LLDP-MED

it.ba.de
  • Keine Tags gefunden...

LLDP-MED

More From Your NetworkSichere, intelligente, mobile undkostengünstige Multi-Service-NetzwerkeLars HartmannSales Manager Germany© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice.


Netzwerk-Lösungenseit 34 JahrenEigenständige Business-Unit mit einem dedizierten, weltweitenTeam für F&E, Manufacturing, Finance, Marketing, Vertrieb,Training und SupportMehr als 120.000 Kunden weltweitWir haben bisher ausgeliefert …• … 1.500.000 Switches• … mehr als 3.000.000 Switch-Chips herstellt von ProCurve• … fast 60.000.000 managed Switch-PortsSeit 3 Jahren über 25% jährliches WachstumStarke Investitionen in die eigene Entwicklung• auch hier mehr als 25% Wachstum von Jahr zu Jahr• mehr als 170 Patente in den letzten 3 Jahren2


Dafür steht ProCurve NetworkingVollständiges Lösungsportfolio – LAN, WLAN, WAN, SecurityWir sind DIE Alternative zu Enterprise-LAN-Lösungen vonNetzwerkherstellern wie Nortel, Cisco oder 3COMInnovative Technologien für geschäftsortientierte LösungenDas beste TCO-Ergebnis im MarktHoch SkalierbarHohe Leistungsfähigkeit bei extrem günstigen Preisen4


Das beste GarantiekonzeptLebenslange Garantie, solange Sie das Produkt besitzen(ausser 9xxx, 81xx und 7xx Serie)Für alle Bauteile inkl. GBIC´s, Netzteile, Lüfter, …Reaktionszeit:Next-Business-Day vor Ort mit Advanced-ReplacementKostenloser Web-Support - lebenslangKostenloser Telefon-Support - lebenslangKostenlose Software-Updates und -Upgrades(Bugfixes und neue Funktionalitäten) - lebenslangOptional Carepacks und Serviceverträge5


Das bestePreis-/LeistungsverhältnisHP Nortel CiscoProdukt ProCurve 2650 BayStack 470-48T WS-C2950G-48-EIListprice 823,00 € 3.611,30 € 438,80% 3.462,76 € 420,75%Produkt ProCurve 2626PWR BayStack 460-24T Catalyst 3560-24PS-EListprice 1.632,00 € 2.807,90 € 172,05% 4.787,39 € 293,34%Produkt ProCurve 2650PWR Catalyst 3560-48PS-EListprice 3.074,00 € 7.020,59 €Streetprice 2.151,80 € 4.071,94 € 189,23%Produkt ProCurve 3500yl-48G-PWR Catalyst 4948-10GE-EListprice 6.777,00 € 17.269,21 € 254,82%Produkt ProCurve 5406 Catalyst 4506redundante Stromversorgung96 x 10/100/1000 PoE2 x 10 Gig SRredundante Stromversorgung96 x 10/100/1000 PoE2 x 10 Gig SRListprice 19.962,00 € 35.805,93 € 179,37%6


Die (R)Evolution im NetzwerkSättigung im LebenszyklusEs 10geht Base-T, um Features 10/100,Was Noch Sicher kommt schneller ! Aber danach? …?und Gigabit, Kundennutzen 10 Gigabit!TerminalKonnektivitätMini-computerKonnektivitätWorkgroupKonnektivitätInternetKonnektivitätMulti-ServiceKonnektivitätLayer-3 GbE, VLANs10 GbE, WLAN, TCP/IP10bT Hubs, 100bT SwitchesIPX, AppleTalk, TCP/IP, NetBeuiToken-ring, FDDI, “The Fat Yellow Cable”SNA, ISO, DecNet, TCP/IPEthernet & IPEverywhereWir sindhierSNA, SDLC, X.251960 1970 1980 1990 2000 20107


Heutige BeschaffungskriterienSecurity breaches/business disruptionsOperating costs/budgetsData protection and privacy2004 2003 20021232110-14* Need for revenue growth4--* Use of information in products/services5--* Economic recovery6--Business trends - faster innovation735Single view of the customer853Greater transparency in reporting97-Enterprise risk management104-Quelle: Gartner(Kriterien dürfen aus rechtlichen Gründen nicht übersetzt werden)* Neue Fragen in 20048


Klassische CORE-zentrierteNetzwerkeVoIP ready ???WirelessAccess Points ???SwitchesServers€IQKostenClientsCOREIntelligenzWirelessClients ???EDGEInternetCore Distribution EDGE9


Neue NetzwerkarchitekturerforderlichSicherheitKlassischeNetzwerkinfrastrukturKonvergenzMobilitätIntelligentes, sicheres,mobilesMulti-ServiceNetzwerk10


Das GesamtszenarioCorporateServerInternetIntranet7 x 24MitarbeiterBüroPortsecuritymit IEEE 802.1x12


Das GesamtszenarioInternetIntranet7 x 24CorporateServerAnti-VirusremediationServerMitarbeiterBüro„Host/ClientIntegritätprüfung“Non-compliantMitarbeiter13


Das GesamtszenarioGastZugangspunktGast in Lobby(1 MB/s)Mo-Fr: 9-17 UhrGastEDGEInternetIntranet7 x 24CorporateServerAnti-VirusremediationServerMitarbeiterBüroNon-compliantMitarbeiter14


Das GesamtszenarioGastZugangspunktGast in Lobby(1 MB/s)Mo-Fr: 9-17 UhrGastEDGEInternetIntranet7 x 24CorporateServerAnti-VirusremediationServerHACKERMitarbeiterBüroNon-compliantMitarbeiter15


Das GesamtszenarioGastZugangspunktGast in Lobby(1 MB/s)Mo-Fr: 9-17 UhrGastEDGEInternetIntranet7 x 24CorporateServerAnti-VirusremediationServerHACKERMitarbeiterBüroGastZugangspunktMeetingraumMitarbeiterZugangspunktACLFührunggskraftVerkäuferKunde1 2 3Non-compliantMitarbeiterVLANABCBandbreiteQoS10710412Kunde(von 9-17 Uhr)FührungskraftVerkäufer16


Das GesamtszenarioGastZugangspunktHACKERGast in Lobby(1 MB/s)Mo-Fr: 9-17 UhrGastEDGEInternetVirusThrottlingIntranet7 x 24CorporateServerAnti-VirusremediationServerGastZugangspunktVirusMeetingraumMitarbeiterZugangspunktMitarbeiterBüroACLFührunggskraftVerkäuferKunde1 2 3Non-compliantMitarbeiterVLANABCBandbreiteQoS10710412Kunde(von 9-17 Uhr)FührungskraftVerkäufer17


Das GesamtszenarioKontrolle bis zum EDGEZentrales ManagementWer?Wieviel?HACKERGastZugangspunktGast in Lobby(1 MB/s)WieLange?Mo-Fr: 9-17 UhrGastEDGEInternetAdminIntranet7 x 24AccessPolicyServerCorporateServerAnti-VirusremediationServerWasnicht?GastZugangspunktVirusWann?MeetingraumMitarbeiterZugangspunktMitarbeiterBüroACLWas?FührunggskraftVerkäuferKunde1 2 3Wo?Non-compliantMitarbeiterVLANABCBandbreiteQoS10710412Kunde(von 9-17 Uhr)FührungskraftVerkäufer18


Benötigte TechnologienKontrolle bis zum EDGEACLQoSWLAN AnbindungGast• AccessZugangspunktControler• Verschlüsselung• Roaming• PolicybasierendVLANBandbreiteHACKERGast in Lobby(1 MB/s)• „Access Ports“Führunggskraft1A10724VerkäuferKundeB103C12Mo-Fr: 9-17 UhrGastKunde(von 9-17 Uhr)SicheresWANFührungskraftSecure Admin WAN• Sichere, Multi-ServiceEDGE-to-EDGE Konnektivität•Secure RoutersServerEDGEIntelligent EDGE InternetIntranet• Sicherheit: (Infrastruktur, 7 x 24Zugang, „Privacy“, Immunität)• WLAN Integration• Multi-Service „enabled“VirusVerkäuferAccessPolicyServerCorporateMitarbeiterBüroAnti-VirusremediationServerZugangssicherheitMeetingraum• Web/MAC auth.Identitätsbasierendes Gast Networking MitarbeiterZugangspunkt• 802.1x (Supplicants)Zugangspunkt• Authentication Server• Access Datenbank• Identity Driven ManagerZentrales ManagementClient Integrität• 802.1x (Supplicants)• Identity Driven Manager• TNC, 3rd Party (z.B. Sygate)Non-compliantMitarbeiter19


LLDP-MED vs. CDPv2April 2006© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice.


Was ist IEEE 802.1ab - LLDP?LLDP = Link Layer Discovery Protocoldie Standardbasierende, Herstellerübergreifende Lösung für einDiscovery ProtokollNetwork Management• Simplify and enhance the ability of network management tools in multivendorenvironments• Enables discovery of accurate physical network topologies• Ensure proper aging so only valid network device data is presentedNetwork Inventory Data• Most implementations are expected to support optional system name,system description, system capabilities and management address• System description can contain the device's full name, version ofhardware type and operating system• Can provide device capability such as switches, routers and WLANaccess pointsNetwork Troubleshooting• Accurate topologies simplifies troubleshooting of enterprise networks• Discover devices with misconfigured or unreachable IP addresses• Detect speed and duplex mismatch (IEEE 802.3 extension)21


IP Telephony NeedsOver and above basic data, VoIP has well defined needs:• Plug-and-play provisioning• Simplified management and accurate network topology• Precise device move tracking for Emergency Call Service• Rapid identification and troubleshooting of call quality issues• VoIP specific inventory management• Vendor-independence, allowing different IP telephony systemsto interoperate on one networkNeed an open standard discovery protocol!22


What Does LLDP-MED Provide?LLDP provides the base capabilities, but is not sufficient for IPTelephonyLLDP-MED (Media Endpoint Discovery) initiative formed ...Interoperability• Provide vendor-independent management capabilities• enabling different IP telephony systems to interoperate on one networkAutomatic deployment of convergence network policies• Endpoints will auto-configure discovered policy(e.g. Layer 2 and Layer 3 QoS policies, Voice VLAN etc.)Detailed Inventory Management Capabilities• Location information and accurate topology is made available• Phone hardware, firmware + software, manufacturer and model / assetinformation can be collectedEmergency Call Service (ECS)• Enablement of E-911 for IP telephony through location informationIP telephony network troubleshooting• Detect speed and duplex mismatch and detect improper network policyconfiguration23


LLDP-MED Business BenefitsLower Operational Cost• Simplified management and maintenance• Plug-and-play provisioning speeds up deployments• Reduce operator and configuration errors• Automated diagnostic and consistency checking• Consolidated management toolsOpen standard enables an open market and customer choice• Best-in-breed multi-vendor solutions• Open roadmap – no vendor proprietary “lock-in”• More capital expense choices24


Gegenüberstellung:CDP v2 und LLDP-MEDLLDPCDP v2Standard vs.proprietärVerfügbarkeitoffener StandardKeine Einschränkungen durchproprietären AnwendungenLLDP ist bereits sehr verbreitet:z.B. bei ProCurve, Avaya, Nortel,Mitel, Siemens, Extreme undanderenProprietäre,Herstellerspezifische LösungNur bei Cisco802.1xKonfigurationLLDP läuft nach Authentifizierung nicht authentifizierte Gerätewerden entdecktLLDP-MED bietet Auto-Deployment von Layer 2 undLayer 3 QoS PoliciesCDP läuft vor Authentifizierung Sicherheitsproblem(CDP spoofing etc.)CDP konfiguriert nur das Voice VLAN(IP Priorität und COS sind immergleich 5, die Standardeinstellung)25


LLDP-MED(Link Layer Discovery Protokoll – Media Endpoint Discovery)26


Am Ende passt alles zusammen!Adaptive EDGE Architecture SicherheitMobilitätKonvergenzKontrollebis zumEDGEZentralesManagement27


Was ist IEEE 802.1AB - LLDP?LLDP = Link Layer Discovery ProtocolDie Standardbasierende HerstellerübergreifendeLösung für ein Discovery Protokoll• One-way neighbor discovery protocol with periodictransmissions• LLDP frames are not forwarded but constrained to a single link• LLDP frames contain formatted TLVs (type, length, value)– System and port identification– Time-to-Live information for ageing purposes– Optional system capabilities– Optional system name and description– Optional management address– Optional organizationally specific extensions• Receiver stores information in an SNMP MIB• Receiver ages MIB to insure only valid network device data isavailable29


LLDP BenefitsNetwork Management• Simplify and enhance the ability of network management tools inmulti-vendor environments• Enables discovery of accurate physical network topologies– What devices are neighbors and through what ports they connect– Even with multiple VLANs where all subnets may not be known• Ensure proper aging so only valid network device data is presentedNetwork Inventory Data• Most implementations are expected to support optional system name,system description, system capabilities and management address• System description can contain the device's full name, version ofhardware type and operating system• Can provide device capability such as switches, routers and WLANaccess pointsNetwork troubleshooting• Accurate topologies simplifies troubleshooting of enterprise networks• Discover devices with misconfigured or unreachable IP addresses• Detect speed and duplex mismatch (IEEE 802.3 extension)30


LLDP-MED Key PointsLLDP-MED Provides extensions specific to VoIP• TLV extensions specifically for VoIP management• Also provides some constraints on usage of base LLDP specExtension of base protocol to define “Fast Start” behavior• At startup, endpoints will initially advertise at a faster rate for a limited time• Network devices only transmit LLDP-MED content after an Endpoint isdetected, then also at a fast start rate• Endpoints will auto-configure discovered policy (e.g. VLAN ID, priority, etc)Different requirement levels for Endpoint classes, strict hierarchy• Class I: Basic capability– Device capabilities, others are optional• Class II: Media capable endpoint (e.g. IP PBX, Media Gateways, etc)– Class I + network policy for streams, others are optional• Class III: End user devices (e.g. IP Phones)– Class II + location identification (e.g. for E911), embedded L2 capability,inventory management31


Die CDPv2 SicherheitslückeCisco IP Telefone unterstützen kein 802.1X. Statt dessennutzen sie CDPv2, welches sehr einfach designed ist unddadurch nicht vor “Spoofing” schützt.• Eine Untersuchung durch FishNet Security von [Cisco]802.1x-gesicherten Ports, die auch voice-enabled sind, hatergeben, dass es durch Spoofing einer CDPv2 messageohne Probleme möglich war sich Zugang zum Voice VLANzu verschaffen.• Danach ist es für jeden Eindringling ein leichtesverschiedenste Angriffe auf die Netzwerk Infrastruktur oderjede erreichbare Anwendung durchzuführen (z.B.eavesdropping, spoofing servers, oder denial of serviceAttacken).32


Anhang 133

Weitere Magazine dieses Users
Ähnliche Magazine