wave 2

Het verschil tussen de nieuwe access points zit hem in het ondersteunen van de nieuwste wireless standaard, de 802.11ac Wave 2. De Aironet 1830 heeft twee radio’s die de 80Mhz channels ondersteunen (5GHz band) met 3×3 MIMO (Multiple In Multiple Out). De Aironet 1850 ondersteunt 4×4 MIMO met vier spatial-streams om zo tot een 1,73Gbps throughput te komen. Echte gigabit wireless snelheden dus.

MU-MIMO

Een ander voordeel van deze 802.11ac Wave 2 access points is dat ze Multi-User MIMO ondersteunen. In een Single-User MIMO-netwerk kan slechts één wireless client tegelijk actief zijn in het netwerk. Alle andere clients moeten wachten tot ze aan de beurt zijn. In een Multi-User MIMO-netwerk kunnen twee tot drie clients tegelijk actief zijn. Dit is wel afhankelijk van het aantal spatial-streams dat een client gebruikt. Multi-User MIMO zorgt er dan ook voor dat clients tegelijk en sneller afgehandeld worden. Hierdoor kunnen de andere clients sneller hun data kwijt en gaat de snelheid van het wireless netwerk omhoog.

Installatie in vijf stappen

Voor het installeren van een Mobility Express netwerk zijn er vijf eenvoudige stappen die je moet nemen:

  1. Start de access point op (via een power-adapter of via een UTP-kabel naar een PoE- switch);
  2. Maak verbinding met het default SSID genaamd ‘CiscoAirProvision’;
  3. Connect naar de managementportal op het default IP-adres (meestal het default gateway-adres wat je van je tijdelijke wireless netwerk hebt gekregen);
  4. Start de setup-wizard (en beantwoord enkele simpele vragen, zoals naam en adres);
  5. Sla de configuratie op en reboot het access point.

Access points toevoegen

Het wordt pas echt gemakkelijk als er meerdere access points op dit netwerk toegevoegd worden. Nieuwe access points worden automatisch gedetecteerd door de master access point en deze verstuurt de configuratie naar de nieuwe access points. Alle access points sturen informatie naar het master access point terug. Hierdoor worden eventuele afwijkingen in de configuratie automatisch aangepast. Ook worden gegevens over bijvoorbeeld het bandbreedteverbruik en het aantal clients in het wireless netwerk naar de master gestuurd. Vanuit het managementdashboard kunnen we dan eenvoudig mooie rapporten maken.

Cisco-Wireless-Overview

Cisco Mobility Express Wireless Clients Report

Mocht onverhoopt de master access point uitvallen, dan zal een ander access point in het netwerk de rol van master overnemen.

Kortom, het installeren van een wireless netwerk kan tegenwoordig erg eenvoudig zijn!

Voor meer informatie omtrent Cisco Mobility Express klik hier of bekijk de digitale datasheet.

RISE: integratie van de Nexus 7000 met de Citrix loadbalancer

In mijn post van 1 december (ITD = een high-performance load-balancer die je al hebt…) heb ik gehad over de Nexus als laag 3/laag 4 loadbalancer. Soms zal echter een laag 7 loadbalancer nodig zijn en dan kan – bijvoorbeeld – een Citrix NetScaler worden ingezet om met hulp van informatie op applicatie niveau te loadbalancen:

NS Physical

Zo’n set-up vereist redelijk wat configuratie en afstemming op de NetScaler en op de centrale switch: de juiste VLANs moeten op de tussenliggende link worden gezet, verkeer moet naar de loadbalancer worden geleid en met policy-based routing moet terugkomend verkeer van de servers eerst langs de loadbalancer gaan voor het verder gaat naar de clients.

 

RISE (Remote Integrated Service Engine):

RISE is een Nexus feature die samenwerking tussen de NetScaler en de Nexus geeft. Met een paar regels configuratie op de centrale switch, neemt de Nexus contact op met de NetScaler. Er wordt onderling informatie uitgewisseld, de Nexus maakt auromatisch de policy-based routing rules om verkeer op het juiste moment te redirecten en – gemiddeld – gaat de benodigde configuratie op de centrale Nexus van zo’n 30 regels terug naar 8 regels.

Voor de configuratie gezien ziet het er met RISE uit als:

NS met RISE

De Nexus kan de Virtuele IP (VIP) adressen van de NetScaler leren en als host routes gaan adverteren. Als de NetScalter zou uitvallen, stopt de advertentie van de VIPs en zullen clients naar een backup NetScaler gaan.

Samengevat:

ITD geeft je de Nexus als zeer snelle, al aanwezige, laag 3/laag 4 loadbalancer.

RISE biedt een eenvoudige manier om een NetScaler laag 7 loadbalancer te integreren in een Nexus core.

 

 

 

ITD = een high-performance load-balancer die je al hebt…

Load-balancers zijn er in soorten en maten: L3/L4 of L7 en met verschillende performances. Vaak zijn het extra appliances in een netwerk, waar het verkeer naar toe geleid moet worden en die aardig bedragje extra kosten.

Wat niet iedereen beseft: als je een Nexus 5600, 7000 of 9000 in je netwerk hebt, heb je een eenvoudige, maar heel high-performance L3/L4 load-balancer op een natuurlijke plaats in de core, waar geen extra appliances en geen extra uitgaven voor nodig zijn:

ITD NxOS

Een Nexus kan geconfigureerd worden met een Virtual Server-adres en een bijhorende pool van echte servers. De forwarding-ASICs van de Nexus zorgen voor het load-balancen. Verkeer van een client komt binnen, gericht aan het Virtual Server-adres. De ASICs kiezen op basis van L3/L4 informatie een Real Server en redirecten het verkeer naar deze echte server. Dit gebeurt geheel in de hardware, gaat niet ten koste van de performance en raakt de CPU nooit: met een Nexus7718 gevuld 12-poorts 100GE kaarten, kun je 19.2 Tbps verkeer load-balancen, zonder extra appliances, zonder performance verlies, zonder extra kosten…

Kanttekening: Nexus 7000 is de beste keuze voor ITD (Intelligent Traffic Director). Hij ondersteunt ITD met zowel IPv4 als IPv6 verkeer en NAT, terwijl de 5600 en 9000 alleen ITD met IPv4 ondersteunen en geen NAT.

Dus: zoek je een L3/L4 load-balancer en heb je een Nexus 7000? ITD doet alles voor je, met een performance die geen enkele appliance-gebaseerde loadbalancer zal halen.

 

Cisco en Lancope. Van latrelatie naar huwelijk?

Het zal je misschien niet ontgaan zijn dat Cisco vorige week opnieuw heeft aangekondigd van plan te zijn een acquisitie te doen. Lancope zal in Januari worden bijgeschreven op de lange lijst van bedrijven die zich Cisco voegden en zal dan dan evenals Sourcefire, Cognitive Security, ThreatGRID, Portcullis, Neohapsis en OpenDNS worden ondergebracht in Cisco’s Security Business Group.

Je zou kunnen zeggen dat deze acquisitie opnieuw bevestigt dat Cisco serieus is over cybersecurity. En dat is absoluut waar, maar wat is het dat Lancope nu nog gaat toevoegen aan Cisco’s portfolio of innovatieplannen?

Cisco en LancopeLancope-threat-feed-large werken immers al een lange tijd ontzettend nauw samen. Dit blijkt onder andere uit het feit dat je de producten van Lancope kunt terugvinden op Cisco’s prijslijst en dat deze producten zelfs gebundeld worden aangeboden met netwerk switches om een slimme gecombineerde security oplossing naar de markt te brengen. Gebruik het netwerk als een security sensor en gebruik het netwerk vervolgens als een policy enforcer. Dat is wat de samenwerking tussen Lancope en Cisco al geruime tijd mogelijk maakt; een security oplossing die concreet wordt in een technische architectuur voor ‘Cyber Threat Defence’.

Maar ondanks het feit dat het partnership goed werkt, heeft Cisco nu besloten om Lancope over te nemen. Redenen waarom overnames plaats vinden zijn vaak het winnen van marktaandeel of het betreden van een markt waar de acquirerende partij voorheen niet actief was. Maar dat is hier allemaal niet aan de orde.

Cisco’s strategie voor acquisitie is al vaak toegelicht door voormalig CEO John Chambers en een van de prominente uitgangspunten is steeds dat een overname kandidaat zich onderscheidt met unieke technologie die niet gemakkelijk kan worden gekopieerd. Naar mijn idee is dat ook nu weer het geval. Cisco is volgens mij niet geïnteresseerd in de opbrengsten uit de verkoop van Lancope Stealthwatch appliances die t.z.t. worden voorzien van een Cisco logo. Het is alles wat Lancope een echt slim bedrijf maakt, ofwel de ‘secret sauce’ onder de motorkap van Stealtwach, waar Cisco mee aan de slag wil. We hebben het dan met name over de analyses die Lancope maakt van netwerkgedragspatronen en afwijkingen hierop, alsmede de kennis die ze jaren lang hebben opgebouwd over de wijze waarop dit resulteert in detectie van infecties.

Cisco switches (fysiek en virtueel), routers, firewalls en tegenwoordig zelfs UCS servers ondersteunen Netflow. De meeste lezers van deze blog zullen het wel kennen. Het is een concept dat Cisco rond 1990 al introduceerde in IOS 11.x. en diende destijds als mechanisme om netwerk performance metingen te kunnen doen. Netflow is inmiddels al jaren lang een open standaard en doorontwikkeld in meerdere opvolgende versies en variaties. Je zou Netflow kunnen zien als een telefoonrekening van je netwerk. Het geeft een overzicht van de wie met wie wanneer heeft gesproken en hoe lang een gesprek heeft geduurd.  Wat je niet op de de rekening ziet is de inhoud van het gesprek zelf. Dat zou te veel informatie zijn om de rekening overzichtelijk te maken. Een Netflow implementatie in een netwerkcomponent (routers, switches etc.) zorgt er voor dat er een log entry wordt vast gelegd van elke conversatie (flow) dat door betreffend component getransporteerd wordt. En elke log entry bevat vervolgens gedetailleerde informatie zoals bron, bestemming, protocol, tijdsduur, router/switch interface etc.

Netflow
Als je nu bedenkt dat het Netwerk er altijd en overal is en dat het Netwerk het hele IT landschap verbindt … hoeveel ‘visibility’ heb je dan als je in staat bent om al die Netflow data te analyseren en te verwerken tot security-relevante informatie?

Het idee is simpel, maar de uitwerking ervan – Network Behaviour and Anomaly Detection ofwel NBAD – is uitermate complex. In het kort komt het er op neer dat NBAD helpt bij het detecteren van malware infecties die onder de radar van traditionele sensoren door glippen en vaak ook actief zijn in netwerksegmenten die ‘achter de firewall’ als veilig verondersteld worden.  Denk dan bijvoorbeeld aan Botnet Command & Control, Data Exfiltratie of verspreiding van infecties aan de binnenkant het netwerk. Zie ook de blog ’School of NBAD series’ voor een introductie van de principes achter zo’n 130 geraffineerde algoritmes.

Nu blijft nog steeds de vraag: wat is Cisco van plan met de acquisitie van al dit vernuft?

Helaas heb ik het antwoord op deze vraag ook nog niet. Maar bedenk dat een Cisco netwerk voorziet in unsampled (!) Netflow, altijd en overal. Combineer dat met de technologie van Lancope en maak van dat hele netwerk een security sensor met een reikwijdte tot in de verre uitlopers van je organisatie. Wat zou je dan kunnen doen? Wat zou je bijvoorbeeld kunnen bereiken als je deze nieuwe kennis en inzichten samen brengt met een systeem dat automatisch zichtbaar maakt welke assets je in jouw netwerk moet beschermen (SNORT en OpenAppID)?  Wat zou het opleveren als je ook een realtime beeld hebt van jouw kwetsbaarheden en daarmee ook de voor jou relevante globale dreigingen (Talos)? Zou het dan mogelijk zijn om een keten van defensieve maatregelen geautomatiseerd in stelling te brengen tegen op handen zijnde aanvallen?

Het zijn zo maar wat voorbeelden van ingrediënten uit de keuken van Marty Roesch, Cisco’s Chief Security Architect die er  binnenkort weer een mooi stukje technologie bij krijgt. Er staat wat borrelen in zijn security keuken, want Marty geeft aan dat hij werkt aan een betere geïntegreerde security aanpak. Ultieme Visibility, Threat Intelligence, Context, Control en Automation moeten leiden tot wat hij een ‘systemic response’ noemt. Het zou mij niet verbazen als Network Behaviour and Anomaly Detection hier een belangrijke rol gaat spelen.

Cisco Live 2016 in Berlijn. Wij zijn er klaar voor. U ook?

35CIS250S0_email_sig_v5Van 15 t/m 19 februari vind Cisco Live! 2016 in Berlijn plaats. Cisco Live is HET evenement voor onze klanten en partners waarbij u in vijf dagen tijd op de hoogte worden gebracht van de laatste markttrends en  technologische- en product ontwikkelingen.

Op het event kan gekozen worden uit meer dan 300 breakout sessies, inspirerende key notes, op de beursvloer meer dan 90 technologie partners, u kunt spreken en gesprekken voeren met top-engineers/ontwikkelaars en leidinggevende van de verschillende Business Units. Kortom een event dat u als klant of partner zeker niet moet missen!

Cisco Live is gericht op de Technical Decision Makers, Engineers, Consultants en Architecten. Voor  IT management is speciaal IT Managers Track. Tot 14 december kunt u tegen gereduceerd tarief registreren.

Aankondiging: De Cisco Mobility Express Solution en Cisco Aironet 1830 Series Access Points

Wij zijn verheugd de Cisco Aironet 1830 Series Access Point en de Cisco Mobility Express Solution aan te kondigen. Beide producten zijn vanaf nu te bestellen.

De Cisco Mobility Express Solution is ontworpen om klanten en werknemers van kleine en middelgrote netwerken te voorzien van een kosten efficiente “enterprise-class” draadloze toegang.

De Cisco Mobility Express Solution is een “on-premise” gemanagde WiFi oplossing die:

  • Een makkelijke en snelle “over-the-air” uitrol mogelijk maakt in enkele minuten, gebaseerd op de Cisco Wireless Best Practices.
  • Compatibel is met de Cisco Wireless mobile app. Deze app zorgt voor real-time monitoring van de draadloze netwerk performance en heeft troubleshoot mogelijkheden voor clients en RF problemen in het netwerk.
  • Ideaal is voor kleine en middelgrote netwerken met een max van 500 gebruikers of 25 access points.
  • Het gebruik van een fysieke controller overbodig maakt, maar toch de Cisco advanced features ondersteund.
  • support levert aan de nieuwe Cisco Aironet 1850 en 1830 Series Access Points, met 802.11ac Wave 2 ondersteuning.

De Cisco Aironet 1830 Series Access Point is het nieuwste access point in het Cisco wireless portfolio. De 1830 access point ondersteund de nieuwste wireless technologie, te weten: 802.11ac Wave 2.

AP1830

De Cisco Aironet 1830 Series Access Point is ideaal voor kleine en middelgrote draadloze netwerken en levert de performance die je zou verwachten bij een access point geschikt voor Enterprise en Service Provider netwerk.

Key features van de Cisco Aironet 1830 Series Access Point zijn:

  • 11ac Wave 2 met 3×3 Multi-Input Multi-Output (MIMO) met 2 spatial streams en multiuser MIMO (MU-MIMO) Support.
  • MU-MIMO zorgt voor transmissie van data naar meerdere clients die 802.11ac Wave 2 ondersteunen. Met MU-MIMO wordt het mogelijk om naar meerdere clients tegelijk data te versturen, dit was met 802.11n of 802.11ac Wave 1 niet mogelijk, hierbij ondersteunde we singleuser MIMO (SU-MIMO).
  • Transmit beam-forming is een technology welke het mogelijk maakt om de downlink performance naar mobile devices te verbeteren. Dit is inclusief 1 en 2 spatial stream devices op 802.11ac. Verder zorgt Transmit beam-forming ook voor een betere batterij levensduur van mobile devices.
  • Support voor oudere wireless clients tegelijk met de laatste nieuwe clients die 802.11ac Wave1 en Wave2 ondersteunen.

Voor meer informatie kunt u terecht op:

www.cisco.com/go/mobilityexpress

www.cisco.com/go/ap1830

Volg

Ontvang elk nieuw bericht direct in je inbox.

Doe mee met 36 andere volgers