2016

Cisco-Lösungen im Überblick Ihr leichter Einstieg in die Architekturen

Collaboration

DataCenter

Enterprise Networks

Security

Small Business

Meraki

Cisco Architekturen im Überblick

Eine Broschüre der Ingram Micro Distribution GmbH in Zusammenarbeit mit der Netfarmers GmbH

Zweite Auflage April 2016

Ingram Micro Distribution GmbH Heisenbergbogen 3 85609 Aschheim

Sie erreichen unsere Cisco Sales Consultants unter: 089-4208-2760 Sales Team: [email protected] Security Team: [email protected] Collaboration Team: [email protected] DataCenter Team: [email protected] Services Team: [email protected]

- 3 -

Inhalt

Cisco Architekturen: Enterprise Networks ...... 7 1 Einführung ...... 7 2 Enterprise Networks: Kurze Vorstellung der Architektur ...... 8 2.1 Lösungen und Produkte ...... 11 2.1.1 Enterprise/Service Provider und Midsize Business ...... 11 2.1.2 Small Business ...... 12 3 Fokusthemen: Enterprise Networks ...... 14 3.1 Cisco Router ...... 14 3.1.1 Small Business ...... 14 3.1.2 ISR G2 und ISR-AX ...... 15 3.1.3 Virtuelle Router und Embedded Router ...... 17 3.2 Switches ...... 18 3.2.1 Small Business ...... 19 3.2.2 Catalyst Switches ...... 19 3.3 Wireless LAN ...... 23 3.3.1 Small Business ...... 25 3.3.2 Wireless LAN Controller und Access Points ...... 25 3.3.3 Mobility Express Solution ...... 30 3.3.4 Multigigabit (mGig) Switches ...... 33 3.4 Prime Infrastructure 3.X ...... 34 3.5 APIC Enterprise ...... 38 3.6 Meraki ...... 40 4 Fallbeispiel ...... 42 4.1 Wireless: Mobility Express Bundle ...... 42 4.2 Routing ...... 43 4.3 Mobility Express Solution ...... 44 5 CCW Konfiguration ...... 45 5.1 Mobility Express Bundle ...... 45 5.2 Mobility Express Solution ...... 46 6 Fragen und Antworten ...... 47 7 Abkürzungsverzeichnis ...... 48 Inhalt Architektur: Security ...... 51 8 Security: Kurze Vorstellung der Architektur ...... 52 8.1 Cisco Security Report ...... 54 8.2 Informationen ...... 55 8.3 Ausrichtung der Lösungen am Attack Continuum ...... 55 8.4 Lösungen und Produkte ...... 57 8.4.1 TALOS ...... 58 8.4.2 Advanced Malware Protection ...... 59 8.4.3 Lizenzen ...... 61 9 Fokusthemen: Security ...... 62 9.1 Next Generation Firewall ...... 62 9.1.1 Management ...... 64 9.1.2 ASDM versus FMC ...... 66 9.1.3 Das Regelwerk ...... 67 9.2 Cisco AnyConnect Secure Mobility Client ...... 68 9.3 Cisco Meraki MX Appliances ...... 72 9.4 Content Security ...... 74 9.4.1 ESA – Email Security Appliance ...... 74

- 4 -

9.4.2 WSA – Web Security Appliance ...... 75 9.4.3 CWS – Security Software-as-a-Service ...... 76 9.5 Mobile Device Management ...... 78 9.6 OpenDNS: Sicherheit über den DNS Layer ...... 80 9.7 ISE ...... 83 10 Fallbeispiel ...... 86 11 CCW Konfiguration ...... 87 12 Fragen und Antworten ...... 91 13 Abkürzungen ...... 92 Inhalt: Architektur Collaboration ...... 95 14 Collaboration: Kurze Vorstellung der Architektur ...... 96 14.1 Die Lösungsbausteine von Collaboration ...... 98 15 Fokusthemen: Collaboration ...... 100 15.1 Cisco Business Edition ...... 100 15.1.1 Lizensierung der BE6000 ...... 103 15.1.2 Steckbriefe: Collaboration Apps ...... 105 15.2 Collaboration Edge Architektur ...... 109 15.2.1 Cisco Mobile und Remote Access ...... 111 15.2.2 SIP Trunking und Cisco Unified Border Element (CUBE) ...... 112 15.3 Cisco Cloud Collaboration Services ...... 112 15.3.1 Cisco Spark ...... 114 15.3.2 Cisco WebEx ...... 117 15.3.3 Collaboration Meeting Rooms (CMRs) ...... 118 15.3.4 Cisco TelePresence SX10n ...... 120 16 Fallbeispiel ...... 121 17 Konfiguration ...... 122 17.1 Nutzerprofile ...... 123 17.2 Sites und Gateways ...... 126 17.3 Cisco Applications ...... 127 17.4 Unified Communications ...... 128 17.5 Service und Support ...... 129 17.6 Zusammenfassung & BOM Export ...... 130 18 Fragen und Antworten ...... 131 19 Abkürzungen ...... 132 Inhalt: Architektur Datacenter Virtualisierung ...... 133 20 Data Center / Virtualisierung: Kurze Vorstellung der Architektur ...... 134 20.1 Data Center Architektur ...... 135 20.2 Cloud ...... 139 20.3 Lösungen und Produkte ...... 140 21 Fokusthemen: Data Center / Virtualisierung ...... 141 21.1 Cisco UCS ...... 142 21.1.1 Geht es auch kleiner? ...... 145 21.1.2 Speed-Up: Service Profile ...... 147 21.1.3 Compute Hardware: B-Serie und C-Serie ...... 148 21.1.4 Ein Server sucht Anschluss: Virtual Interface Cards ...... 150 21.1.5 UCS Express ...... 150 21.1.6 Management ...... 151 21.2 Cisco Nexus ...... 153 21.2.1 Nexus 2000 FEX ...... 154 21.2.2 vPC ...... 155 21.2.3 Nexus 1000V ...... 156

- 5 -

21.3 Cisco FlexPod ...... 157 21.3.1 Cisco Validated Designs ...... 159 21.3.2 Cooperativer Support ...... 160 21.4 Cisco HyperFlex ...... 160 21.5 Cisco ONE Software for DataCenter ...... 163 21.5.1 Use Case: Equipment Refresh ...... 165 21.6 Data Center Solutions for SAP HANA ...... 166 22 CCW Konfiguration ...... 170 23 Fragen und Antworten ...... 172 24 Abkürzungen ...... 173

- 6 -

Cisco Architekturen: Enterprise Networks 1 Einführung

Cisco Einsteiger und Partner, die Ihren Fokus auf den klassischen Mittelstand gesetzt haben, finden hier einen sehr guten Einstieg in die Themen- und Produktwelt von Cisco: www.komm-zu-cisco.de Die Architekturen von Cisco sind Technologiearchitekturen und damit eine Domäne einer Unternehmensarchitektur, wie sie z. B. über TOGAF definiert wird. Kurze Lektüre zum Thema Unternehmensarchitektur (EA: Enterprise Architecture) https://www.bitkom.org/files/documents/EAM_Enterprise_Architecture_Management_- _BITKOM_Leitfaden.pdf

Es liegt schon ein paar Jahre zurück, dass eine zunehmende Kluft zwischen der geschäftlichen Tätigkeit eines Unternehmens (Business) und der IT, welche diese Tätigkeit eigentlich unterstützen soll, zu beobachten war: IT Systeme wurden immer komplexer und teurer, wodurch der direkte Mehrwert der IT Investitionen zunehmend verschleiert wird, bzw. nicht mehr gegeben ist. Vereinfacht ausgedrückt bedeutet dies: Höhere Kosten bei geringerem Gegenwert. Vor diesem Hintergrund entstand die Unternehmensarchitektur (Enterprise Architecture) als eine neue Disziplin, die sich mit der geschäftlichen Tätigkeit eines Unternehmens und der Unterstützung dieser Tätigkeit durch die IT befasst. Eine Beschreibung von entsprechenden Frameworks, Prozessen und Umsetzungen liefern z. B. Zachman, TOGAF, oder die ISO 15704. Das primäre Ziel einer Unternehmensarchitektur ist eine klare Ausrichtung der IT auf Basis der Anforderungen eines Unternehmens, die sich nicht in den Möglichkeiten der IT selbst begründen, sondern in den Unternehmenszielen und den sich daraus ableitenden Anforderungen.

Prinzipiell unterteilt eine Unternehmensarchitektur ein Unternehmen in Teilbereiche (z. B. Geschäft, Betrieb, Systeme und Technologien). D. h. man bewegt sich auf einer konzeptionellen Ebene mit einem hohen Grad an Abstraktion. Es ist der Blick auf das ganze System und nicht auf Teildisziplinen gefordert. Alles was die IT macht basiert auf einer solchen Business Architektur. Man versteht die Anforderungen und übersetzt diese in technische Architekturen. Ein solcher Angang hat klare Vorteile:

(1) Die IT Lösungen leiten sich aus den Anforderungen des Unternehmens ab. (2) Die IT Investitionen können direkt Mehrwerten zugeordnet werden.

Vor diesem Kontext ist klar, dass sich die Ansprache beim Kunden ändern muss. D. h. nicht das Design, oder die technische Lösung stehen im ersten Schritt im Vordergrund, sondern die Anforderungen des Unternehmens. Ein Cisco Partner sollte deshalb die Sprache seines Kunden sprechen, dessen Anforderungen verstehen und für ihn in technische Architekturen übersetzen. Insofern muss man auf der Ebene der Abstraktion einsteigen. Mit zunehmender Schärfung der Lösung wird diese Abstraktion natürlich reduziert und der Grad der Detaillierung erhöht.

Cisco unterstützt die Überführung der Anforderungen der Unternehmen durch die Definition von vier technischen Architekturen.

- 7 -

(1) Enterprise Networks (2) Security (3) Collaboration (4) Data Center / Virtualisierung

Auf Basis dieser Architekturen erfolgt natürlich primär auch eine Orchestrierung von Lösungen und Produkten. Sie liefern aber auch eine Abstraktionsebene, welche die erforderliche Nähe zur Sprache und den Anforderungen des Kunden schafft. D. h. im Vordergrund steht z. B. der Wunsch nach einer schnellen und agilen IT und nicht der Wunsch nach konkreten Produkten und Technologien.

Cisco bietet seinen Partnern aber nicht nur die für eine Neuausrichtung der Ansprache erforderlichen Tools (technische Architekturen) an die Hand, sondern bildet seine Partner auch für diese Ansprache aus: Das betagte und berüchtigte Cisco Sales Essential (CSE) Training wird durch das Selling Business Outcomes (SBO) Training abgelöst. Nachfolgend die Ankündigung von Cisco zu diesem Generationswechsel (10. Februar 2015):

Your conversations are changing. Customers want you to generate business outcomes to meet their long-term needs. Not simply sell them technology or point Products for an immediate solution to a current problem. The new Selling Business Outcomes (SBO) course helps you develop your sales skills to help customers reach their business goals with Cisco. Passing the Selling Business Outcomes exam (#810-401) will soon be required to attain and renew Cisco specializations.

Cisco hat bereits erkannt, dass sich im Rahmen der Anforderungen an die IT nach einer modernen Enterprise Architektur auch die Netzwerkinfrastrukturen (d. h. die technischen Architekturen Enterprise Networks und Data Center) weiterentwickeln müssen. Die heutigen Strukturen sind zu komplex und geschlossen, als dass sie den Anforderungen an eine anwendungsbezogene und agile IT gerecht werden können. Deshalb ist das Thema Software Defined Networking (SDN) sicherlich schon nicht mehr als Vision, sondern als notwendige Strategie zu bezeichnen. 2 Enterprise Networks: Kurze Vorstellung der Architektur

http://www.cisco.com/go/itbusiness Immer einen Besuch wert: Das Cisco Partner Education Center (www.cisco.com/go/pec). Unified Access Hands-On: Das Cisco dCloud Lab Cisco Unified Access – BYOD Smart Solutions v1 Enterprise Networks Validated Designs: http://www.cisco.com/c/en/us/solutions/enterprise/design-zone-borderless- networks/index.html

Unternehmensnetze (Enterprise Networks), Data Center und Wide Area Networks (WAN) bilden heute die Plattformen, welche Menschen, Dinge und Cloud Dienste zur Kommunikation weltweit und 24x7 nutzen. Dabei steht schon lange nicht mehr nur die standortinterne und standortübergreifende Konnektivität (Erreichbarkeit) im Vordergrund.

- 8 -

Geht man davon aus, dass Unternehmen heute zunehmend im Rahmen einer Business Transformation (d. h. die vollständige Veränderung einer Arbeitsweise) Prozesse, Anwendungen, Kommunikationen, Schnittstellen etc. dem Dienstleister „Netzwerk“ anvertrauen, dann kann die reine Konnektivität auf der Basis des Internet Protokolls (IP) nicht mehr die primäre Service Vorgabe sein, an der sich dieser Dienstleister heute orientieren und auch messen muss. Vielmehr treten – fallweise natürlich in unterschiedlicher Ausprägung – z. B. die folgenden technischen Anforderungen in den Vordergrund:

(Hoch-)Verfügbarkeit Unterschiedliche Service Level durch Quality-of-Service (QoS) Zentrales Management Ein Netzwerk für alle Dinge und Anwendungen (IoE) Energiemanagement IPv6-ready Einbindung von Cloud Lösungen

Das nachfolgende Bild der ITU-T zeigt sehr gut, mit welchen Herausforderungen Netzwerke zukünftig zunehmend aufgrund von IoE/IoT konfrontiert werden.

Abbildung 1: ITU-T Y.2060: Internet-of-Things

Dabei darf nicht vernachlässigt werden, dass die sich aufgrund von notwendigen neuen Technologien und Lösungen einstellende Komplexität natürlich auch Innovationen verhindert. Diese der Technologie verschuldete Innovationsbremse führt bei den meisten Unternehmen zu einem negativen Einfluss auf z. B. ihre Differenzierung und ihre Wettbewerbsfähigkeit. Um dies zu verhindern, müssen moderne Unternehmensnetzwerke vier primäre Anforderungen erfüllen.

- 9 -

Ein modernes Ziel(e) Unternehmensnetzwerk muss Offene Schnittstellen bieten Interoperabilität, Integration, M2M Vereinfachung durch Automatisierung Standardisierung, Geschwindigkeit, Reproduktion ermöglichen Agilität ermöglichen Sichtbarkeit, Business Intelligence Beiträge zum Thema Sicherheit leisten Sichtbarkeit, Malware erkennen, Threat Intelligence Tabelle 1: Anforderungen an ein Enterprise Network.

Im Rahmen der Enterprise Networks Architektur – also einer weitsichtigen Antwort auf die Notwendigkeit einer IT-gestützten Business Transformation – bietet Cisco primär vier Lösungsbereiche, welche bei der Erfüllung der Anforderungen unterstützen, die an die heutigen Unternehmensnetze herangetragen werden.

(1) Unified Access (2) Intelligent WAN (3) ACI und Automatisierung (4) Sicherheit

Mit dem Unified Access (UA) bietet Cisco zunächst die Blaupause für eine moderne und zukunftsorientierte Netzwerkplattform. Diese Plattform stützt sich auf die folgenden 3 Säulen.

(1) One Network (2) One Policy (3) One Management

Abbildung 2: Die Grundlage des Unified Access

- 10 -

Das Thema drahtloser Netzwerkzugang ist den Kinderschuhen entwachsen und heute insbesondere durch den Standard IEEE 802.11ac durchaus auf Augenhöhe mit einem drahtgebundenem Zugang. Aufgrund der Bedeutung des Themas Mobilität gilt dies gleichermaßen auch für einen VPN Zugang. Insofern spielt die Art des Zugangs nur noch eine untergeordnete Rolle (One Network) und die Anforderungen an die Themen Sicherheit (One Policy) und Management (One Management) sind ganzheitlich zu verstehen. Dabei wird der Unified Access zur Plattform, welche zur Verbindung von Menschen, Dingen und Cloud Diensten genutzt wird und dabei den bereits genannten Anforderungen an das Thema Netzwerk auch perspektivisch gerecht wird. Letztgenanntes wird durch intelligente, im Netzwerk verankerte Dienste (Unified Services) des One Network sichergestellt. Vereinfacht bedeutet das, dass ein Netzwerk heute mehr als die reine Konnektivität herstellen muss.

2.1 Lösungen und Produkte

2.1.1 Enterprise/Service Provider und Midsize Business Die Lösungen und Produkte von Cisco orientieren sich sehr stark an den heutigen Anforderungen der Unternehmen, die sich primär aus deren Business Transformation ableiten. Die Orchestrierung der Produkte erfolgt dabei über die Unified Access Lösung, die von Lösungen zu den Themen Sicherheit, Intelligent WAN und IT Vereinfachung (Automatisierung) flankiert wird.

Abbildung 3: Enterprise Networks: Lösungen, Dienste, Technologien und Produkte

Dabei bildet der Unified Access wie bereits erwähnt eine intelligente Netz- werkplattform, die den heutigen und zukünftigen Ansprüchen (Perspektive: BYOD,

- 11 -

Cloud, IoT etc.) gerecht wird. Die 3 Säulen des UA werden auf der Produktebene wie folgt umgesetzt:

One Network Converged Access (Catalyst Switches 3650 und 3850) One Policy Cisco Identity Services Engine One Management Cisco Prime Infrastructure Tabelle 2: Die 3 Säulen des Unified Access (Produktebene)

Man darf bei dieser monolithischen Betrachtungsweise aber nicht vergessen, dass durch die Produkte eine Skalierbarkeit und Ausbaufähigkeit gegeben ist. D. h. mit z. B. den Cisco Access Switches kann ein Cisco Partner bei seinem Kunden zunächst den Grundstein für eine Unified Access Plattform legen. Danach kann er das Netzwerk in Abhängigkeit der Anforderungen des Unternehmens ausbauen und im Sinne einer UA Plattform weiterentwickeln.

2.1.2 Small Business

Device Online Emulatoren: https://supportforums.cisco.com/community/911/cisco-small-business-online- device-emulators Small Business Support Community: https://supportforums.cisco.com/community/5541/small-business-support- community Die Produktwelt: Router, Switches, Wireless, Communication & Collaboration http://www.cisco.com/cisco/web/solutions/small_business/index.html Small Business Pre-Sales Team: 0800 0005076 (Deutsch) bzw. auch via Chat und WebEx. Das Thema Support: Mit dem Small Business Support existiert ein für die SB Produktwelt dedizierter Support Service.

Das Small Business (SB) Portfolio ergänzt die Cisco Produktwelt am unteren Ende durch Produkte, bei denen die folgenden Anforderungen im Vordergrund stehen:

- Einfache Konfiguration (Fokus: GUI) - Einfache Skalierbarkeit - Solide Produkte - Abbilden der grundlegenden Anforderungen an das Thema Netzwerk: o Konnektivität o Sicherheit o Kommunikation - Professionelle Features - Professioneller, marktgerechter Support (z. B in Landessprache) - Preis

- 12 -

Abbildung 4: Das Small Business Portfolio

Das SB Portfolio beinhaltet dedizierte Produkte, bzw. Produkte am unteren Ende des typischen Portfolios für Enterprise/Service Provider und Mittelstand.

Produktwurzeln Technologie Dedizierte SB Produkte Routing (SRP-,RV-Modelle) Switching (SG-, SF-Modelle) Wireless (AP-, WAP-Modelle) IP-Telefone (SPA-Modelle) Klassische Produkte (Low-End) Routing Switching Wireless IP-Telefonie Collaboration, Security Tabelle 3: SB Produkte – die Wurzeln

Der Fokus der dedizierten SB Produkte ist primär auf die Funktionen (Features) und den Preis gerichtet. Damit treten weitblickende Lösungen und Unified Services in den Hintergrund. Natürlich kann z. B. eine Supermarktkette – motiviert durch den Faktor Preis – in ihren IT-reduzierten Filialen Cisco SB Switches einsetzen, denn diese Geräte bieten durchaus professionelle, standardisierte Features und sind zuverlässig. Damit wird aber eine Unified Access Lösung insofern untergraben, als dass die Mehrwertdienste dieser Plattform hier nicht End-to-End zur Verfügung gestellt werden können. Zudem werden viele der dedizierten SB Produkte primär über eine grafische Oberfläche konfiguriert und verwenden kein Betriebssystem, das vergleichbar mit dem Cisco IOS (Internetwork Operating System) ist.

- 13 -

3 Fokusthemen: Enterprise Networks

Router Switches Wireless Meraki Prime Infrastructure APIC Enterprise

Nachfolgend werden kurz die Produktfamilien vorgestellt, die primär durch die Enterprise Networks Architektur und deren Lösungen orchestriert werden. Dazu zählen Produkte, die quasi als Commodity zu bezeichnen sind (z. B. Switches) und Produkte, die eine neue Perspektive aufzeigen (z. B. APIC Enterprise). Erstgenannte sind oft nur schwer über ihre technischen Datenblätter zu differenzieren. D. h. hier müssen die Lösungen (UA, Automatisierung, Cloud etc.) die Grundlage der Argumentation und Motivation sein, zumal diese – und nicht die Produkte – die direkte Verknüpfung mit den Anforderungen der Unternehmen ermöglichen.

3.1 Cisco Router

Offizielle Schulungen zum Thema Cisco Router: o Interconnecting Cisco Networking Devices: Accelerated (CCNAX) o Implementing Cisco IP Routing (ROUTE) Simulation: Virtual Internet Routing Lab (VIRL)

http://virl.cisco.com Cisco Partner Security Community https://communities.cisco.com/community/partner/enterprisenetworks Hands-On: Die Cisco dCloud Lab Cisco IWAN- Application Optimization v2 und LiveAction 4.1 for Cisco IWAN Management v1 AX Router Ordering Guide http://www.cisco.com/c/en/us/products/collateral/routers/3900-series-integrated- services-routers-isr/guide_c07-726864.html

Die dedizierten SB-Router sind die sogenannten RV-Router, während für die Bereiche Enterprise/Service Provider und Mittelstand namentlich zunächst die Integrated Service Router der Generation 2 (ISR G2), sowie die ISR und ASR Application Experience Router (AX) zu nennen sind.

3.1.1 Small Business Bei den Routern der RV-Familie stehen primär die folgenden Funktionen im Vordergrund:

Redundante WAN Anbindungen Firewall VPN Wireless

Diese Router bieten keine Unified Services und können somit nicht als Komponente zum Aufbau einer Unified Access Plattform gesehen werden. Wer in einem kleineren

- 14 -

Umfeld entsprechende Features benötigt, muss deshalb zu den ISR G2 Routern der 800er, 1900er und 2900 greifen, die letztendlich das obere Ende der SB-Router markieren.

3.1.2 ISR G2 und ISR-AX Dedizierte Router waren und sind – mit Blick auf ihren Einsatzort – auch heute noch typische Perimeter Komponenten. Allerdings müssen auch am Grenzübergang zu Wide Area Network (WAN) Diensten (VPN, Internet, MPLS, Standleitungen etc.) neue Anforderungen berücksichtigt werden:

Die Service Level sollten unabhängig von der Anbindung (Technologie) und dem Provider umsetzbar sein. Sicherheit: Transport Security, Content Security, Perimeter Security. Optimierung der Performance von Anwendungen (WASS: Wide Area Application Services). Intelligentes Routing unter Berücksichtigung der Anforderungen der einzelnen Anwendungen und den technischen Parametern einer Anbindung. Sichtbarkeit: welche Anwendungen nutzen, bzw. dürfen die WAN-Dienste nutzen?

Die Änderung der Anforderungen ist der Tatsache geschuldet, dass sich die Kommunikationsbeziehungen verändert haben. D. h. Dienste werden zunehmend über Private und/oder Public Clouds konsumiert, so dass die WAN-Nabelschnur für eine typische Außenstelle zunehmend zu einer kritischen Anbindung wird, an der durch Router konsolidierte intelligente WAN-Dienste (Unified Services) zur Verfügung gestellt werden müssen. Cisco spricht hier von IWAN (Intelligent WAN) Services, die über technische Funktionen wie z. B. AVC, Performance Routing (PfR) oder WAN Optimierung umgesetzt werden. Ein Konzept, welches letztendlich auch für die Meraki Welt adaptiert wurde, d. h. die Security Appliances der MX-Serie verfügen über ähnliche (aber nicht zwingend absolut vergleichbare) Features.

Tabelle 4: ISR-AX: Routing neu definiert

- 15 -

Die IWAN Lösung ist für die deizierten Cisco AX (Application eXperience) Router verfügbar, d. h. für Router der ISR 4000-AX, 3900-AX, 2900-AX, 1900-AX, sowie für die ISR 800 Router (AX Lizenz) und ASR1000 Router (AX Feature Bundle). Diese Lösung ergänzt die Features, die den ISR (Integrated Services Router) originär zur Differenzierung gegenüber konventionellen Routern mit auf den Weg gegeben wurden (z. B. Firewall, Voicemail, Netzwerk Analyse, TK-Anlage, IPS, Collaboration Border Device, Konferenzressourcen etc.).

Die einzelnen Lösungsbautseine wie z. B. Optimierung von WAN-Diensten für z. B. CITRIX oder SAP existieren natürlich schon etwas länger. Neu ist die Tatsache, dass alle primären Dienste (z. B. Cisco WAAS) und optionalen Dienste (z. B. Server Blades) über einen Router konsolidiert und bereitgestellt werden. Cisco beziffert eine gegenüber den erforderlichen Einzellösungen erzielbare Einsparung von 20 bis 35 Prozent. Übrigens können die integrierten Technik zur Sicherstellung und Kontrolle der Performance (NBAR2, Flexible Netflow, AVC) nicht nur über Cisco Prime Infrastructure, sondern auch über Third Party Tools wie z. B. CA Technologies, InofVista, Plixer International oder auch ActionPacked visualisiert werden.

Ein weiteres Beispiel für die Flexibilität der ISR G2 Router ist die FirePOWER Threat Defense Lösung auf Basis eines UCS-E Blades (also ein Server Modul), welches in die modularen Modelle der Baureihe 2900 und 3900 eingesetzt werden kann.

Abbildung 5: UCS-E Modul

Auf dem UCS-E Blade ist ein ESXi Hypervisor installiert, der die beide für diese Lösung erforderlichen virtuellen Maschinen beherbergt: Der virtuelle FirePOWER Sensor und das virtuelle FireSIGHT Management Center. Der Router wird so konfiguriert, dass er die IP-Pakete an den virtuellen Sensor weiterleitet und dieser somit in den Datenstrom eingebunden ist. Konfiguration und Verwaltung des Sensors erfolgen über das FireSIGHT Management Center (FMC).

Das Portfolio Router enthält auch Router, welche die Themen Service Provider und Managed Services adressieren und somit natürlich erst einmal nicht nur integrierte Dienste, Security und IWAN im Fokus haben.

- 16 -

Abbildung 6: Router für Service Provider

3.1.3 Virtuelle Router und Embedded Router Stellen Sie sich vor, dass Ihre Aufgabe darin besteht, in der z. B. AWS Cloud von Amazon eine 3-Tier Anwendung (z. B. einen Web Shop bestehend aus Webserver, Anwendungsserver und Datenbank) aufzubauen. Der Zugriff auf den Webserver erfolgt über das Internet, während die Wartung der Systeme über einen VPN Tunnel erfolgen muss. Letztgenannte Anforderungen wollen Sie über einen Cisco ISR 4000- AX Router lösen.

Abbildung 7: Ein Paket für Amazon

Es dürfte einsichtig sein, dass die Lieferung eines physischen Routers problembehaftet ist und Amazon Ihren Router gerne im nachfolgenden Formfaktor „geliefert“ bekommen möchte.

- 17 -

Abbildung 8: Virtuelle Router: CSR1000V

Das ist natürlich nur ein Beispiel dafür, warum heute ein vollwertiger Router als virtuelle Maschine sein Platz im Portfolio hat.

Die Cisco Embedded Services Router (ESR) 5915, 5950 und 5921 sind zugegeben etwas unsauber formuliert halbfertige Produkte. D. h. der Käufer bezieht eine professionelle Router Lösung in Form eines z. B. PCI Boards und integriert dieses Board in seine Lösung (www.cisco.com/go/embedded). Primäre Antriebsfeder dieser Lösung ist natürlich das IoT Thema.

Abbildung 9: Cisco ESR 5915-RC und 5915-RA

3.2 Switches Offizielle Schulungen zum Thema Cisco Switches: o Interconnecting Cisco Networking Devices: Accelerated (CCNAX) o Implementing Cisco IP Switched Networks (SWITCH) Cisco Network Assistant: kostenloses Tool für die einfache Konfiguration und Überwachung von Cisco Switches http://www.cisco.com/go/cna Cisco Partner Security Community https://communities.cisco.com/community/partner/enterprisenetworks Cisco Switch Guide: http://www.cisco.com/c/en/us/products/collateral/switches/mgx-8800-series- switches/prod_brochure0900aecd80357ff4.html Instant Access http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6800ia- switch/white_paper_c11-728265.html

- 18 -

Die dedizierten SB-Switches sind die sogenannten SG-Switches, während für die Bereiche Enterprise/Service Provider und Mittelstand namentlich zunächst die Catalyst Switches zu nennen sind.

3.2.1 Small Business Bei den Switches der RG-Familie stehen primär die folgenden Funktionen im Vordergrund:

Layer 2 Features: VLAN, Port-Channel, Spanning-Tree Grundlegende Security Features Grundlegende QoS Features Smart Ports (Erkennung von verbundenen Geräten) Green Ethernet

Die Modellreihe reicht von nicht administrierbaren Geräten (SG100), bis hin zu Geräten, die im Stack betrieben werden können (SG500). Wie auch schon bei den SB-Routern, so bieten auch die SB-Switches keine Unified Services. Wer in einem kleineren Umfeld entsprechende Features benötigt, muss deshalb zu den Catalyst Switches der 2960er Familie greifen, die letztendlich das obere Ende der SB-Router markieren.

3.2.2 Catalyst Switches Die Catalyst Switches lassen sich, dem klassischen Netzwerkdesign folgend, den folgenden Bereichen zuordnen:

(1) Access (2) Distribution (3) Core

Damit ist zunächst eine einfache Produktauswahl in Anlehnung an ein typisches Netzwerk möglich. Natürlich ist dies bei der Auswahl der richtigen Komponenten nicht immer das maßgebende Kriterium. D. h. ein z. B. Catalyst 3850 Switch wird aufgrund der Anforderungen und der Lösung bei Kunde A als Access Switch eingesetzt, während er im Netz von Kunde B den Kern des Netzes bildet.

- 19 -

Abbildung 10: Catalyst Switches

Ein heute durchaus übliches und sehr wichtiges High-Availability (HA) Feature der Catalyst Switches ist die Option, mehrere Switches zu einer logischen Einheit zu verschalten. Abhängig von der Catalyst Familie werden hier zwei verschiedene Lösungen angeboten: a) Stack b) Virtual Switching System (VSS)

Das nachfolgende Bild zeigt die Verschaltung von mehreren Cisco Switches zu einem Stack.

Abbildung 11: Cisco Stack und StackPower

Es ist zu beachten, dass unterschiedliche Stacking Technolgien existieren. Diese sind abhängig von der Hardware Generation, bzw. von der jeweiligen Catalyst Familie.

CAT2960-S FlexStack / FlexStack+ CAT3750 StackWise / StackWise Plus CAT3850 StackWise-480

- 20 -

Im Bild ist auch die StackPower Technologie zu sehen. Diese ist für Catalyst Switches der Familien 3750 und 3850 verfügbar und sorgt dafür, dass die Leistung der über die im Stack verteilten Netzteile dynamisch den einzelnen Mitgleidern im Stack zur Verfügung gestellt werden kann. Damit ist – eine entsprechende Planung vorausgesetzt – z. B. sichergestellt, dass das Netzteil eines Switches ausfallen kann und dieser Ausfall über die Netzteile der anderen Switches im Stack kompensiert wird.

Wie bereits erwähnt, kann das Thema LAN-Switches heute durchaus als Commodity Thema verstanden werden. Aus diesem Grund sollen an dieser Stelle zwei Lösungen vorgestellt werden, die über die klassischen Switching Themen wie z. B. Spanning- Tree, oder VLAN hinausgehen und über die Anforderungen umgesetzt werden können, welche heute durch eine Business Transformation an die Netzwerkinfra- struktur herangetragen werden.

Smart Operations sind z. B. in die Switches integrierte Helferlein, die den kompletten Netzwerk Life Cycle (Planung, Umsetzung, Betrieb) unterstützen können.

Abbildung 12: Catalyst Switches – Smart Operations

Wenn z. B. Netzwerkkomponenten nur noch ins Rack geschraubt werden müssen und danach Software und aktuelle Konfiguration automatisch über das Netzwerk bezogen werden, dann ist dies dem Smart Install Feature geschuldet. Soll an gewissen Ports zu einer bestimmten Uhrzeit PoE abgeschaltet werden, dann kann dies über Energywise umgesetzt werden. Möchten Sie eine Meldung erhalten, wenn ein bestimmtes Gerät mit dem Netzwerk verbunden wird, oder ein bestimmtes Ereignis eintritt (z. B. Link Down), dann ist der Embedded Event Manager (EEM) Ihr Tool.

Das Auto Smart Port Feature sorgt dafür, dass der Port eines Switch in Abhängigkeit vom mit ihm verbundenen Endgerät mit Hilfe eines Macros konfiguriert wird. Somit können – abhängig vom Endgerät – z. B. QoS, VLAN oder Security Einstellungen an den Port übergeben werden.

- 21 -

Abbildung 13: Smart Operations: Beispiel Auto Smart Port

Ein sehr wichtiges Thema ist heute auch die Zugangskontrolle. Ein ehrgeiziges Ziel ist dabei die Bereitstellung von sogenannten Unfied Switch Ports. D. h. die Ports sind so konfiguriert, dass jedes beliebige Endgerät angeschlossen werden kann und die Authentifizierung dieses Endgeräts bzw. des Anwenders dynamisch in Abhängigkeit von den Fähigkeiten und der Konfiguration des Endgeräts erfolgt. Wird z. B. ein Drucker mit dem Port GigabitEthernet 0/1 eines Switches verbunden, dann landet er im Printer VLAN, während ein Gast dem Gast VLAN zugeordent wird.

Abbildung 14: Network Access Control

Es ist an dieser Stelle zu erwähnen, dass das formulierte ehrgeizige Ziel im Rahmen des Unified Access durch Zusammenspiel des Netzwerks mit der Cisco Identity Services Engine (One Policy) erreicht wird.

- 22 -

Eine weitere interessante Entwicklung mit Fokus auf die Optimierung von Administration und Management ist das Thema Instant Access. Bei diesem Thema werden zwei Core Switches (CAT6500-E und CAT6800 mit entsprechender Supervisor Engine) im VSS Mode betrieben. D. h. diese beiden Core Switches präsentieren sich als ein logischer Switch. Im Access Bereich werden sogenannte Instant Access (IA) Clients eingesetzt. Diese wiederum sind über das Netzwerk abgesetzte Module (Line Cards) des logischen VSS Parent Switch (wie bei den Nexus Switches die FEX Module). D. h. aus logischer Sicht ist das Gebilde aus 2 Core Switches und mehreren redundant angebundenen Access Switches ein einziger Switch.

Abbildung 15: Instant Access

Es sollte allerdings nicht unerwähnt bleiben, dass Cisco dedizierte IA Client Switches (Catalyst 6800ia) anbietet und bisher nur wenige klassische Switches (z. B. CAT3560-CX) optional auch als IA Client betrieben werden können.

3.3 Wireless LAN Cisco orchestriert sein Wireless LAN Portfolio unter der Überschrift Unified Wireless Network und bietet hier eine Plattform, die ausgehend von der reinen Konnektivität (WLAN Infrastruktur) zu einer Lösung ausgebaut werden kann, die Mehrwertdienste wie z. B. Asset Tracking, Location Based Services, oder auch Location Analytics bietet. Die Basis bilden dabei die Cisco Wireless LAN Controller, sowie die über die Fläche verteilten Access Points.

Unified Wireless Network Komponente Klassifizierung Access Points Basiskomponenten Wireless LAN Controller Cisco Prime Infrastructure Cisco Identity Services Engine Management und Mehrwertdienste Mobility Services Engine Tabelle 5: Unified Wireless Network

Damit man bei der Umsetzung eines WLAN Projekts auch den unterschiedlichen Anforderungen gerecht werden kann, bietet Cisco auf Basis der Wireless Produkte unterschiedliche Implementierungsvarianten an. Diese varianten lassen sich auf 2 Lösungsansätze aufteilen: - 23 -

a) On-Premise b) Cloud Managed

Abbildung 16: Wireless LAN Implementierungsvarianten

Die Lösungsansätze und Implementierungsvarianten können bei einem konkreten Projekt durchaus auch zeitgleich zum Einsatz kommen. Das signalisiert z. B. schon die Tatsache, dass Cisco mit Prime Infrastructure (Management der On-Premise Lösung) eine direkte Verknüpfung mit dem Meraki Dashboard (Cloud Managed Lösung) zur Verfügung stellt. D. h. die Cisco Meraki Access Points sind in der On- Premise Management Lösung sichtbar. Ihre Konfiguration erfolgt allerdings weiterhin über das Cloud Dashboard.

Die einzelnen Implementierungsvarianten werden nachfolgend kurz vorgestellt:

Implementierungsvariante Kurze Beschreibung Access Points arbeiten autark und sind keinem Wireless LAN Autonomous Controller unterstellt. Die Access Points sind einem Wireless LAN Controller untergeord- Centralized net. Dabei erfolgt der Übergang von einer SSID X in ein VLAN Y immer (!) am Controller. Die Access Points sind einem Wireless LAN Controller untergeord- net. Dabei erfolgt der Übergang von einer SSID X in ein VLAN Y FlexConnect immer (!) wahlweise am Controller, oder direkt schon am Access Point. Die Access Points sind einem Wireless LAN Controller untergeord- net. Dabei erfolgt der Übergang von einer SSID X in ein VLAN Y immer (!) am Access Switch und damit genau dort, wo auch die drahtgebundenen Zugänge ihren Zugang zum Netzwerk haben. In Converged Access diesem Szenario terminiert der Access Switch als vollwertiger Controller den von den Access Points ausgehenden Daten- und Steuertunnel, oder er ist einem Mobility Controller unterstellt und terminiert als Mobility Agent nur den Datentunnel. Zwei Seelen wohnen, ach! in meiner Brust: Für die Access der Serien 1830 und 1850 kann ein integrierter Controller aktiviert Mobility Express Solution werden. An diesem sogenannten Master Access Point können sich bis zu 25 Access Points registrieren (inkl. des Master Access Point selbst).

- 24 -

Die Access Points sind einem Wireless LAN Controller in der Cloud untergeordnet. Dabei erfolgt der Übergang von einer SSID X in ein Cloud Managed VLAN Y direkt am Access Point (Ausnahme: Gastzugang hier ist auch ein Ausstieg in der Cloud möglich). Tabelle 6: Wireless LAN: Implementierungsvarianten

Die Converged Access Lösung kann aktuell über die Cisco Catalyst Switches der Familien 3650 und 3850 umgesetzt werden. Da bei dieser Lösung drahtlose und drahtgebundene Zugänge zeitgleich über den gleichen Access Switch ermöglicht werden können, spricht Cisco hier von One Network.

Der One Network „Gedanke“ wird durch die Lösungen für ein One Management und ein One Policy vervollständigt. Dabei ist Cisco Prime Infrastructure das zentrale Management für die drahtgebundene und die drahtlose Welt, während die Cisco Identity Services Engine (ISE) das mit dem Netzwerkzugang in Verbindung stehende Regelwerk (z. B. Authentifizierung von Anwendern und Devices) verwaltet.

3.3.1 Small Business Bei den Access Points der WAP-Familie stehen primär die folgenden Funktionen im Vordergrund:

Skalierbare Performance und Reichweite (3 Modelle) Einfache Inbetriebnahme und Konfiguration Gastzugang Sicherheit

Die SB Access Points bieten keine Unified Services. Wer in einem kleineren Umfeld entsprechende Features benötigt, muss deshalb zu einem Wireless Controller 2504 greifen, der letztendlich mit den Access Points der z. B. 700er, oder 1700er Familie das obere Ende der SB Wireless Lösungen markiert.

Ein zu erwähnendes Feature der SB Access Points ist das Single Point Setup Feature. D. h. alle Access Points können ausgehend von einem zentralen Access Point (Master) konfiguriert werden, ohne dass dafür ein dedizierter Wireless Controller erforderlich ist. Dieser Ansatz ist vergleichbar mit der Mobility Express Lösung der klassischen Cisco Wireless Produktlinien.

3.3.2 Wireless LAN Controller und Access Points

Offizielle Schulungen zu den Themen Wireless und Wireless Controller: o Implementing Cisco Wireless LAN Network Fundamentals (WIFUND) Cisco Mobility Express Bundle: http://www.cisco.com/c/en/us/products/collateral/wireless/aironet-2700-series- access-point/brochure-c02-733838.pdf Einstieg für Techniker: Wireless Controller Deployment Guide: http://www.cisco.com/c/en/us/support/docs/wireless/2500-series-wireless- controllers/113034-2500-deploy-guide-00.html Hands-On: Das Cisco dCloud Lab Cisco Virtual Wireless LAN Controller 8.2 Configuration Wizard and Best Practices v1 Lizenzen zur Evaluierung: nach der Installation der Virtual Wireless Controller VM kann eine 60-tägigen Evaluierungslizenz aktiviert werden. Hilfreiche Gegenüberstellung aller Access Points und Controller: http://www.cisco.com/c/en/us/products/wireless/buyers-guide.html

- 25 -

Ein Wireless LAN Controller ist das Bindeglied (die Brücke) zwischen der drahtlosen und der drahtgebundenen Welt, d. h. er regelt den Übergang von einer SSID X in ein VLAN Y. Cisco bietet eine Vielzahl von WLAN Controllern an, wodurch unterschied- liche Szenarien und Anforderungen bedient werden können.

19“ Geräte Nicht-19“ Geräte Einschubmodule für Catalyst Switches Virtuelle Controller (KVM, VMware) Service Module und UCS-E Blades für Cisco ISR G2 Router Mobility Express Access Points Cloud Controller (Meraki)

Abbildung 17: Wireless LAN Controller

Abbildung 18: Wireless LAN Controller - die grafische Oberfläche (hier: EZ GUI)

Das kleinste Mitglied der Familie der physischen Controller ist der AIR-CT2504, der für bis maximal 75 Access Points lizenziert werden kann. Cisco bietet diesen Controller aktuell als Mobility Express Bundle mit wahlweise 2 Access Points der Familien 1700, 2700 oder 3700 an und versucht damit den Einstieg in das Thema professionelle Cisco WLAN Lösungen zu ebnen.

- 26 -

Abbildung 19: AIR-CT2504 – der kleinste Spross

Als Einsteigermodell ist der AIR-CT2504 mit – bis auf wenige Ausnahmen – den gleichen Features wie seine größeren Brüder ausgestattet. Der Einstieg in die Welt der Controller gestaltet sich dabei auf Basis dieses Modells als sehr einfach, da der Controller im Factory Default Zustand einen grafischen Setup Wizard (Express Setup) bietet, der drahtgebunden, oder über einen an einen der beiden PoE-Ports angeschlossenen Access Point drahtlos, ohne weitere Konfiguration aufgerufen werden kann.

Abbildung 20: AIR-CT2504: Express Setup

Mit Hilfe eines Wireless LAN Controllers werden natürlich zunächst Wireless spezifische Themen wie z. B. IEEE 802.11 a/n/ac / IEEE 802.11 b/g/n bezogene Parameter, dynamische Verwaltung des Funkfeldes, so wie sicherheitsrelevante Themen wie z. B. WPA und IEEE 802.1X adressiert. Allerdings lässt sich auch das Thema WLAN heute nicht mehr nur auf die Sicherstellung einer drahtlosen Kommu- nikation reduzieren. Aus diesem Grund hat Cisco seine WLAN Lösung mit weiteren Funktionen ausgestattet:

Erkennen von WLAN spezifischen Angriffen durch Wireless IPS (wIPS). Erkennen und kontrollieren von Anwendungen durch Application Visability and Control (AVC). Location Tracking und Location Analytics.

- 27 -

Zunehmend wichtig wird auch die effiziente und kontrollierbare Unterstützung von Multicast DNS (mDNS), da auch in professionellen Umgebungen ein zunehmender Einzug von sogenannten Zero Configuration Anwendungen zu beobachten ist. Diese Anwendungen haben ihre Wurzeln in Heimnetzwerken, worauf letztendlich auch zurückzuführen ist, dass sich Dienst und Client (App) immer im gleichen VLAN befinden müssen. Eine der bekanntesten Implementierungsvariante ist der Bonjour Service von Apple.

Cisco bietet mit Hilfe von mDNS Snooping und einem Bonjour Gateway Dienst die Möglichkeit, dass Zero Configuration Dienste nicht einfach bedingungslos im (W)LAN geflutet werden, sondern kontrolliert und selektiv zur Verfügung gestellt werden können. Es ist zudem nicht mehr erforderlich, dass sich Dienst und Konsument im gleichen VLAN befinden müssen. Die nachfolgende Abbildung zeigt, wie über ein z.B. iPhone bereitgestellte AirPlay Dienste konsumiert werden können.

Abbildung 21: AirPlay

Der AIR-CT2504 kann redundant betrieben werden. Hier bietet Cisco mit dem AIR- CT2504-HA-K9 eine preisgünstige, dedizierte Backup Hardware an, die bei einem Ausfall des primären Controllers dessen Access Points bis zur max. unterstützten Anzahl von 75 Access Points übernehmen kann. Da hier beide Controller nicht zu einer logischen Einheit verbunden werden können (d. h. beide müssen konfiguriert werden) und damit bei einem Ausfall des primären Controllers alle Access Points am Backup Controller den kompletten Registrierungsprozess durchlaufen müssen, ist der Ausfall des primären Controllers nicht unterbrechungsfrei. Prinzipiell können mehrere vollwertige AIR-CT2504 durch einen einzigen Backup Controller abgesichert werden, was deshalb auch als N+1 Redundanz bezeichnet wird. Einen sogenannten Stateful Switchover (SSO) für Access Points und Clients wie er bei den größeren Brüdern AIR-CT5508, AIR-CT7510, AIR-CT8510, oder WS-SVC-WiSM2 zu finden ist, unterstützt der AIR-CT2504 nicht. Bei diesen HA Lösungen erfolgen Administra-

- 28 -

tion und Software Update ausschließlich über den aktiven Controller, so dass sich beide Komponenten (aktiver und Standby Controller) als eine Einheit darstellen.

Natürlich spielen beim Thema Wireless LAN die im Portfolio enthaltenen Access Points (In- und Outdoor) und externen Antennen eine wichtige Rolle. Über ein entsprechend umfangreiches Portfolio lassen sich die Qualität des Dienstes, sowie auch die Ausleuchtung gut auf die jeweiligen Anforderungen und Gegebenheiten anpassen. Detaillierte Informationen zu den Produkten sind hier zu finden:

(1) Access Points: http://www.cisco.com/c/en/us/products/wireless/buyers-guide.html

(2) Antennen: http://www.cisco.com/c/en/us/products/collateral/wireless/aironet-antennas- accessories/product_data_sheet09186a008008883b.html

Mit Blick auf das Thema Access Points ist noch anzumerken, dass Cisco mittlerweile sogenannte Universal Access Points anbietet, d. h. Access Points bei denen die Benennung der Regulierungsdomäne (z. B. –E, sobald der Access Point in Deutschland betrieben werden soll) bei einer Bestellung nicht angegeben werden muss. Universal Access Points sind über die Buchstaben UX in ihrer Artikelnummer (z. B. AIR-AP2702I-UXK9) zu erkennen. Wenn ein Universal Access Point über das Cisco AirProvision Tool für den Betrieb in z. B. in Deutschland manuell konfiguriert wird (was Cisco als Priming bezeichnet), dann stellen sich die anderen Access Points in „hörbarer“ Nähe automatisch ebenfalls auf diese Regulierungsdomäne um. Ist ein Universal Access Point noch nicht für seine Regulierungsdomäne konfiguriert worden, dann strahlt er im 2.4 GHz Band nur mit der kleinsten Sendeleistung, während er im 5 GHz Band nur hört, aber nicht sendet.

Abbildung 22: Cisco Universal Access Point: Priming via Cisco AirProvison App

- 29 -

Es ist anzumerken, dass das Cisco AirProvision Tool gewisse Sicherheitshürden eingebaut hat (z. B. die Anmeldung über die CCO ID, kein Jailbreak), deren Existenz letztendlich weniger den Ideen von Cisco, als den Forderungen der entsprechenden Standardisierungs-/Regulierungsgremien geschuldet sein dürften. http://www.cisco.com/c/en/us/td/docs/wireless/access_point/mob_exp/1/best_practices/b_ME_Best_Pr actices_Guide.pdf

3.3.3 Mobility Express Solution

Allgemeine Informationen http://www.cisco.com/go/mobilityexpress Mobility Express Best Practices Einstellungen: http://www.cisco.com/c/en/us/td/docs/wireless/access_point/mob_exp/1/best_practice s /b_ME_Best_Practices_Guide.pdf YouTube https://www.youtube.com/watch?v=1zMyH2Drpno

Die Mobility Express Solution sollte nicht mit dem Mobility Express Bundle verwechselt werden. Während erstgenannte eine Lösung ist, bei welcher der Controller in einem Cisco Access Point der 1800er Familie (Wave 2 Access Points) integriert sein kann, ist zweitgenanntes ein preislich attraktiv gestaltetes Produkt Bundle, um auch im SMB Umfeld mit professionellen und skalierbaren Cisco Lösungen eine höhere Marktdurchdringung zu erreichen.

- 30 -

Abbildung 23: Wave 2

Die Versprechungen der Wave 2 Technologe zum Thema Bandbreite hängen natürlich von den Spatial Streams (SS) Fähigkeiten der Endgeräte und der Verfügbarkeit der 80-MHz und 160-MHz Kanäle ab. Mit den neuen Access Point der 1800er Serie ist damit aber das Thema auch im Entry Level angekommen.

Bei den Access Points der Serien 1830 und 1850 kann ein integrierter WLAN Controller aktiviert werden. Cisco bezeichnet dies als Mobility Express Lösung. Dabei zeichnet sich diese Lösung nicht nur durch den im Access Point integrierten Controller, sondern auch durch den einfachen und schnellen Setup (Over-the-Air Provisioning), sowie durch die während der Inbetriebnahme automatisch aktivierten Best Practices aus.

- 31 -

Abbildung 24: Cisco Mobility Express Solution

Die grafische Oberfläche der Lösung ist sehr einfach gehalten, ohne dass dabei professionelle Features ausgeblendet werden. Somit sind Schnelligkeit und Einfachheit die zentralen Attribute zur Beschreibung dieser Lösung. Es handelt sich dabei aber um eine „klassische“ Cisco Lösung und nicht um eine Erweiterung des SMB Portfolios (WAP100, 300 und 500).

Abbildung 25: Cisco Mobility Express: grafische Oberfläche

Es ist wichtig zu betonen, dass die grafische Oberfläche der Cisco Mobility Express Solution nicht mit der eines klassischen Wireless LAN Controllers (z. B. CT2504) vergleichbar ist. Zudem werden über dieses Interface nicht alle Features zur Verfügung gestellt, die das Betriebssystem AirOS unterstützt und die der ME Controller über das Command Line Interface (Konsole Port am Access Point oder SSH) prinzipiell zugänglich macht.

An einem Access Point mit integriertem Controller können sich Access Points der Serien 1830 und 1850, aber auch der Serien 700, 1600, 1700, 2600, 2700, 3600 und 3700 registrieren. Allerdings können nur die Serien 1830 und 1850 die Rolle eines Controllers übernehmen.

- 32 -

Abbildung 26: Cisco Mobility Express: die registrierten Access Points

Die Mobility Express Lösung bietet auch eine Redundanzkonzept. D. h. der aktive Mobility Express Controller teilt über regelmäßige VRRP Nachrichten seine Existenz mit. Sollte dieses Lebenszeichen ausbleiben, dann wird auf einem anderen ME fähigen Access Point der lokale Controller gebootet. Dieser übernimmt die Konfiguration des ausgefallenen Controllers. Die anderen Access Points (und auch der Access Point über den der ME Controller ausgeführt wird), müssen sich an diesem Controller neu registrieren.

3.3.4 Multigigabit (mGig) Switches Nein, hier hat sich nicht versehentlich ein drahtgebundenes Thema in die Rubrik Wireless verirrt. Vielmehr ist die Antriebsfeder für das Thema Multigigabit Ethernet tatsächlich die Bandbreitenentwicklung im Wireless LAN Umfeld. IEEE 802.11ac (Wave 1, Wave 2) sorgt dafür, dass zwischen Switch und Access Point – abhängig von der Tertiärverkabelung – ein Flaschenhals entstehen kann: Es werden gegen- über dem N-Standard mehr Wireless Clients mit höheren Geschwindigkeiten bedient.

Nach Vorgabe der EN50173 (Strukturierte Verkabelung) sind im Tertiärbereich Kupferkabel mit einer Gesamtlänge von 100 Metern verlegt. Nur bei Kabeln der Kategorie 6A und 7 können über diese 100 Meter auch 10-GigE (10GBase-T) erreicht werden. Da insbesondere die Erneuerung der Etagenverkabelung aufwendig und teuer ist, muss man davon ausgehen, dass bestehende Verkabelungen in diesem Umfeld noch Kupferkabel der Kategorie 5 verwenden. Diese Kabelkategorie wird von 10GBase-T nicht berücksichtigt.

Mit Multigigabit Ethernet basierend auf der NBase-T Technologie (www.nbaset.org) können auf einem CAT5E und CAT6 Kabel auf 100 Meter immerhin auch 2.5-Gbps und 5-Gbps erreicht werden. Damit kann man aufsetzend auf der bestehenden Verkabelung dennoch von einer höheren Bandbreite profitieren (Brownfield). Aus technischer Sicht ist ein Multigigabit Port lediglich ein 10-GigE Port, an dem die

- 33 -

Geschwindigkeiten 100-Mpbs, 1-Gbps, 2.5-Gbps, 5-Gbps und 10-Gbps aus- gehandelt bzw. fest eingestellt werden können. Multigigabit Ports werden mittlerweile innerhalb mehrerer Cisco Switch Familien angeboten (CAT4500-E, CAT3850, CAT3560CX).

Abbildung 27: Multigigabit Switches – ein kleines Beispiel (WS-C3560CX-8XPD-S)

3.4 Prime Infrastructure 3.X

Offizielle Schulung o Managing Unified Access Networks with Cisco Prime Infrastructure (WMUAPI) 1.0 Hands-On: Das Cisco dCloud Lab Cisco Prime Infrastructure 3.0 v1.1 Technische Videos: https://communities.cisco.com/docs/DOC-60513 Quick Start Guide (PI3.0) http://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3- 0/quickstart/guide/cpi_qsg.html Testen der Lösung: o Cisco Trial (90 Tage): https://cisco.mediuscorp.com/market/networkers/listSubCat.se.work? TRGT=9&/nxt/rcrs/=1127 o Cisco NFR (365 Tage) https://communities.cisco.com/docs/DOC-30322 Ordering Guide: http://www.cisco.com/c/dam/en/us/products/collateral/cloud-systems- management/prime-infrastructure/presentation-c97-735996.pdf

Mit Prime Infrastructure 3.X stellt Cisco eine Enterprise Management Lösung zur Verfügung, über die eine vollständige Abbildung des Life Cycles – d. h. also von der Planung bis zum Betrieb – von Wired und Wireless Produkten erfolgen kann. Die Lösung bildet als One Management eine Säule der Unified Access Plattform.

- 34 -

Abbildung 28: Prime Infrastructure 3.0

Das nachfolgende Bild zeigt die Verwaltung eines Cisco AIR-CT2504 Wireless LAN Controllers via Prime Infrastructure.

Abbildung 29: AIR-CT2504 in Cisco Prime Infrastructure

Über Prime Infrastructure können auch verschiedene Enterprise Networks Services wie z. B. Mobility Services, oder AVC eingebunden werden. Zudem ist auch die Integration der Policy Services von ACS und ISE, sowie des APIC-EM möglich. D. h. Prime Infrastructure kann definitiv als zentrale Management Lösung der Enterprise Networks Architecture bezeichnet werden. So liefert Prime Ihnen z. B. mit Blick auf das Funkfeld sogenannte Head Maps, Unterstützt Sie bei der Planung der Positionierung von Access Points, zeigt Ihnen die aktuelle Position Ihrer Assets und informiert Sie, wer aktuell wie und wo an das Netzwerk angebunden ist. Über die Anbindung des APIC-EM können sogenannte APIC Base Apps wie z. B. PnP, Topology oder PKI (alle kostenfrei), sowie APIC Solution Apps wie z. B. BSA oder Prime Insight (RTU Lizenzmodell) integriert werden.

- 35 -

Abbildung 30: Integration APIC-EM

Letztendlich zeigt Ihnen Prime aber natürlich auch einfach nur die Topolgie an.

Abbildung 31: Die Netzwerktopologie

Mit Prime Infrastructure ermöglicht Cisco auch den Brückenschlag zwischen der On- Premise und der Cloud Managed Lösung. D. h. der virtuelle Meraki Controller kann als Device in Prime Infrastructure eingebunden werden, so dass auch die Cisco Cloud Managed Komponenten (Z1, MS, MR und MX Familien) überwacht werden können. Zudem ist die direkte Verlinkung einer in Prime Infrastructure sichtbaren Cloud Managed Komponente mit dem Meraki Dashboard gegeben.

- 36 -

Abbildung 32: Meraki Dashboard in Cisco Prime Infrastructure

Abbildung 33: Monitoring der Cloud Managed Komponenten

Die Integration der Cisco UCS Server erweitert die von Prime Infrastructure unterstützten Devices um einen weiteren Produktbereich (Datacenter).

Abbildung 34: Cisco UCS

Prime Infrastructure wird als virtuelle Appliance (Express, Express Plus, Standard und Pro), sowie auch als physische Appliance zur Verfügung gestellt. Mit Hilfe des Quick Start Guide können Sie entscheiden, welche Variante für welche Skalierung die passende Antwort ist.

- 37 -

Wer bei einem Kunden die Lösung neu einführt, erhält nachfolgend die Kurzfassung der Informationen aus dem Prime Infrastructure Ordering Guide:

Mit Prime Infrastructure wird nicht mehr zwischen einer Assurance und einer Lifecycle Lizenz unterschieden. Die Lizenzen sind nicht Node-locked (d. h. sie können auf andere PI Server übertragen werden). Die Enterprise Management Lizenz enthält die Lizenz für Prime Infrastructure 3.0 und den APIC-EM. Es gibt nur noch Single-Device Lizenzen. Jede Device Kategorie, bzw. Subkategorie hat ihre eigene Lizenz SKU. Start im CCW: R-MGMT3X-N-K9 (Top-Level SKU)

3.5 APIC Enterprise

Cisco Developer Network (DevNet) https://developer.cisco.com/site/devnet/home/index.gsp DevNet für APIC-EM https://developer.cisco.com/site/apic-em/ Hands-On: DevNet Labs https://developer.cisco.com/site/devnet/sandbox/networking/ Hands-On: Cisco dCloud Enterprise Networking Labs: Cisco APIC-EM Network Path Virtualization v1. Cisco Blog (Deutsch) http://gblogs.cisco.com/de/category/apic-em/

Mit Blick auf die heute und perspektivisch an die IT herangetragenen Anforderungen wie z. B. IoT, Cloud, Big Data / Analytics ist klar, dass hier Transformationen und Innovationen erforderlich sind. Cisco spricht hier von Fast IT und adressiert damit die folgenden Herausforderungen:

Enterprise Networks Heute Zukünftig Komplex Ausblenden der Komplexität Überwiegend manuelle Änderungen Automatisierung Aufwendiger Betrieb Effizienter Betrieb Mit Blick auf Änderungen: träge Mit Blick auf Änderungen: agil Konfiguration: einzelne Devices Konfiguration: unternehmensweit Konfiguration: individuell Konfiguration: Policies Geschlossene Systeme Offene Systeme Netzwerk Daten Business Intelligence Kein stringentes Business/IT Alignment Fokus: Business Anwendungen Tabelle 7: Wireless LAN Implementierungsvarianten

Wenn diese Herausforderungen adressiert und gemeistert werden, dann hat das auf Themen wie z. B. Wachstum, neuen Business Modellen, User Experience, oder Compliance Anforderungen eine katalytische Wirkung.

Grundlage für die erforderlichen und durchaus schon als radikal zu bezeichnenden Veränderungen in der IT und der Denkweise aller beteiligten Personen bildet eine

- 38 -

Software Komponente, die als Application Policy Infrastructure Controller (APIC) bezeichnet wird und welche die Plattform für ein sogenanntes Software Defined Networking bildet. Der APIC existiert aktuell in den drei Ausprägungen DC (Data Center), EM (Enterprise Module) und ODL (OpenDaylight), wobei nachfolgend nur die APIC-EM Variante kurz vorgestellt werden soll.

Der APIC-EM ist eine Art Middleware, welche a) eine Schnittstelle zu Ihren (Cisco) Netzwerk Komponenten und b) zu anderen Anwendungen hat.

Abbildung 35: APIC-EM

Der APIC-EM bietet den Anwendungen offene und dokumentierte Schnittstellen (REST APIs für z. B. Cloud, Security, Collaboration), über welche die Anwendungen ihre Anforderungen (z. B. QoS, Security etc.) komfortabel und in einer für die Kopplung von Anwendungen über Software Schnittstellen üblichen Form an den APIC herantragen können. Gleichzeitig kann dieser den Anwendungen auch Dienste wie z. B. Location Based Services, Inventory Services (Devices, Hosts), oder Identity Services zur Verfügung stellen.

Die an den Controller herangetragenen Anforderungen werden in Form von Regeln formuliert. Z. B. eine Network Policy (QoS, Filterliste etc.), die für die Kommunikation zwischen Client und Server temporär, oder dauerhaft erforderlich ist. Der Begriff temporär wurde in diesem Beispiel bewusst gewählt, denn eine Anwendung muss nicht nur in die Fläche gebracht, sondern eventuell auch netzwerkseitig wieder zurückgebaut werden. Im Bild sind diese Anforderungen über den Begriff „Was“ manifestiert. Die Kommunikation erfolgt dabei über eine REST API (Southbound Interface) mit HTTP/HTTPS als Transportmittel und JSON/XML als Payload, also über eine für diese Welt typischen Kopplungsansatz.

Der Controller übersetzt diese Anforderungen in die zur Konfiguration der Network Devices erforderlichen Anweisungen (das „Wie“). Im einfachsten Fall – und quasi als - 39 -

eine Art Legacy Integration Option – nutzt er dafür direkt das Command Line Interface der Devices. Denkbar sind aber z. B. auch NETCONF, SNMP, OpenFlow, OpenStack oder APIs.

Wer jetzt als Netzwerkadministrator mit ersten Anzeichen der Überforderung kämpft und sich dabei ertappt, wie er „JSON für Anfänger“ und „Python für Anfänger“ in den Warenkorb klickt, sollte sich erst einmal entspannt zurücklehnen. Der APIC-EM entkoppelt nur das „Was“ vom „Wie“. Letztgenanntes wird immer komplexer und es ist sicherlich nicht zwingend wichtig zu wissen, wie ein Arbeitsauftrag Device spezifisch umzusetzen ist, zumal z. B. bei einem CLI der pfiffige Administrator sich die oft wiederholenden Konfigurationsszenarien sowieso schon in Skripte gegossen hat, oder im einfachsten Fall via Copy-&-Paste und mit Hilfe von Google zu seinem Ziel gelangt. Er weiß also „Was“ er will und hat dabei das unbequeme „Wie“ für sich optimiert.

Natürlich sind die Verzahnung von Systemen und Anwendungen die Kür. Darin besteht das große Potential dieser Lösung. D. h. aber nicht, dass wir nun alle programmieren können müssen. Anwendungen kann man auch nach wie vor käuflich erwerben, oder bekommt sie von der Community. Wer eine Idee hat, der kann diese natürlich im wahrsten Sinne des Wortes entwickeln. Der APIC-EM bietet ihm hier die erforderliche Plattform.

Cisco hat dem Einsatz des APIC-AM keine hohen Hürden vorangestellt. D. h. man kann einfach mal loslegen:

Der APIC-EM ist kostenfrei und bringt schon ein paar On-Board Apps mit. Das Thema Support ist natürlich kostenseitig zu berücksichtigen. Kein Lizenzmodell auf Basis der Anzahl der Devices, die über die Southbound Schnittstelle verwaltet werden. Offene Northbound Schnittstelle (REST API). Der Controller arbeitet mit den bestehenden Cisco Devices (es ist kein neues Betriebssystem und keine neue Hardware erforderlich). Der Controller ist schnell an den Start gebracht. D. h. Installation und Konfiguration sollten in 15 Minuten abgehakt sein.

3.6 Meraki Administration und Verwaltung der Appliances über das Meraki Dashboard: https://account.meraki.com/secure/login/dashboard_login Das Meraki Dashboard ist mandantenfähig (MSP Dashboard). Testen der Lösung: NFR Equipment, Teststellung Anspruchsvolle Features kombiniert mit einfacher Konfiguration. Alle Lizenzen haben eine Laufzeit (z. B. 3 Jahre). Es gibt keine permanenten Lizenzen. Nicht lizenzierte Hardware ist quasi wertlos, da sie nicht funktionsfähig ist.

Mit der sogenannten MR Serie bietet Cisco physische Access Points an, die – wie es für die Meraki Lösungen üblich ist – über die Cloud administriert und verwaltet werden. Nicht nur die Inbetriebnahme, sondern auch Konfiguration der Geräte ist extrem einfach gehalten, wobei die Lösung dennoch sehr viele professionelle Funktionen beinhaltet. Nennenswert ist hier aktuell das Thema (Indoor) Location

- 40 -

Based Services (LBS), dass die Modelle MR32 und MR72 durch einen zusätzlich im Access Point integriertes Bluetooth Low Energy (BLE) Modul zum Aussenden von Beacon verwenden und es damit im einfachsten Fall ermöglichen, dass eine App auf eine bestimmte Lokation des mobilen Endgeräts reagiert (z. B. beim Betreten der Gepäckausgabe am Flughafen). Zudem ist eine Scanning Funktion integriert, so dass auch ein Tracking von BLE Devices möglich ist.

Abbildung 36: Meraki MR32 Access Point

Die Meraki Lösung adressiert wie auch schon die On-Premise Lösung das Thema Application Visibility and Control (AVC). Hier kann eine klassische Firewall Funktion – d. h. die Kontrolle von Verbindungen – mit der Kontrolle von Anwendungen kom- biniert werden.

Abbildung 37: MR Access Points, Kontrolle von Anwendungen

- 41 -

Die Cisco Meraki Access Points können die Anwesenheit von mobilen Endgeräten mit Hilfe von deren automatischen Zugangsanfragen (Probe Requests) für ein Wireless LAN protokollieren. Dieses Feature wird als CMX (Connected Mobile Experience) bezeichtnet, wobei die lokationsbezogenen Informationen als Echt- zeitdaten im Dashboard aufbereitet dargestellt werden.

Abbildung 38: Meraki Connected Mobile Experiences (Location Analytics)

Die Übernahme der Connected Mobile Experiences (CMX) Echtzeitdaten durch ein 3rd Party Programm wie z. B. Splunk ist über die offengelegte CMX API möglich.

Die Einfachheit der Meraki Wireless Lösung ist – in Kombination mit den weitreichen- den und professionellen Funktionen – natürlich sehr beeindruckend. Es ist aber immer zu berücksichtigen, dass diese Lösung im Portfolio von Cisco nur eine weitere Implementierungsvariante ist, die letztendlich auch zu einem Kunden und zu seinen Anforderungen passen muss.

4 Fallbeispiel

4.1 Wireless: Mobility Express Bundle Mit dem Security Express Bundle bestehend aus einem Controller 2504 (mit 25 Access Point Lizenzen) und wahlweise 2 Access Points der Familien 1700, 2700 oder 3700, bietet Cisco seinen Partnern die Möglichkeit, die Kunden kostengünstig an das Thema professionelle Wireless LAN Lösung heranzuführen, bzw. vereinfacht einem Partnern damit auch die Möglichkeit seinen Kunden eine Teststellung anzubieten. Motiviert wird dieser Angang durch die Tatsache, dass insbesondere mit IEEE 802.11ac beim Thema Wireless LAN neue Perspektiven zu erwarten sind.

Im Rahmen einer Teststellung könnten in einem ersten Schritt z. B. die folgenden Themen ohne großen Aufwand adressiert werden:

- 42 -

- Konzeptioneller Ansatz: Mapping zwischen SSID und VLAN - Einfache Administration - Applikationserkennung - Automatische Verwaltung des „Funkfeldes“ - Access Point Mode: Local Mode versus FlexConnect - On-Board Gast WLAN Lösung

Die Teststellung ist ein idealer Ausgangspunkt um dem Kunden – abhängig von seinen Anforderungen – zu erklären, wie sich die Lösung schrittweise ausbauen und erweitern lässt.

- Skalierung (z. B. weitere Standorte, mehr Access Points) - Zentrales Policy Management: Cisco ISE - Zentrale Dienste (Cisco MSE): Wireless IPS, Location Services wie z. B. Asset Tracking, Anbieten von Location Based Services (CMX) - Zentrales Management (Cisco Prime Infrastructure): Planung, Konfiguration, Monitoring - Redundanzkonzepte - High-Availability - Converged Access

4.2 Routing Sollte der Kunde über Performance Probleme beim Zugriff der abgesetzten Stand- orte auf zentrale Dienste klagen, dann würde sich die Anbindung einer Außenstelle als Proof-of-Concept über einen entsprechend ausgestatteten und lizenzierten ISR- AX Router anbieten. Im ersten Schritt könnte man dem Kunden zeigen, welche Anwendungen über die WAN-Anbindung konsumiert werden. Sollte er sich sicher sein, dass öffentliche Cloud Dienste für sein Unternehmen noch keine Rolle spielen, dann könnte dies die Evaluierung eventuell bestätigen: nicht das Unternehmen, aber seine Mitarbeiter sind schon in der Cloud ☺

- 43 -

Abbildung 39: Schon in der Cloud?

Ein im Rahmen des PoC vorgesehener Router in der Zentrale wäre für diese Evaluierung eine wichtige Komponente, da damit auch die Vorteile einer WAN Optimierung auf der Basis von Cisco WAAS demonstriert werden können. Citrix, SAP und CIFS wären hier gute Indikatoren für einen spürbaren Erfolg.

4.3 Mobility Express Solution Starten Sie das WLAN Projekt bei Ihrem Kunden mit der Mobility Express Solution und bauen Sie diese dann schrittweise aus. Die folgende Tabelle zeigt, dass Sie auf dieser Basis Ihrem Kunden durchaus eine attraktive Lösung bieten können.

Key Features Details

Skalierung 1-25 Access Points

Max. SSIDs 16

RRM Ja

Roaming Ja (L2 Intra-Controller)

Rogue AP Detection Ja

Application Visibility (AV) Ja

Guest Access Ja Management GUI, Mobile App (und CLI)

High Availability N+1

- 44 -

On-Board Radius Server Ja

Policies AAA, ACL Override, QOS Override, ACL, Voice CAC Tabelle 8: Leistungsmerkmale der Mobility Express Lösung

Sollten Sie die Skalierungsgrenzen erreichen oder Features benötigen, die in anderen Wireless Implementierungsvarianten zu finden sind, dann können Sie die Mobility Express Lösung sehr einfach migrieren: Die Access Points der 1800er Familie lassen sich natürlich auch an einem dedizierten Controller (z. B. CT2504) registrieren.

5 CCW Konfiguration

5.1 Mobility Express Bundle Mobility Express Bundles (AIR-CT2504 mit 2 IEEE 802.11ac Access Points): o AIR-AP1702I-X-WLC (X = Regulierungsdomäne) o AIR-AP2702I-UX-WLC o AIR-AP3702I-UX-WLC / AIR-AP3702E-UX-WLC Denken Sie bitte immer auch an das Thema Service (SmartNet oder SmartCare). Der Backup Controller ist an den Buchstaben HA in der SKU zu erkennen. Shortcut CCW: www.cisco.com/go/ccw

Nachfolgend wird am Beispiel eines AIR-CT2504 mit 5 Access Points Lizenzen gezeigt, wie leicht sich die Bill-of-Material (BOM) für eine Controller gestützte Wireless Lösung mit Hilfe des Cisco Commerce Workspace (CCW) konfigurieren lässt. Es wird auch schon der Backup Controller berücksichtigt.

Abbildung 40: CCW, AIR-CT2504 Primary und HA Unit

Bitte vergessen Sie an dieser Stelle das Thema Service nicht. Die Option Change Services/Subscriptions führt Sie zum entsprechenden Konfigurationsmenü. Zudem ist anzumerken, dass Cisco mit dem Mobility Express Bundle aktuell ein Starter Kit anbietet, das aus einem AIR-CT2504 und wahlweise zwei Access Points der Familien 1700, 2700 oder 3700 beinhaltet. So ein Bundle kann sehr einfach über eine entsprechende SKU (z. B. AIR-AP2702I-UX-WLC) bestellt werden.

- 45 -

Abbildung 41: AIR-AP2702I-UX-WLC

Es werden 2 Access Points der 2700er Familie mit integrierten Antennen in der Ausführung als Universal (UX) Access Points gewählt.

Abbildung 42: CCW, AIR-AP2702I-UXK9

Es ist zu beachten, dass Universal Access Points für z. B. ein weltweites Netz mit zentraler Beschaffung eine innovative Lösung sind. Wenn allerdings vorab schon klar ist, dass die Access Points nur in Deutschland eingesetzt werden, dann sind mit den Universal Access Points zusätzliche und hier zudem dann auch noch unnötige Arbeitsschritte für das Priming der Access Points verbunden.

5.2 Mobility Express Solution

Mobility Express Access Points: o AIR-AP1832I-X-K9C o AIR-AP1852I-X-K9C o AIR-AP1852E-X-K9C X = Regulierungsdomäne Denken Sie bitte immer auch an das Thema Service (SmartNet oder SmartCare). Es sind keine Access Point Lizenzen erforderlich. Shortcut CCW: www.cisco.com/go/ccw

Die Access Points der Serien 1830 und 1850 sind natürlich nicht nur aufgrund der Mobility Express Solution interessant. Vielmehr handelt es sich hier um Wave 2 Access Points, welche mit 3x3 MIMO (1832) und 4x4 MIMO (1852) für zukünftige Anforderungen an Performance und Bandbreite gerüstet sind.

- 46 -

Abbildung 43: CCW, Mobility Express Solution

Die obige Abbildung zeigt am Beispiel der Access Points 1832, dass es zwei unterschiedliche SKUs gibt, die sich nicht im Preis, sondern nur im Buchstaben „C“ unterscheiden. Nur wenn die SKU den Zusatz „C“ hat, wird der Access Point schon ab Werk mit einem Mobility Express Image geliefert. Der integrierte Controller kann hier bedarfsorientiert via Konfiguration aktiviert, bzw. deaktiviert werden (AP-Type „mobility-express“ oder AP-Type „capwap“).

Wer bei der Bestellung die SKU ohne den Zusatz „C“ bestellt, der bekommt einen Mobility Express Access Point geliefert, für den der integrierte Controller nicht aktiviert werden kann. Als konventioneller Lightweight Access ist die Registrierung an einem WLAN-Controller (auch einem AP integrierten) möglich. Cisco stellt kostenfrei ein Image zur Verfügung, mit dessen Hilfe über den Umweg eines TFTP-Uploads die Option C „nachgerüstet“ werden kann. 6 Fragen und Antworten

Frage Antwort Nein, der AIR-CT2504 unterstützt nur eine 1 Unterstützt der AIR-CT2504 HA SSO? N+1 Redundanz. Wirken sich zusätzlich eingespielte Access Ja, die Supportverträge müssen 2 Point Lizenzen (Adder Lizenzen) auf das entsprechend angepasst werden. Thema Support aus? Ja, die Controller unterstützen ein sogenanntes Local Web Authentication Bieten die WLAN Controller einen integrierten 3 (LWA), bei dem sich die Gäste über ein vom Gastzugang. Controller bereitgestelltes Webportal anmelden können. Nein, diese Unit ist eine dedizierte Backup Kann eine Wireless LAN Controller HA SKU Unit. Nach max. 90 Tagen sollte wieder eine 4 Unit autark betrieben werden? Rückschaltung auf den primären Controller erfolgen. Werden für die Mobility Express Solution 5 Nein Access Point Lizenzen benötigt? Fällt der Master Access Point aus, so kann ein anderer Mobility Express Access Point Welche Redundanz bietet die Mobility Express 6 automatisch diese Rolle übernehmen. Er hat Solution? dabei die gleiche Konfiguration wie der zuvor ausgefallene Master Access Point. Können sich Clients mit einem Access Point 7 verbinden, der auch die Mobility Express Ja Funktion hat?

- 47 -

Bei welchen stapelbaren Catalyst Switches ist Die Switches der 3750er und 3850er Familie 8 das Stacking Modul automatisch mit dabei? haben das Modul bereits integriert. Bei den Switches der 2960er und 3560er Familie ist das Modul per Default nicht Bei welchen stapelbaren Catalyst Switches ist 9 enthalten. Es ist dabei zu beachten, dass es das Stacking Modul nicht enthalten? für die verschiedenen Switches dedizierte Stack Kits gibt. Das Kabel hat eine Länge von 50 cm. Folgende Längen können explizit bestellt werden: 10 Welche Länge hat das Stacking Kabel? - 1 Meter - 3 Meter

Die Default Länge beträgt 30 cm. Optional 11 Welche Länge hat das Stack Power Kabel? wird auch ein Kabel mit einer Länge von 150 cm angeboten. Welche Anforderungen sind mit der Cisco Der Partner benötigt eine CCO ID, die mit 12 AirProvision App verknüpft? einem Cisco Supportvertrag verknüpft ist. Ja, das ist mit Hilfe von Prime Infrastructure möglich. Können mehrere Wireless LAN Controller 13 zentral administriert werden? Anmerkung: In einem HA Setup (nicht N+1) wird immer nur der aktive Controller konfigu- riert. Tabelle 9: Fragen und Antworten

7 Abkürzungsverzeichnis A AC Anyconnect ACS Access Control Server AMP Advanced Malware Protection AP Access Point API Application Programming Interface APIC-EM Application Policy Infrastructure Controller Enterprise Module App Application ASA Adaptive Security Appliance ASR Aggregation Services Router AX Application eXperience

B BLE Bluetooth Low Energy BOM Bill-of-Material BSA Branch Service Automation

C CA Certificate Authority CCW Cisco Commerce Workspace CLI Command Line Interface CMX Connected Mobile Experiences CNA Cisco Network Assistant CSR Cloud Services Router CWS Cisco Cloud Web Security

- 48 -

D DMI Device Manageability Instrumentation

E EEE Energy Efficient Ethernet EEM Embedded Event Manager EOL End-Of Life ESR Embedded Services Router

F FMC FireSIGHT Management Center

G G2 Generation 2 GSSO Global Security Sales Organization

H HA High Availability

I IA Instant Access IaaS Infrastructure-as-a-Service IoE Internet-of-Everything IOS Internetwork Operating System IP Internet Protocol IPS Intrusion Prevention System ISE Identity Services Engine ISR Integrated Services Router IWAN Intelligent WAN

L LAN Local Area Network LBS Location Based Services LWA Local Web Authentication

M mDNS Multicast DNS ME Mobility Express MIMO Multiple Input / Multiple Output MPLS Multi-Protocol Label Switching MSE Mobility Services Engine MSP Managed Services Provider

N NBAR2 Network Based Application Recognition Version 2 NCE Network Compute Engine NFR Not-for-Resale

P PaaS Platform-as-a-Service PI Prime Infrastructure

- 49 -

PKI Public Key Infrastructure PnP Plug-and-Play PoC Proof-of-Concept

Q QoS Quality-of-Service

R REST Representational State Transfer

S SaaS Software-as-a-Service SB Small Business SKU Stock Keeping Unit SSID Service Set Identifier SSO Stateful Switchover

T Tcl Tool command language TFTP Trivial File Transfer Protocol TOGAF The Open Group Architecture Framework

U UA Unified Access UCS Unified Computing System UCS-E Unified Computing System Express

V VLAN Virtual LAN VM Virtual Machine VRRP Virtual Router Redundancy Protocol VSS Virtual Switching System

W WAAS Wide Area Application Services WAN Wide Area Network wIPS Wireless IPS WiSM Wireless LAN Service Module WLC Wireless LAN Controller WSA Web Security Appliance WSMA Web Service Management Agent

- 50 -

Inhalt Architektur: Security

Inhalt Architektur: Security ...... 51 8 Security: Kurze Vorstellung der Architektur ...... 52 8.1 Cisco Security Report ...... 54 8.2 Informationen ...... 55 8.3 Ausrichtung der Lösungen am Attack Continuum ...... 55 8.4 Lösungen und Produkte ...... 57 8.4.1 TALOS ...... 58 8.4.2 Advanced Malware Protection ...... 59 8.4.3 Lizenzen ...... 61 9 Fokusthemen: Security ...... 62 9.1 Next Generation Firewall ...... 62 9.1.1 Management ...... 64 9.1.2 ASDM versus FMC ...... 66 9.1.3 Das Regelwerk ...... 67 9.2 Cisco AnyConnect Secure Mobility Client ...... 68 9.3 Cisco Meraki MX Appliances ...... 72 9.4 Content Security ...... 74 9.4.1 ESA – Email Security Appliance ...... 74 9.4.2 WSA – Web Security Appliance ...... 75 9.4.3 CWS – Security Software-as-a-Service ...... 76 9.5 Mobile Device Management ...... 78 9.6 OpenDNS: Sicherheit über den DNS Layer ...... 80 9.7 ISE ...... 83 10 Fallbeispiel ...... 86 11 CCW Konfiguration ...... 87 12 Fragen und Antworten ...... 91 13 Abkürzungen ...... 92

- 51 -

8 Security: Kurze Vorstellung der Architektur

Auf YouTube finden Sie ein sehr gelungenes Video von Deloitte zum Thema Cyberkriminalität: https://www.youtube.com/watch?v=l_XOrcBxy-E Cisco Annual Security Report 2016: http://www.cisco.com/c/m/en_us/offers/sc04/2016-annual-security- report/index.html Immer einen Besuch wert: Das Cisco Partner Education Center (www.cisco.com/go/pec)

Das Thema Sicherheit ist z. B. nicht nur laut Forrester ein wichtiges Thema unter den Top 10 der IT-Trends 2016. Laut Forrester sind „Security & Risiko“ sogar unter den Top 10 Themen der bis 2018 maßgebenden Technologietrends. Es fällt allerdings schwer dieses Thema als Trend zu bezeichnen, denn letztendlich ist Sicherheit ein latentes Thema, welchem heute definitiv eine dauerhafte und hinterfragende Aufmerksamkeit zu widmen ist:

- Die Vernetzung nimmt zu (Internet der Dinge) und damit auch die potentielle Angriffsfläche, sowie die Anzahl der möglichen Schwachstellen. - Prozesse sind zunehmend und teilweise auch unabkömmlich abhängig von der IT-Infrastruktur und den entsprechenden IT-Systemen. - Big Data wird zunehmend zum Datengold vieler Unternehmen. - Die IT-Systeme und IT-Lösungen werden zunehmend komplexer, weshalb auch die aufgrund von Fehlern bei der Administration und Anwendung aus- gehenden Gefahren stärker in den Vordergrund rücken. - Die Kommunikation zwischen Client und Anwendung ist zunehmend verschlüsselt und trotz technischer Möglichkeiten nicht in allen Fällen zu kontrollieren, da diese Möglichkeiten in konkreten Fällen nicht greifen, oder mit Blick auf z. B. den Daten- schutz organisatorisch unterbunden werden. - Eine von einem Client System initiierte Verbindung ist keine Einbahnstraße, d. h. der Client kann hier auch zum Opfer werden (Client-Side Angriffe).

Es ist heute allerdings davon auszugehen, dass – trotz technischer Maßnahmen – eine absolute Sicherheit nicht zu erreichen ist. Eine Erkenntnis, die in vielen Unternehmen noch reifen muss, die aber heute auch außerhalb der Disziplin IT- Sicherheit aktuell leider ihre Bestätigung findet. Die Gründe dafür leiten sich auf den oben aufgeführten Beobachtungen ab, aber auch aus der Tatsache, dass sich die dunkle Seite der Macht natürlich zunehmend für das Datengold der Unternehmen interessiert. So hat uns die Vergangenheit gezeigt, dass in diesem Umfeld z. B. Kreditkartennummern einen Wert haben. Dieser ist aber z. B. mit Blick auf den Wert einer elektronischen Patientenakte als gering einzustufen. Um an das Datengold zu gelangen agiert die dunkle Seite der Macht deshalb mittlerweile extrem professionell und organisiert (Cyberkriminalität):

- SPAM Mails sind weiterhin ein wichtiges und einfaches Instrument von kriminellen Kampagnen, aber für den Anwender zunehmend schwieriger von legitimen Mails zu unterscheiden. - Software (Betriebssysteme, Anwendungen etc.) wird immer Schwachstellen bieten, die primär nur reaktiv bekannt und beseitigt werden. Angreifer spüren gezielt diese Schwachstellen auf und versuchen sie zu nutzen.

- 52 -

- Die Angriffe werden immer komplexer. Dabei werden oft technische und nicht technische Maßnahmen (Social Engineering) miteinander verzahnt. - Die Angreifer versuchen zunehmend durch schadhafte Software (Malware) einen dauerhaften Zugang zu schaffen, der selbst von beim Thema Sicherheit sehr gut aufgestellten Unternehmen nur schwer zu entdecken ist. - Malware wird zunehmend dediziert für einen Angriff entwickelt. Insofern schränkt sich ihr Aktionsradius auf zwei Bereiche ein: Auf die Entwicklungs- umgebung des Angreifers und auf das angegriffene Unternehmen. Somit werden klassische Erkennungsmechanismen scheitern, da diese primär auf die Analyse von global sichtbare Ereignisse angewiesen sind. - Verschlüsselte Verbindungen sorgen zunehmend dafür, dass z. B. Malware den direkten Weg – d. h. für die am Perimeter eingesetzte Firewall unsichtbar – zum Endgerät findet. Anwendungsseitig implementierte Sicherheitsfunktionen wie z. B. CA Authorization (auch als Certificate Pinning bezeichnet) verhindern das erfolgreiche Aufbrechen dieser Verbindungen durch die Firewall (SSL Decryption) und damit auch die Kontrolle der übertragenen Daten.

Die Beauftragte der Bundesregierung für Informationstechnik (www.cio.bund.de) ist für strategische Themen wie z. B. der IT- und Cybersicherheit zuständig. Zu diesem Thema sind auf der Webseite die folgenden Aussagen zu finden:

Doch neben der zunehmenden Quantität betrachten wir auch eine sich verändernde Qualität mit Sorge. Schadprogramme sind heute weniger darauf ausgerichtet, direkten und bemerkbaren Schaden anzurichten, als bspw. Kontrolle über Rechner zu erlangen oder über längere Zeiträume Daten auszuspionieren. Das Risiko für Anwender und Unternehmen Opfer gezielter Spionage-Attacken zu werden steigt.

Die Vorteile funktionsfähiger IT-Systeme können nur dann genutzt werden, wenn IT- Sicherheit umfassend organisiert wird. Die Bundesregierung sieht darin eine wichtige Aufgabe.

Ohne es mit einer Wertung zu verknüpfen, darf man sicherlich davon ausgehen, dass für die Angreifer nicht alle Unternehmen im gleichen Maße interessant sind, weshalb auch nicht für jedes Unternehmen zugeschnittene Malware entwickelt wird. Leitet man daraus aber – wenn man nicht in dieser Liga spielt – ab, dass man dem Thema Sicherheit weniger Aufmerksamkeit entgegenbringen und weniger aus- gereifte technische Maßnahmen entgegenhalten muss, dann gibt man sich hier in den meisten Fällen einer Illusion von Sicherheit hin. Cyberkriminalität ist sicherlich die Kür, aber Schädigungen können – auch abhängig von der Branche – sehr vielschichtig sein, selbst wenn der mögliche Angreifer nicht professionell und weitsichtig agiert:

Denial-of-Service (Ausfall von Systemen, Unterbrechung von Prozessen, Still- stand der Produktion, Ausbleiben von Alarmierungen etc.) Reputationsverlust Bindung von Ressourcen (z. B. bei der Beseitigung von schadhafter Software) Gelöschte Daten, korrupte Datensätze Veröffentlichung von personenbezogenen Daten Gefährdung menschlichen Lebens

- 53 -

Diese Aussagen sind losgelöst von einem Kontext und deshalb natürlich auch nur pauschaler Natur. D. h. mögliche Risiken müssen immer vor einem konkreten Kontext (Branche, Service Level, externe Anforderungen bzw. Auflagen etc.) definiert und bewertet werden (Risikoanalyse). Ungeachtet dessen spricht die Information Security aber allgemein von einem „Zero Trust“ Modell: Niemals bedingungslos vertrauen, sondern ständig kontrollieren und überwachen. Viele Unternehmen ver- trauen heute ihrer Perimeter Security (Firewall) und haben ihren Fokus noch nicht auch auf Kontroll- und Überwachungsinstanzen gerichtet.

8.1 Cisco Security Report Man muss aufgrund der Ereignisse der letzten Zeit niemanden mehr erklären, was z. B. Ransomware ist. Vielleicht muss man explizit darauf hinwiesen, dass die Angreifer schlicht und ergreifend Geld verdienen wollen. Für diese Beute musste man – so die Geschichtsbücher – früher z. B. Postkutschen, Geldtransporte, Personen oder Banken überfallen. Im Zeitalter der globalen Vernetzung und Digitali- sierung sind diese Methoden allerdings durchaus als altmodisch zu bezeichnen.

Der Cisco Security Report 2016 gibt uns vor dem Kontext der sicherheitsrelevanten Themen und Bedrohungen einen eindrucksvollen Rück- und Ausblick:

• Angler Exploit: 90.000 Opfer pro Tag in den USA. Ziel ist die organisierte Verbreitung von Malware (z. B. Ransomware).

• Bösartige Browser Extensions/Plugins (z. B. Übersetzungshilfen) bilden ein hohes Risikopotential. • Bekannte Botnets (z. B. Bedep, SSHPsychos) steuern weiterhin sehr viele Rechner (Command/Response). • Viele professionelle Malware Kampagnen nutzen DNS (Kontaktaufnahme zu „merkwürdigen“ Webseiten). • Adobe Flash bleibt weiterhin ein Sorgenkind. • Der prozentuale Anteil an HTTPS-Traffic im Internet wächst permanent. • Es sind viele Endgeräte mit Sicherheitslücken am Netz (BYOD etc.). • Erschreckend: Durchschnittliche Zeit zum Erkennen von Bedrohungen im eigenen Netz (TTD: Time To Detect) beträgt 100 bis 200 Tage. • Es geht darum Geld zu verdienen (Bsp.: Zunahme von Ransomware; das Lösegeld [Ransom] liegt bei durchschnittlich USD 300,00 bis USD 500,00. • Angriffe gehen oft von bekannten Hosting Providern aus. Pay-per-Use macht das tageweise anmieten (generieren) von Servern möglich. Bezahlt wird mit unterschiedlichen Kreditkarten ... • Nichts ist fehlerfrei: https://www.cvedetails.com/top-50-products.php (CVE: Common Vulnerabilities and Exposures). • Die Qualität der Schutzschirme im KMU Umfeld fällt im Vergleich zu denen von größeren Unternehmen ab.

- 54 -

Themen die eine solche Durchdringung wie z. B. Ransomware haben liefern den Unternehmen den Beweis, dass sich die Motivation der Angreifer verändert hat. Sie zeigen ihnen, dass nichts sicher ist (Zero Trust Modell) und dass ein Information Security Management seine Daseinsberechtigung hat. Wer in seinem Netzverbund Ransomware entdeckt, dessen nachgelagerter Prozess dann den bildhaften Vergleich eines aufgeschreckten Hühnerstalls nahelegt und zu ad-hoc Investitionen in Technik führt der sollte wissen, dass ihn mit Blick auf das Thema Information Security Management noch viel Arbeit erwartet.

8.2 Informationen Die letzten Monate haben uns aber auch eindrucksvoll gezeigt, dass sicher- heitsrelevante Technologien Lücken haben können. Diese Lücken stehen zunehmen auch im Fokus der entsprechenden Medien, so dass diese als Alarmierungssystem zu sehen sind (Bsp.: Heise Newsticker). Dennoch ist auch eine Verzahnung mit den Alarmierungssystemen der Hersteller wichtig. Viele Hersteller verfügen über ein PSIRT/CSIRT und sind bei FIRST (www.first.org) gelistet. D. h. die relevanten Instanzen der Sicherheitsorganisation eines Unternehmens können hier Informa- tionen zu aktuellen Sicherheitslücken beziehen und diese in ihren Security Management Prozess einfließen lassen. Die nachfolgende Tabelle listet die von Cisco angebotenen „Schnittstellen“ auf.

Abbildung 44: Informationsquellen zu Sicherheitslücken

Eine Beschreibung der Cisco Security Vulnerability Policy ist hier zu finden: http://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html

8.3 Ausrichtung der Lösungen am Attack Continuum Die IT-Sicherheit muss natürlich den veränderten Anforderungen gerecht werden und wird sich dabei nicht nur über ein Produkt, oder eine Maßnahme definieren können, da sie sich sonst der Illusion von Sicherheit hingeben würde.

Cisco richtet sein Security Portfolio deshalb am sogenannten Attack Continuum aus und wird damit der Tatsache gerecht, dass heute eine kontinuierliche Abwehr von Bedrohungen (Threats) möglich sein muss. Diese Möglichkeit muss architekturübergreifend zur Verfügung stehen.

- 55 -

Abbildung 45: Das Cisco Attack Continuum

Auffällig ist, dass das Attack Continuum davon ausgeht, dass eine Bedrohung durch schadhafte Software (Malware) nicht mit absoluter Sicherheit abgewehrt werden kann. D. h. die klassischen Sicherheitsmaßnahmen, wie sie z. B. über eine Perimeter Firewall und klassische Virenscanner umgesetzt werden, können von einem Angreifer überwunden werden. So wird z. B. ein Virenscanner die Zustellung eines Files freigeben, wenn dieses aus seiner Sicht unbedenklich ist. Diese Entscheidung ist zu diesem Zeitpunkt (Point-in-Time) auf Basis seiner aktuellen Signaturdatenbank richtig, rückblickend aber eventuell dennoch falsch.

Vor diesem Hintergrund ist es einsichtig, dass im Ernstfall auch rückblickend eine Sichtbarkeit erforderlich ist. D.h. es ist wichtig zu wissen, wann Malware auf welche Systeme transferiert worden ist und was sie auf diesen Systemen auslöst. Cisco bietet mit Advanced Malware Protection (AMP) eine Lösung, die bereits Bestandteil vieler Cisco Security Lösungen ist (ESA, WSA, CWS, ASA FirePOWER Services, Threat Grid) und dieser Anforderung entspricht. AMP ist dabei allerdings nicht als klassischer Virenscanner zu verstehen.

Letztendlich orchestriert Cisco über das Attack Continuum seine Lösungen und die damit verknüpften Tools, Technologien und Devices, die für einen Incident Response (IR) Workflow (Erkennen, Reagieren, Analysieren) erforderlich sind.

- 56 -

Abbildung 46: Orchestrierung von Produkten

8.4 Lösungen und Produkte Die Lösungen und Produkte von Cisco orientieren sich sehr stark an den heutigen Anforderungen der Unternehmen, die sich primär aus den nachfolgen- den Entwicklungen ableiten:

Zunehmende Vernetzung von „Dingen“ (Internet-of-Everything). Es gibt keinen klassischen Perimeter mehr, da Cloud-Anwendungen und Mobilität diese Grenzen aufgebrochen haben. Klassische IT-Managed Devices müssen den BYOD Bedürfnissen der Mitarbeiter weichen. Sicherheitsanforderungen müssen sich unabhängig von der Zugangs- variante (VPN, Wireless LAN, LAN) immer mit der benötigten Qualität an Sicher- heit umsetzen lassen. Rechenzentren und Virtualisierung: Zunehmende Zentralisierung der Dienste und Services in privaten und öffentlichen Clouds. Malware als primäre Bedrohung. Mangelnde Sichtbarkeit (Kommunikationsbeziehungen, Anwender, Anwendun- gen ). Zunehmender Bedarf der Kommunikation von Sicherheitslösungen untereinander (Austausch von Daten, Automatisierung, Alarmierung etc.) und damit verbunden die Bereitstellung von APIs.

Mit Blick auf einige der aufgeführten Punkte vergrößert sich natürlich die potentielle Angriffsfläche, was letztendlich auch eine entsprechende Ausrichtung der Security Produkte erforderlich macht.

- 57 -

Abbildung 47: Vergrößerung der Angriffsfläche

Die nachfolgende Tabelle führt beispielhaft solche Anforderungen auf und zeigt, wie diese von Cisco adressiert werden.

Anforderung Antwort im Produktportfolio Malware Advanced Malware Protection (AMP) Sichtbarkeit, Kontrolle und Application Visibility and Control (AVC) Abwehr Content Security Email Security Content Security Web Security Mobilität Cisco AnyConnect Secure Mobility Client Cloud (Managed) Lösungen CWS, Meraki MX Familie, OpenDNS Data Center Security VSG, VNMC, Nexus 1000V, ASAv Offene Schnittstellen REST API, pxGrid Tabelle 10: Anforderungen und Produkte / Lösungen

8.4.1 TALOS Die Cisco Sicherheitslösungen und Komponenten wie z. B. NGFW, ESA, WSA, AMP, NGIPS, ThreatGrid oder OpenDNS generieren Unmengen von Daten, die – wenn sie richtig analysiert und ausgewertet werden – mit Blick auf Gefährdungen (Threats) wertvolle Informationen liefern können. Man spricht hier allgemein von Threat Intelligence und meint dabei oft die Zusammenführung, Verarbeitung, professionelle Analyse und Gewichtung von reinen Security Daten (Raw Data), wodurch z. B. eine Rückkopplung in Richtung der Security Devices möglich wird. Ein Beispiel dafür ist eine automatische Aktualisierung von Blocklisten einer NGFW. Insofern bietet das Thema Threat Intelligence durchaus Analogien zum Thema Business Intelligence.

- 58 -

Talos ist die Organisation, die bei Cisco für das Thema Threat Intelligence zuständig ist (www.talosintel.com) und damit eine wichtige Einheit innerhalb des Cisco Collective Security Intelligence (CSI) Ecosystems. Aufgrund der weiten Verbreitung von Cisco Security Lösungen und Produkten und auch aufgrund der Historie (z. B. Ironport Senderbase) kann Talos auf ein Backendsystem zugreifen, das aus einem weltweit über Sensoren aufgespannten produktiven Netz besteht.

Abbildung 48: Talos

Talos ist das Ergebnis der Zusammenführung des Sourcefire Vulnerability Research Teams (VRT), der Cisco Threat Research and Communication Group und der Cisco Security Applications Group. Die beiden letztgenannten firmierten ursprünglich unter Cisco Security Intelligence Operations (SIO). Ein Besuch der Talos Webseite lohnt sich, da u. a. sehr spannende Informationen und Tools zur Verfügung gestellt werden. Dazu zählen – da Talos hier Entwicklungen vorantreibt und die Community unterstützt – die Regeln und Signaturen für Snort, ClamAV, SenderBase und SpamCop,

8.4.2 Advanced Malware Protection Die Advanced Malware Protection (AMP) Lösung ist für Cisco mittlerweile eine sehr strategische Lösung, zumal damit auch die After-Phase des Attack Continuum adressiert werden kann. Die Bedeutung der Lösung wird zudem auch dadurch unterstrichen, dass AMP im Cisco Produktportfolio einen hohen Durchdringungsgrad hat. Cisco spricht hier von AMP Everywhere.

- 59 -

Abbildung 49: AMP Everywhere

Wenn AMP z. B. auf einer ASA5500X als FirePOWER Service lizenziert wird, dann kann die Firewall im Rahmen einer File Policy für das im Rahmen einer Session transferierten File ein SHA-256 Hashwert berechnen und die Cloud vor Zustellung des letzten IP-Pakets fragen, ob ihr dieser Wert schon bekannt ist. Die möglichen Antworten sind:

(1) SHA-256 bekannt: Malware (2) SHA-256 bekannt: Keine Malware (3) SHA-256 nicht bekannt: Keine Malware (Point in Time Entscheidung)

In den Fällen (2) und (3) wird von der Firewall auch das letzte IP-Paket zugestellt und somit ist das File am Zielsystem eingetroffen. Allerdings kann im Fall (2) das File der Cloud (oder einer lokalen ThreatGrid Appliance) zur Analyse zur Verfügung gestellt werden. In diesem Fall fragt die Firewall dann regelmäßig nach, ob es mit Blick auf das zugestellte File schon neue Erkenntnisse gibt. Stellt sich dabei im Nachgang heraus, dass es sich bei diesem File um Malware gehandelt hat, dann ist eine Rückverfolgung (File Trajectory) möglich: wann ist das File wie in das Netzwerk gekommen und wohin wurde es ausgeliefert. Zudem wird über Talos eine detaillierte Analyse bereitgestellt. Das nachfolgende Bild zeigt einen Ausschnitt einer solchen Analyse.

- 60 -

Abbildung 50: Talos Analysis Report

8.4.3 Lizenzen Für die meisten Cisco Security Lösungen und Produkte sind (laufzeitgebundene) Lizenzen erforderlich. Um seinen Partner die Möglichkeit zu geben, sich auf der technischen Ebene mit diesen Lösungen und Produkten auseinanderzusetzen zu können, bietet Cisco oft Evaluierungs- und NFR-Lizenzen an.

Das von der GSSO den Partnern zur Verfügung gestellte Dokument „Cisco Security Licensing and Software Access Process“ (https://communities.cisco.com/docs/DOC- 55301) ist eine sehr gute Quelle, welche die Evaluierungs- und NFR-Lizenzoptionen der meisten Cisco Security Lösungen und Produkte zentral zusammenführt.

- 61 -

9 Fokusthemen: Security

Breitgefächertes Security Portfolio (Attack Life Cycle, Threat centric) Die Cisco Security Produkte zählen ihn allen Bereichen zu den marktführenden Lösungen. Unterschiedliche Implementierungsvarianten: On-Premise Lösungen, Cloud Lösungen und hybride Lösungen Unterschiedliche Formfaktoren: virtuelle und physische Appliances Einen Überblick zu allen Cisco Security Lösungen finden Sie hier: www.cisco.com/go/security Für Techniker: Cisco Security Deep Dives: https://communities.cisco.com/docs/DOC-30977 Voice of the Engineer: https://communities.cisco.com/docs/DOC-30718

Nachfolgend werden einige Security Lösungen und Produkte des Cisco Portfolios kurz vorgestellt. Es ist zu betonen, dass die Zusammenstellung nicht vollständig und primär nur die Produkte berücksichtigt, welche die Bausteine der meisten Cisco Security Projekte sind.

9.1 Next Generation Firewall

Offizielle Schulungen zum Thema Cisco ASA: o Cisco ASA Express Security (SAEXS) o Implementing Core Cisco ASA Security (SASAC) o Implementing Advanced Cisco ASA Security (SASAA) Merke: Eine Cisco Next-Generation Firewall ist eine ASA5500-X, auf der die sogenannten FirePOWER Services aktiviert werden. Für ASA Modelle der 5500 Familie stehen diese Services nicht zur Verfügung. Cisco Partner Security Community https://communities.cisco.com/community/partner/security Hands-On: Das Cisco dCloud Lab Cisco ASA FirePOWER Services Lizenzen zur Evaluierung (45 Tage), Lizenzen für die eigene Testumgebung (90 Tage) und Anleitungen für ein Proof-of-Value (POV): https://communities.cisco.com/docs/DOC-55301 POV Best Practices: https://communities.cisco.com/docs/DOC-55882 Sales: www.cisco.com/go/rsapartner Ein Überblick zu den unterstützten Anwendungen: http://www.sourcefire.com/security-technologies/network-security/app-center

Das Thema Next-Generation Firewall (NGFW) ist ein Thema, welches mittlerweile von fast allen Firewall Herstellern adressiert wird. Es besteht herstellerübergreifend ein Konsens darüber, dass darunter die Evolution der klassischen Firewall und Perimeter Security zu verstehen ist. Allerdings existiert kein offizieller Standard, der den Begriff definiert und entsprechende Funktionen festschreibt. Bei vielen Lösungen stehen die Sichtbarkeit und Kontrolle von Anwendungen und Anwendern, sowie die Point-in-Time Abwehr von Malware im Vordergrund.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt in seinem Dokument BSI-CS 112 (Version 1.00 vom 07.04.2015) den Einsatz von Next- Generation Firewalls in Umgebungen mit normalem Schutzbedarf. Auf Basis dieses

- 62 -

Dokuments lassen sich natürlich Empfehlungen zum Leistungsumfang einer NGFW ableiten.

Cisco erweitert die ASA5500-X Firewall Familie durch die sogenannten FirePOWER Services, die sich aus den Sourcefire FirePOWER Appliances ableiten, die Cisco im Juli 2013 durch den Zukauf von Sourcefire in sein Portfolio aufgenommen hat. Damit können die klassischen Funktionen der ASA (z. B. Cluster, VPN) bedarfsorientiert um Next-Generation Firewall Features erweitert werden.

Abbildung 51: ASA5500-X und FirePOWER Services

Die FirePOWER Services werden auf Basis einer SSD über ein Software Modul zur Verfügung gestellt. Lediglich bei der ASA5585-X handelt es sich um ein Hardware Modul.

Die FirePOWER Services bieten – eine entsprechende Lizenzierung vorausgesetzt – primär die folgenden Features:

- Policies: Access (Anwendungen, URLs, Files ) - Next-Generation IPS - Network AMP und Integration von Endpoint AMP - Identity Policies (z. B. passiv über Agent und Cisco ISE) - SSL Decryption - DNS Security - Security Intelligence - APIs - Analyse (Events, Malware, IPS, User, Hosts ) - Event Correlation -

- 63 -

9.1.1 Management

9.1.1.1 FireSIGHT Management Center Die FirePOWER Services werden zentral über das sogenannte FireSIGHT Management Center (FMC) administriert, wobei über diese Instanz auch das zentrale Monitoring und Reporting erfolgt. Der ASDM ist (noch) für die Administra- tion der durch die ASA bereitgestellten Funktionen wie z. B. VPN erforderlich. Eine Ausnahme bildet aktuell die ASA5506-X, da hier optional die Administration der FirePOWER Services auch über den ASDM erfolgen kann und ein separates FireSIGHT Management Center dann nicht zwingend erforderlich ist.

Abbildung 52: FireSIGHT Management Center

Das FMC wird von Cisco als physische Appliance und als virtuelle Maschine angeboten. Letztgenannter Formfaktor kann für 2, 10 oder 25 Devices lizenziert werden. Dabei ist zu beachten, dass keine Upgrade SKUs angeboten werden. D. h. ein virtuelles FMC für 10 Devices (FS-VMW-10-SW-K9) ist durch 25 Devices (FS- VMW-SW-K9) zu ersetzen, wenn die 10 Device Lizenzen nicht mehr ausreichen.

Über das FireSIGHT Management Center werden nicht nur die Next-Generation Firewall Regelwerke zentral verwaltet. Vielmehr erfolgt hier z. B. auch eine Korrelation von Ereignissen, die dynamische Aktualisierung einer Liste mit auffälligen IP-Adressen (z. B. Command-&-Control), oder auch die über AMP mögliche nachgelagerte Verwaltung und Analyse von potentiellen Malware Files (File Trajectory).

9.1.1.2 Onbox Management Ein FireSIGHT Management Center bietet natürlich die zentrale Verwaltung aller ASA Appliances mit FirePOWER Services, ist aber für einige Kunden eventuell nicht der richtige Start, da es sich um eine zusätzliche Komponente handelt. Aus diesem Grund bietet Cisco mittlerweile für alle Appliances ein Onbox Management an, d. h. das Management erfolgt über den ASDM. Die beiden nachfolgenden Bilder ver- deutlichen diese Integration.

- 64 -

Abbildung 53: FirePOWER Onbox Management (1)

- 65 -

Abbildung 54: FirePOWER Onbox Management (2)

Es ist anzumerken, dass das Onbox Management keine Feature Parität zum FMC hat. Primär aufgrund der Tatsache, dass das Onbox Management nicht auf eine Datenbank aufsetzen kann, werden z. B. eine dynamische File Analyse (Upload von Files), oder auch die Event Korrelation nicht unterstützt. Damit stehen wichtige auf die After Phase des Attack Continuum bezogene Features nicht zur Verfügung.

Wer mit dem Onbox Management startet und die ASA dann später über ein FMC verwalten will, der muss mit Hilfe des Licensing Teams ([email protected]) einen Lizenztransfer einleiten, da die Lizenz dann an den Lizenzschlüssel des FMC gebunden werden muss.

9.1.2 ASDM versus FMC Der aufmerksame Leser wird an dieser Stelle eventuell an den guten alten Faust erinnert: „Zwei Seelen wohnen, Ach! in meiner Brust.“ Während über das FMC die FirePOWER Features (z. B. NGIPS) konfiguriert werden, werden die ASA Firewall Features (z. B. VPN) über z. B. den ASDM administriert. Das nachfolgende Bild verdeutlicht diese operative Herausforderung.

- 66 -

Abbildung 55: FirePOWER Services, ASA Features und FTD

Dieser Bruch ist primär der Tatsache geschuldet, dass Cisco hier im Eiltempo zwei Welten zusammenführen musste (Sourcefire und ASA), die aber letztendlich aus einem Guss sein müssen. Dieser Anforderung will Cisco gerecht werden und hat im März 2016 die FirePOWER Threat Defense (FTD) Services freigegeben. Dabei handelt es sich um ein neues Betriebssystem, das beide Welten vereint und somit die beiden Konfigurationsebenen über das FMC zusammenführt. Es muss allerdings angemerkt werden, dass aktuell noch nicht alle Features der ASA in das neue Betriebssystem integriert sind.

9.1.3 Das Regelwerk Wie bereits erwähnt, unterscheidet sich das FirePOWER Regelwerk stark vom Regelwerk der Core ASA Firewall.

Abbildung 56: Next-Generation Firewall Regelwerk (Beispiel)

- 67 -

IP-Adressen und Portnummern sind nicht mehr die maßgebenden Kriterien. Vielmehr rücken Anwender und Anwendungen in den Vordergrund. Zugelassene Verbindun- gen (Permit) werden mit Hilfe von IPS und File Policies überwacht, so dass eine kontinuierliche Kontrolle gegeben ist. Die Informationen zu den Gruppen und IP- Adressen der Anwender können ohne eine aktive Authentifizierung der Anwender über die Integration eines externen Agenten (FirePOWER User Agent for Active Directory), oder die Cisco Identity Services Engine zur Verfügung gestellt werden.

Als Cisco Partner sollte man auf jeden Fall darauf achten, dass man eine ASA5500-X heute nicht mehr ohne die Vorbereitung zur späteren Lizenzierung von FirePOWER Services verkauft. Über diesen Angang lässt sich nämlich das Thema NGFW zumindest schon in die richtige Spur bringen.

9.2 Cisco AnyConnect Secure Mobility Client

Remote Access Client für SSL und IPSec (IKEv2). Ab der Version 4.0: Lizenzierung nicht mehr abhängig von der Anzahl der zeitgleichen VPN Sessions, sondern auf Basis der Anzahl der Anwender, die den Remote Access Service nutzen sollen. Gute Erklärung des neuen Lizenzmodells im PEC: http://tools.cisco.com/pecx/login?URL=offeringDetail?offeringId=490515__1419354012708 PAK für AnyConnect 4.0 kann mehrmals (!) und für unterschiedliche Hardware Plattformen verwendet werden. Die jeweils generierte Lizenz schaltet auf einer Plattform immer die maximal mögliche Anzahl an AnyConnect Peers frei. Sales: Cisco AnyConnect Ordering Guide http://www.cisco.com/c/dam/en/us/products/security/anyconnect-og.pdf Testen der Lösung: Die Cisco ASA Firewall enthält per Default 2 AnyConnect Verbindungen. Im License Portal (www.cisco.com/go/license) kann eine Apex Lizenz mit einer Laufzeit von 4 Wochen generiert werden.

Der Cisco AnyConnect Secure Mobility Client ist im Rahmen der für PCs/Laptops und mobile Endgeräte heute zu gewährleistende Mobilität ein sehr strategisches Produkt, das zur Kernfunktion – nämlich der Remote Einwahl via SSL, oder IPSec – noch weitere wichtige Funktionen addiert. Dabei kann die Einwahl über Cisco ASA Firewall Appliances, oder auch über Cisco Router erfolgen. Zudem ist auch ein Zusammenspiel mit z. B. den Produkten ISE (Endpoint Compliance), WSA (Single Sign-On) und CWS (Upstream Proxy) möglich.

- 68 -

Abbildung 57: AnyConnect - das schweizer Messer

Der Client wird bis einschließlich Version 3.X auf Basis der pro Einwahlpunkt erforderlichen Anzahl an gleichzeitigen VPN Sessions lizenziert. Zudem ist die Lizenz an die jeweilige Plattform gebunden (z. B. ASA5512-X), unterscheidet zwischen einer Essential und einer Premium Variante und es gibt diverse weitere Features (z. B. AnyConnect Mobile), die separat lizenziert werden müssen. Das ist letztendlich kompliziert und umständlich. Deshalb hat Cisco mit der Version 4.X des Clients ein neues Lizenzmodell eingeführt.

Beim neuen Lizenzmodell sind die Lizenzen unabhängig von der Hardware und richten sich nach der Anzahl der User, die den Remote Access Dienst prinzipiell nutzen können, d. h. ihn zur Verfügung gestellt bekommen. Damit werden die Themen Planung (Dimensionierung) der Hardware und Planung der Anzahl an VPN Usern voneinander entkoppelt. In die Praxis übersetzt bedeutet das, dass man einen AnyConnect 4.X PAK für 25 User unter http://www.cisco.com/go/license mehrmals zur Ausstellung von Lizenzen für verschiedene ASA 5500-X Plattformen nutzen kann. Der folgende Screenshot aus dem Licensing Tool (www.cisco.com/go/license) verdeutlicht diese Aussage. Die Lizenz L-AC-APX-S-5Y-25 wurde schon für eine ASA eingelöst. Die Lizenz ist damit allerdings nicht vollständig aufgebraucht, sondern kann noch 99998x eingelöst werden.

- 69 -

Abbildung 58: Die Entkopplung von Hardware und Lizenz

Es soll an dieser Stelle nicht unerwähnt bleiben, dass die Lizenzen auch weiterhin an die Seriennummer der ASA gebunden werden. Die zu erzielende Entkopplung von Hardware und Lizenzen erreicht Cisco dadurch, dass die Lizenz insgesamt 99999x eingelöst werden kann.

Jeder so generierte Lizenzschlüssel schaltet die auf der jeweiligen Hardware maximal unterstützte Anzahl an gleichzeitigen VPN Verbindungen frei. Das unter- streicht noch einmal, dass die Anzahl der gleichzeitigen User mit Blick auf die Lizenzierung nicht mehr maßgebend, sondern lediglich eine technische Limitierung der Hardware sind. In unserem Beispiel (SKU für 25 User) gilt nun die folgende einfache Spielregel: Über alle so mit einer Lizenz versehenen ASA Firewall Appliances hinweg darf der Remote Access Dienst nicht mehr als 25 Usern zur Verfügung gestellt werden.

Cisco bietet zwei verschiedene Lizenzvarianten an:

Lizenzvariante Kurzbeschreibung Plus Variante A: dauerhafte Lizenz Variante B: Subscription (1, 3 oder 5 Jahre) Support nicht enthalten (muss separat bestellt werden) Primäre Features: o Network VPN (inkl. mobiler Endgeräte) o 802.1X Client o Cloud Web Security Client Apex Subscription (1, 3 oder 5 Jahre) Support enthalten Primäre Features: o Alle Plus Features o Clientless (Browser) VPN o Posture Agent (ASA) o Posture Agent (Cisco ISE) o Network Visibility Tabelle 11: Cisco AnyConnect, Plus vs. Apex - 70 -

Das nachfolgende Bild zeigt den AnyConnect Client in „voller“ Ausbaustufe.

AnyConnect Modul Der klassische SSL-/IPSec Client.

Network Access Module (NAM) Ein Enterprise 802.1X Supplicant.

Web Security Modul Der Cloud Web Security Connector.

System Scan Modul Der integrierte ISE Posture Agent.

Abbildung 59: Cisco AnyConnect Secure Mobility Client

Mit Blick auf die hier zur Verfügung stehenden Funktionen wird klar, dass der Cisco AnyConnect Secure Mobility Client ein tragender Bestandteil der Cisco Security Lösung ist, über den nicht nur das klassische Remote Access Thema adressiert werden kann. Vielmehr bietet der Client auch Antworten auf Fragen, die sich aus den heutigen Sicherheitsanforderungen an dieses Thema ableiten. Cisco wird den Client auch um den FireAMP Client erweitern und somit eine direkte Bindung an das Cisco Attack Continuum schaffen.

Mit Blick auf das Thema Sichtbarkeit können vor dem Kontext der Mobilität natürlich auch folgende Fragen aufkommen:

Welches Endgerät nutzt der Anwender? Auf welche Cloud-Dienste greift er zu? Welche Anwendungen nutzt er? Wo befindet sich der Anwender?

Der gläserne mobile Anwender? In der Tat, denn Cisco hat den AnyConnect Client in der Version 4.2 um ein sogenanntes Network Visibility Modul (NVM) ergänzt. D. h. der Anyconnect Client kann über sogenannte vzFlows (das ist das um weitere Felder erweiterte IPFIX Protokoll, RFC7011) Informationen zum Anwender, zum Endgerät, zu den Anwendungen, zu den Zielen und zur Lokation zur Verfügung stellen. Diese Informationen können z. B. von Prime Infrastructure, von einem Plugin für Splunk Enterprise, oder auch von Lancope (von Cisco im Dezember 2015 gekauft) aus- gewertet und aufbereitet werden.

- 71 -

Abbildung 60: Cisco NVM und Splunk

9.3 Cisco Meraki MX Appliances Administration und Verwaltung der Appliances über das Meraki Dashboard: https://account.meraki.com/secure/login/dashboard_login Das Meraki Dashboard ist mandantenfähig (MSP Dashboard). Testen der Lösung: NFR Equipment, Teststellung Anspruchsvolle Features kombiniert mit einfacher Konfiguration. 2 Lizenzvarianten: o Enterprise o Advanced Security (IDS, Content Filter, Anti-Virus & Anti-Phishing) Alle Lizenzen haben eine Laufzeit (z. B. 3 Jahre). Es gibt keine permanenten Lizenzen. Nicht lizenzierte Hardware ist quasi wertlos, da sie nicht funktionsfähig ist.

Mit der sogenannten MX Serie bietet Cisco physische Firewall Appliances, die – wie es für die Meraki Lösungen üblich ist – über die Cloud administriert und verwaltet werden. Nicht nur die Inbetriebnahme, sondern auch Konfiguration der Geräte ist extrem einfach gehalten, wobei dennoch sehr anspruchsvolle Funktionen zur Verfügung gestellt werden. Letztgenanntes bedeutet aber auch, dass die Konfiguration keinen großen Spielraum für Anpassungen mit Hilfe von diversen Konfigurationsvarianten bietet, da dadurch die Konfiguration natürlich wieder komplex werden würde. So kann z. B. über ein Drop-Down Menü festgelegt werden, welche verfügbare MX Appliance zentraler VPN Terminierungspunkt werden soll. Alle anderen registrierten MX Appliances bauen dann automatisch einen Site-2-Site VPN Tunnel zu dieser Appliance auf. Diese Konfiguration ist einfach und schnell zu erstellen, zumal selbst der erforderliche Pre-Shared Key automatisch festgelegt wird. Die Möglichkeit mit Zertifikaten zu arbeiten ist hier jedoch nicht gegeben.

- 72 -

Abbildung 61: Cisco Meraki Security Appliance MX80

Wenn die MX Appliances zusätzlich noch mit einer Advanced Security Lizenz ausgestattet sind, dann steht auch eine Intrusion Detection auf Basis von Sourcefire zur Verfügung.

Der Ausschnitt aus dem Konfigurationsmenü zeigt, dass die Aktivierung des IDS Rule Sets (IDS Signaturen) extrem einfach ist. Allerdings kann das aktive Signatur Set nicht – wie das z. B. bei den FirePOWER Services möglich ist – manuell ange- passt, oder sogar um eigene Signaturen erweitert werden.

Diese kurze Einführung verdeutlicht, dass die MX Appliances das Cisco Security Portfolio lediglich um eine Implementierungsvariante ergänzen. In Abgrenzung zur Cisco ASA mit FirePOWER Services spricht Cisco hier bewusst von einer UTM- Lösung. Die Entscheidung für eine Cisco UTM-Lösung ist maßgeblich durch die fol- genden Punkte geprägt ist:

Der Kunde akzeptiert eine Lösung, deren Administration und Verwaltung über die Cloud erfolgt. Inbetriebnahme, Konfiguration und Betrieb müssen extrem einfach sein. Es sind professionelle Funktionen gefragt, wobei in der entsprechenden Umge- bung aber akzeptiert werden kann, dass aufgrund der angestrebten Reduzierung der Komplexität die Funktionen in vielen Fällen als Konfektionsware ausgelegt sind und der Kunde somit keinen Maßanzug erhalten kann.

- 73 -

9.4 Content Security Abhängig von den Anforderungen des Kunden kann es natürlich sein, dass eine Firewall ein zu generischer Ansatz zur Kontrolle der Kommunikation ist. D. h. es sind Kontrollmechanismen gefragt, die auf ganz bestimmte Kommunikationsvarian- ten zugeschnitten sind. Cisco klassifiziert dies als Content Security und bietet hier die folgenden Lösungen an:

Email Security Appliance Web Security Appliance Security Management Appliance Cisco Cloud Web Security

9.4.1 ESA – Email Security Appliance

Offizielle Schulungen zum Thema Cisco ESA: o Securing Email with Cisco Email Security Appliance (SESA) Cisco Partner Security Community https://communities.cisco.com/community/partner/security Hands-On: Das Cisco dCloud Lab Cisco Email Security Appliance Formfaktor: virtuelle und physische Appliance. Lizenzen zur Evaluierung (45 Tage) für virtuelle Appliance: www.cisco.com/go/license Get Other Licenses Demo and Evaluation Security Products Cisco Virtual Appliance Demo License Zentrale Dienste (Reporting, Spam/Policy/Virus Quarantäne und Message Tracking) können über eine Security Management Appliance bereitgestellt werden. Kleinste Lizenzierung: 100 User (Preisband 100 bis 199 User). Kleinste Appliance: ESA-C190-K9 Ordering Guide: Ordering Guide: http://www.cisco.com/c/en/us/products/collateral/security/email-security- appliance/guide-c07-736692.pdf

Mit der Cisco Email Security Appliance (ESA) wird das Thema Mail Security adressiert. Es handelt sich hier also um eine dedizierte Security Lösung (MTA: Mail Transfer Agent), über die die Mailkommunikation von und zum internen Mail- server überwacht wird. Neben den für eine solche Lösung typischen Features wie z. B. Reputationsfilter, Mailfilter zur Umsetzung von Richtlinien (z. B. entferne den Anhang einer Mail, wenn es sich um eine ausführbare Datei handelt), oder auch Virenscanner kann hier auch AMP lizenziert werden, so dass auch an diesem auf Mails beschränkten Zugangspunkt dem Security Paradigma „Before, During, After“ entsprochen werden kann.

Wenn z.B. aus Gründen der Redundanz mehrere Appliances eingesetzt werden, so können diese zu einem Konfigurationscluster verschaltet werden. Das bedeutet, dass auf einer Maschine Konfigurationsänderungen auf dem Cluster Level vorge- nommen werden können und diese dann automatisch an alle Mitglieder des Clusters vererbt werden. Damit ist die Lösung mit Blick auf ein zentrales Konfigurations- management aus technischer Sicht nicht auf eine zentrale Management Appliance angewiesen.

- 74 -

Die Mail Security Lösung kann um eine Security Management Appliance (SMA) erweitert werden. Es handelt sich dabei um eine physische, oder auch virtuelle Appliance, welche den Email Security Appliances die folgenden zentralen Dienste zur Verfügung stellen kann:

Zentrale Reports Zentrale Quarantäne (Spam, Policy, Virus) Zentrales Message Tracking

Cisco bietet die grundlegenden Funktionen (Anti-Spam, Sophos, VOF, DLP und Encryption) der Email Security Appliance als Bundles an, wobei es Optionen wie z. B. McAfee, AMP oder Graymail Safe-Unsubscribe gibt, die einzeln dazu gebucht werden können.

Interessant ist auch zu wissen, dass Cisco jedem Bundle „indirekt“ eine Lizenz für die virtuelle Email Appliance beilegt, die bedarfsorientiert auf beliebig vielen virtuellen Maschinen installiert werden darf. In der Summe darf ein Kunde über alle Maschinen hinweg nicht die Anzahl an lizenzierten Mailboxen überschreiten. Die Anzahl der lizenzierten Mailboxen sollte vom Partner mit jeder Verlängerung der Lizenzen hinterfragt werden.

9.4.2 WSA – Web Security Appliance

Offizielle Schulungen zum Thema Cisco WSA: o Securing the Web with Cisco Web Security Appliance (SWSA) Cisco Partner Security Community https://communities.cisco.com/community/partner/security Hands-On: Das Cisco dCloud Lab Cisco Web Security Appliance Formfaktor: virtuelle und physische Appliance. Lizenzen zur Evaluierung (45 Tage) für virtuelle Appliance: www.cisco.com/go/license Get Other Licenses Demo and Evaluation Security Products Cisco Virtual Appliance Demo License Zentrale Dienste (Konfiguration, Web Tracking, Reporting) können über eine Security Management Appliance bereitgestellt werden. Kleinste Lizenzierung: 100 User (Preisband 100 bis 199 User). Kleinste Appliance: WSA-C190-K9 Ordering Guide: http://www.cisco.com/c/en/us/products/collateral/security/cloud-web- security/guide-c07-736675.pdf

Mit der Cisco Web Security Appliance (WSA) wird das Thema Web Security adressiert. Es handelt sich hier also um eine dedizierte Security Lösung (Proxy), über die die Webkommunikation (http, https, ftp) überwacht wird. Neben den für eine solche Lösung typischen Features wie z. B. Reputationsfilter, Regeln zur Umsetzung von Richtlinien (z. B. Anwender der AD Gruppe Auszubildende dürfen während der Arbeitszeit nur Business relevante Webseiten aufrufen), oder auch Virenscanner kann hier auch AMP lizenziert werden, so dass auch an diesem auf http, https und ftp beschränkten Zugangspunkt dem Security Paradigma „Before, During, After“ entsprochen werden kann.

- 75 -

Wie für eine Proxy Lösung üblich, kann eine WSA explizit (d. h. direkte Ansprache durch die Clients) und transparent (d. h. Umleitung der Kommunikation vom Client zur WSA über die Netzwerkinfrastruktur mit Hilfe von WCCP) in das Netzwerk integriert werden.

Die WSA verfügt im Vergleich zur ESA über kein durch den Aufbau eines Clusters gesteuertes Konfigurationsmanagement. Werden mehrere Web Security Appliances eingesetzt, dann ist ein zentrales Konfigurationsmanagement nur mit Hilfe einer Security Management Appliance (SMA).

Cisco bietet die grundlegenden Funktionen (WUC: URL Filtering/AVC, Web Reputation, Sophos und Webroot) der Web Security Appliance als Bundles an, wobei es Optionen wie z. B. McAfee, AMP oder Cognitive Threat Analytics gibt, die einzeln dazu gebucht werden können.

Interessant ist auch zu wissen, dass Cisco jedem Bundle „indirekt“ eine Lizenz für die virtuelle Web Appliance beilegt, die bedarfsorientiert auf beliebig vielen virtuellen Maschinen installiert werden darf. In der Summe darf ein Kunde über alle Maschinen hinweg nicht die Anzahl an lizenzierten Usern überschreiten. Die Anzahl der lizen- zierten User sollte vom Partner mit jeder Verlängerung der Lizenzen hinterfragt werden.

9.4.3 CWS – Security Software-as-a-Service

Offizielle Schulungen zum Thema Cisco CWS: o Kein dediziertes Training, aber z. B. Bestandteil des Trainings Implementing Cisco Threat Control Solutions (SITCS) Cisco Partner Security Community https://communities.cisco.com/community/partner/security Hands-On: Das Cisco dCloud Lab Cisco Cloud Web Security on ASA Connector Lizenzen zur Evaluierung: Nein, nur NFR möglich. Informationen zu den Cloud Web Security Connectoren: http://lmgtfy.com/?q=cloud+web+security+configuration+guides Testen der eigenen, aktuellen CWS Policies: http://policytrace.scansafe.net Mindestabnahme: 25 Seats (Preisband: 25 bis 199 Seats) Laufzeiten: 1, 3 oder 5 Jahre

Wer beim Thema Web Security eine Lösung für mobile Mitarbeiter, bzw. auch zur stationären Nutzung ohne lokale Installation einer physischen, oder virtuellen WSA Appliance sucht, dem bietet die Cisco Cloud Web Security (CWS) Lösung eine passende Antwort. Der CWS Service ist als Upstream Proxy zu verstehen, d. h. wenn man diesen Service nutzen möchte, dann muss der Aufruf einer Web- seite an einen Proxy in der Cloud weitergegeben werden. Diese Weitergabe erfolgt durch einen sogenannten Connector, der die HTTP/HTTPS-Anfragen an den CWS-Dienst weiterleitet, bzw. über die Proxy Einstellungen im Web Browser der Clients. Es existieren CWS Connectoren für die folgenden Cisco-Produkte:

ASA Firewall (5500 und 5500-X Generation) Integrated Service Router der Generation 2 (ISR G2) Web Security Appliance AnyConnect Secure Mobility Client

- 76 -

Abbildung 62: Einbindung des Cloud Web Security Service

Die Security Services (URL Filter, File Filter, Advanced Malware Schutz) werden über ein Dashboard verwaltet, welches der Administrator über einen Web Browser aufrufen kann.

Ein wesentlicher Bestandteil der Lösung sind die Reports (WIR: Web Intelligence Reports), die sehr gut aufbereitet sind. Zudem stellt Cisco eine große Anzahl an vordefinierten Reports zur Verfügung. Das folgende Bild zeigt ein Beispiel, wobei Cisco das Dashboard aktuell umstellt und dieses Bild noch der Version 1.0 des Dashboards entspricht.

Abbildung 63: CWS Dashboard (Version 1.0)

- 77 -

9.5 Mobile Device Management Der Meraki System Manager (SM) ist eine über die Cloud gesteuerte MDM Lösung. Testen der Lösung: https://meraki.cisco.com/de/form/systems-manager-signup Kostenfreie, dauerhafte Nutzung für bis zu 100 Devices. Eigenständige Lösung, aber auch Integration in das zentrale Access Policy Management der Cisco ISE möglich.

Seit dem Zukauf von Meraki verfügt Cisco auch über eine MDM Lösung, die in der aktuellen Version des sogenannten System Managers aufgrund von drei Gründen für große Aufmerksamkeit sorgt: a) Ohne Anspruch auf Support können über diese Lösung bis zu 100 Endgeräten kostenfrei verwaltet werden. b) Es ist eine Integration in ein zentrales Access Policy Management möglich, das bei Cisco durch die Cisco ISE (Identity Services Engine) umgesetzt wird. c) Die Lösung wurde mit Blick auf die innerhalb einer MDM Policy kontrollierbaren Funktionen stark erweitert. Das nachfolgende Bild zeigt einen kleinen Ausschnitt davon.

Abbildung 64: Über eine MDM Policy kontrollierbare Parameter (Ausschnitt)

- 78 -

Die MDM Lösung unterstützt die Betriebssysteme iOS, Android, Windows, Mac OS, Windows Phone und Chrome OS. Wie für die Cisco Meraki Lösungen üblich, handelt es sich auch hier um eine Cloud Managed Lösung, deren Administration über das bekannte Dashboard erfolgt. Damit ist auch eine direkte Interaktion mit dem mobilen Endgerät möglich, d. h. man kann z. B. über das Dashboard den Befehl zum vollständigen Löschen (Erase Device) absetzen.

Abbildung 65: Ad-hoc Kommunikation mit dem mobilen Endgerät

Das nachfolgende Bild zeigt, welche Informationen die Cisco ISE über MDM beziehen und in den Access Policies verarbeiten kann. Die ISE speichert diese Attribute in einem sogenannten MDM Dictionary.

Abbildung 66: ISE – MDM Parameter

Damit ist es z. B. möglich, dass die ISE den Netzwerkzugang verwehrt, obwohl ein Anwender sich ordentlich authentifizieren kann, sein mobiles Endgerät aber leider „jailbroken“ ist. Es ist allerdings auch möglich, dass die ISE – ähnlich wie dies über das Meraki Dashboard möglich ist – Anweisungen an die MDM Lösung übergibt.

- 79 -

Abbildung 67: ISE – Screen Lock Anweisung

Unser einfaches Beispiel zeigt, wie ausgehend von der Device Datenbank der Cisco ISE der Befehl „PIN Lock“ an das mobile Endgerät übergeben wird und kurze Zeit später auf dem mobilen Device der Sperrbildschirm zu sehen ist.

9.6 OpenDNS: Sicherheit über den DNS Layer

OpenDNS Partner Portal https://communities.cisco.com/docs/DOC-64565 Partner Sales Training und Test (COLT) https://communities.cisco.com/docs/DOC-64379 Partner Technical Training und Test (COLT) https://communities.cisco.com/docs/DOC-64391 OpenDNS Umbrella Dashboard https://dashboard.opendns.com

Bei OpenDNS handelt es sich um eine Cloud gestützte Sicherheitslösung, die Cisco im August 2015 zur Erweiterung des Security Portfolios gekauft hat. Die Lösung basiert auf der Tatsache, dass DNS ein zentraler Dienst ist, der in der Regel für jede Kommunikationsbeziehung benötigt wird, auch wenn diese von Malware ausgelöst wird. OpenDNS ist im Kern ein rekursiver DNS-Dienst und kann damit sehr einfach eingebunden werden: Die DNS-Anfragen eines privaten Netzes, oder eines Unter- nehmens müssen an eine der beiden OpenDNS IP-Adressen 208.67.220.220 und 208.67.222.222 geschickt werden.

- 80 -

Abbildung 68: OpenDNS – ein rekursiver DNS-Dienst

Sobald man die OpenDNS Server verwendet, profitiert man sofort von deren Verfüg- barkeit und der Tatsache, dass es sich hier nicht nur um 2 Server handelt. Es sind vielmehr mehrere weltweit verteilte DNS-Server, die über die beiden oben auf- geführten Anycast Adressen erreichbar sind. Damit ist sichergestellt, dass immer der nächste DNS-Server die DNS-Anfrage erhält, was letztendlich die Antwortzeiten optimiert.

Abbildung 69: OpenDNS – weltweit verteilte DNS Server

Aber welchen Mehrwert hat die Verwendung dieser Server mit Blick auf das Thema Sicherheit? Welche Rückschlüsse lassen sich aus den DNS Anfragen ableiten und vor was schützt uns OpenDNS?

OpenDNS besteht aus 3 wichtigen Technologiesäulen:

(1) OpenDNS Global Network

Dieses Netzwerk ist die Grundlage für den rekursiven DNS-Dienst, den OpenDNS aktuell mehr als 65 Millionen privaten und Enterprise Kunden anbietet. Dies führt zu 80 Milliarden DNS-Anfragen pro Tag. Ein direktes BGP-4 Peering mit den

- 81 -

wichtigsten Content Delivery Networks und Providern stellt die Effizienz dieses Netzwerks sicher.

(2) Umsetzung von Security Policies (Enforcement)

Mit Hilfe des Produkts Umbrella werden die Sicherheitsrichtlinien durchgesetzt (z. B. blocken von Verbindungen zu bestimmten Domänen, Malware Zielen, Botnets oder Phishing Webseiten). Umbrella blockt weltweit mehr als 80 Millionen schadhafte Anfragen pro Tag. Da OpenDNS für mobile Endgeräte einen sogenannten Roaming Client anbietet, können die Sicherheitsanforderungen zu jeder Zeit (Anytime) und an jedem Ort (Anywhere) durchgesetzt werden.

Natürlich macht Umbrella diese Aktivitäten in Form von Reports und mit ent- sprechenden Filtern auch sichtbar.

Abbildung 70: OpenDNS – Reports

Über Umbrella können somit die Phasen Before und During des Attack Continuum adressiert werden. Das Produkt wird in 3 Feature Staffelungen angeboten:

- Professional (Basic) - Insights - Platform

(3) Threat Intelligence

Das Produkt Investigate ist eine Datenbank, die die Verknüpfung von Domänen, IP-Adressen und AS-Nummern im Internet darstellen kann und mit z. B. Whois Record, Geolocation, ASN Attributen, IP Reputation, oder DNS Informationen korreliert. Mit Hilfe von statistischen Modellen können automatisiert schadhafte Domänen und IP-Adressen ermittelt werden. Investigate stellt diese Informationen über ein User Interface und eine API zur Verfügung. Letztgenannte ermöglicht natürlich die Integration von anderen Security Lösungen.

- 82 -

Über Investigate können somit die Phasen Before und After des Attack Continuum adressiert werden. Das Produkt wird in 3 Feature Staffelungen angeboten:

- Umbrella Platform (beinhaltet Zugang zur Investigate Console) - Console (Web UI) - API Add-On (Add-On zu Investigate Console oder Umbrella Platform)

Es ist davon auszugehen, dass Cisco die OpenDNS Lösung in 2016 zunehmend in bestehende Produkte integriert. Eine einfache Integration ist natürlich die Ver- wendung der OpenDNS Server durch z. B. die Meraki MX Appliances. Aber auch der Zugriff auf die über Investigate zur Verfügung gestellten Informationen können den bestehenden Security Appliances wie z. B. der ASA mit FirePOWER Services wertvolle Informationen liefern.

9.7 ISE

ISE offizielle Schulungen: Implementing and Configuring Cisco Identity Services Engine (SISE) ISE Express: http://www.cisco.com/go/iseexpress ISE Express SKU: R-ISE-GST-BUN-K9 ISE Express Wizard: https://www.youtube.com/watch?v=BxKJEGqB8h8 ISE Portal Builder: https://isepb.cisco.com (Login mit CCO ID) ISE Know-how: https://communities.cisco.com/docs/DOC-63856 (Inhalte des ehemaligen ATP Portal) ISE BYOD, Guest und Location Based Services: https://dcloud- cms.cisco.com/demo/cisco-ise-2-0-for-byod-and-guest-management-sandbox-v1 1ISE (3rd Party) Integration: http://www.securview.com/products/cisco-ise-deployment-assistant/ ISE Technical Alliance Partner: https://www.cisco.com/c/en/us/products/security/partner-ecosystem.html ISE Ordering Guide: http://www.cisco.com/c/dam/en/us/products/collateral/security/identity-services- engine/guide_c07-656177.pdf

Die Cisco Indetity Services (ISE) ist vor dem Kontext einer automatisierten Zugangs- kontrolle im Portfolio von Cisco sicherlich eines der strategischen Security Produkte. Sie ist ein RADIUS Server der nächsten Generation und damit mit Blick auf den Funktionsumfang, die Skalierung und die Administration nicht vergleichbar mit z. B. dem sicherlich sehr bekannten, aber mit weniger Funktionen ausgestatteten FreeRADIUS der Open Source Community. Mit dem Release 2.0 stellt die ISE für die Administration von z. B. Routern und Switches auch einen TACACS+ Service zur Verfügung.

Sobald ein Endgerät mit dem Netzwerk verbunden wird (z. B. drahtlos, oder draht- gebunden), startet das Access Device (z. B. der WLAN Controller) die RADIUS Kommunikation mit dem RADIUS Dienst der ISE. Die ISE kann diesen Zugang mit Informationen anreichern. D. h. sie stellt den Zugang vor einen Kontext und trifft auf dieser Basis die Entscheidung, ob und in welcher Form dem Device der Zugang zum Netzwerk gewährt werden soll. Nachfolgend sind ein paar einfache Beispiele aufgeführt, die den sicherlich in diesem Zusammenhang sehr abstrakten Begriff „Kontext“ motivieren sollen.

- 83 -

Informationsquelle Information (Beispiele) Active Directory Gruppenzugehörigkeit MDM MDM registriert, Jailbreak pxGrid Blacklist, Threats (Rapid Threat Containment) Device Agent Compliant Probes Device (z. B. iPhone, Android Phone) Gast Portal Gast Tabelle 12: ISE: Kontext

Abbildung 71: Cisco Identity Services Engine

Die ISE steht als physische und als virtuelle Appliance zur Verfügung. In einem größeren Setup können mehrere ISE Appliances eingesetzt werden, wobei die Administration immer über ein zentrales Management Interface erfolgt. Die sehr umfangreichen Features der ISE sind über verschiedene Lizenzpakete (Base, Plus, Apex, Mobility etc.) gebündelt, so dass die Lösung beim Kunden auch schrittweise ausgebaut werden kann. Die genauen Informationen zu den Lizenzen können dem aktuellen Cisco Identity Services Engine entnommen werden.

Da Cisco mit der ISE das Thema „Kontext“ in den Vordergrund rückt, muss die ISE sehr viele Schnittstellen (LDAP, RADIUS, NDES, pxGrid etc.) zu anderen Systemen und Lösungen haben. Dadurch spielen im Rahmen der Positionierung und tech- nischen Umsetzung einer ISE Lösung natürlich auch die Themen Know-how und Beratung eine entscheidende Rolle. Das ist sicherlich ein Grund dafür, warum die vollständige Lösung (d. h. LAN und WLAN Access) ursprünglich nur von ISE ATP zertifizierten Partnern implementiert werden durfte. Diese Hürde existiert mittlerweile nicht mehr: Das ISE ATP endete im Februar 2016.

Mittlerweile versucht Cisco den Weg in Richtung ISE auch für kleinere Setups zu ebnen, bei denen grundlegende RADIUS Funktionen (z. B. 802.1X mit VLAN Zuweisung) und eine flexible Gast Lösung benötigt werden. Für 2.500,00 $ bietet

- 84 -

Cisco die ISE Express Lösung (R-ISE-GST-BUN-K9=) mit einer virtuelle Appliance und 150 Device Lizenzen an. Flankiert wird dieses Angebot von einem sehr einfach zu folgenden ISE Express Installation Guide (Dokument) und einem ISE Express Wizard (Software Tool), die im Zusammenspiel eine schnelle und problemlose Inbetriebnahme der Gastlösung ermöglichen.

Das folgende Bild zeigt die geführte Vorbereitung des Wireless LAN Controllers mit Hilfe des Wireless Controller Setup Wizard, sowie die anschließend geführte Konfiguration der Gastlösung mit Hilfe des ISE Express Wizard.

Abbildung 72: ISE Express: der schnelle Weg zur Gastlösung

Wenn sich ein Gast mit der Gast SSID verbindet, dann leitet der Wireless LAN Controller den Web Browser des Gastes auf das Gast Portal der ISE um. Die Gast Accounts werden über das sogenannte Sponsor Portal der ISE angelegt und verwaltet.

- 85 -

Abbildung 73: ISE Express: Gast Portal

Damit der professionelle Auftritt sich auch im Design des Gastportals widerspiegelt, bietet Cisco in Verbindung mit der ISE Express auch die kostenlose Nutzung des Online ISE Portal Builders (isepb.cisco.com) an.

Abbildung 74: ISE Portal Builder 10 Fallbeispiel

Die Mitglieder der ASA5500 Familie sind abgekündigt. Der Support endet im September 2018. Die Anforderungen an das Thema Firewall haben sich verändert. Next- Generation Firewalls werden zur strategischen Security Investition. Malware hat ein enormes Bedrohungspotential.

Wenn ein Kunde noch Firewalls der ASA5500 Familie einsetzt, dann ist damit der Grundstein für die Planung von anstehenden Investitionen gelegt:

Cisco stellt 2018 den Support für die ASA5500 Familie ein. Die ASA5500 Familie kann nicht zu einer NGFW mit Advanced Malware Protection aufgerüstet werden. Vielen Kunden ist damit das Feature Set der ASA nicht mehr ausreichend, bzw. bietet ihnen keine Migrationsmöglichkeiten. Bei den Mitgliedern ASA5505 und ASA5510 sind vielen Kunden die Interfaces mittlerweile ein Dorn im Auge, da diese bei der ASA5505 nur 100 Mbps und bei der ASA5510 teilweise nur 100 Mbps unterstützen. - 86 -

Es ist an dieser Stelle wichtig zu betonen, dass das Gespräch mit den Kunden zeitnah gesucht wird, denn die oben aufgeführten Punkte werden von anderen Herstellern genutzt, um ihre Produkte ins Spiel zu bringen.

Setzt der Kunde schon ein Firewall Produkt ein, welches ihm NGFW Funktionen zur Verfügung stellt, dann ist ein direkter Vergleich von Funktionen mit der Cisco Lösung oft mühsam und eventuell auch nicht zielführend. Hier liefern beispiels- weise die folgenden Punkte eine Diskussionsgrundlage:

AMP Features der Core ASA Firewall (z. B. Remote Access via Cisco AnyConnect Client) Möglichkeiten der Integration: z. B. ISE Cisco als Marke (etablierter, gefestigter und visionärer Hersteller) Unabhängig von der Ausgangssituation darf das Potential eines Proof-of-Value (POV) nicht unterschätzt werden, denn andere Hersteller nutzen diese Maßnahmen als strategisches Instrument und öffnen sich damit sehr erfolgreich die Tür zum Kunden. Deshalb unterstützt Cisco die Partner mit einem ausführlich doku- mentierten POV (Beschaffung von Evaluierungslizenzen, Dokumentation) und bietet im Rahmen dieses POVs auch vorgefertigte Skripte, über die der Partner seinem Kunden nach Ablauf der Teststellung aufbereitete Risiko Reports für Netz- werk, Malware und Angriffe zur Verfügung stellen kann.

11 CCW Konfiguration

Die ASA FirePOWER Services konfiguriert man am einfachsten über die Top Level SKU ASA55XX-FPWR-BUN (z. B. ASA5512-FPWR-BUN). Der Zusatz FPWR in einer Artikelnummer signalisiert, dass das entsprechende ASA Modell für die FirePOWER Services vorbereitet ist. D. h. die ASA wird mit einer SSD Karte ausgeliefert und die Control Lizenz liegt bei. Bei der ASA5506-X können die FirePOWER Services auch über den ASDM administriert werden. In diesem Fall ist kein zentrales FireSIGHT Management Center erforderlich. Denken Sie bitte immer auch an das Thema Service (SmartNet oder SmartCare).

Ordering Guide: http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-x-series-next- generation-firewalls/guide-c07-732249.html Shortcut CCW: www.cisco.com/go/ccw

Nachfolgend wird am Beispiel einer ASA5512-X gezeigt, wie leicht sich die Bill-of- Material (BOM) für eine ASA FirePOWER Lösung mit Hilfe des Cisco Commerce Workspace (CCW) konfigurieren lässt. Es ist hier zu empfehlen, dass Sie für Ihre Konfiguration die Top Level SKU des jeweiligen ASA Modells (hier: ASA5512- FPWR-BUN) verwenden.

- 87 -

Abbildung 75: Die FirePOWER Top Level SKU

Der Vorteil einer Konfiguration auf Basis der Top Level SKU besteht darin, dass Ihnen über den Link Select Options nun alle Positionen aufgezeigt werden, die für eine vollständige Konfiguration der Lösung erforderlich sind. Dazu zählen natürlich die physische Appliance, sowie der zugehörige Service. In unserem Beispiel wird ein SmartNet Vertrag (d. h. ein Cisco Branded Service) mit 8x5xNBD als Service Level und einer Laufzeit von 3 Jahren gewählt.

Abbildung 76: ASA55XX-FPWR-K9

Wenn Sie eine ASA konfigurieren möchten, für die im ersten Schritt noch keine FirePOWER Services benötigt werden, dann ist zu empfehlen, dennoch das Modell zu wählen, welches für diese Services vorbereitet ist. Dies wird über den Zusatz FPWR in der Artikelnummer signalisiert (z. B. ASA5512-FPWR-K9). Diese Modelle verfügen über die erforderliche SSD Karte und Control Lizenz und sind damit schon für ein Aufsetzen der FirePOWER Services vorbereitet. Wird eine ASA ohne diese Vorbereitung bestellt (z. B. ASA5512-K9), dann müssen – wenn die FirePOWER Services zu einem späteren Zeitpunkt interessant werden – SSD Karte und Control Lizenz nachbestellt werden, was sich mit Blick auf die Gesamtkosten als nachteilig erweist.

Im nächsten Schritt wählen Sie – abhängig vom gewünschten Service – die benötigte Lizenz (Subscription) und das für das zentrale Management notwendige FireSIGHT Management Center (FMC). Letztgenanntes ist für eine ASA5506-X optional, da die FirePOWER Services hier auch über den ASDM administriert werden können (On- Box Management). Deshalb wird Ihnen bei einer ASA5506-X an dieser Stelle das

- 88 -

FMC nicht angeboten. Das FireSIGHT Management Center wird auf Basis der zu administrierenden Devices lizenziert, weshalb bei einem üblichen Active/Standby Setup die virtuelle Appliance mit 2 Lizenzen ausreichend ist. Es sollte bei dieser Entscheidung aber berücksichtigt werden, dass es aktuell keine Upgrade SKU gibt und somit diese FMC Variante auf maximal 2 Devices beschränkt bleibt.

Abbildung 77: FirePOWER Lizenz und FireSIGHT Management Center

Das nachfolgende Bild zeigt Ihnen alle verfügbaren Lizenzen, sowie die darin enthaltenen Features auf:

Abbildung 78: FirePOWER Lizenzen

Mit der Wahl der Lizenz und dem FireSIGHT Management Center (FMC) ist Ihre Konfiguration abgeschlossen.

- 89 -

Abbildung 79: FirePOWER – vollständige Konfiguration

Über den Link Change Options können Sie noch bequem das jeweilige ASA Modell konfigurieren. Im einfachsten Fall legen Sie hier über die Country Specification noch implizit die Variante des Kaltgerätesteckers fest. Sie können aber z. B. auch noch die benötigten SSL VPN Lizenzen, oder bei einer ASA5512-X auch die Security Plus Lizenz hinzufügen, welche für eine HA Lösung (z. B. zwei ASA Appliances in einer Active/Standby Konfiguration) erforderlich ist.

Abbildung 80: CCW – Konfiguration ASA5512X mit FirePOWER Services

- 90 -

In den meisten Setups ist es sicherlich auch gewünscht, dass über die ASA auch eine Remote Einwahl erfolgen kann. In diesem Fall werden noch AnyConnect SSL User Lizenzen benötigt (z. B.: AC-PLS-P-25-S: zeitlich unbegrenzte AnyConnect Plus Lizenz für 25 mögliche Remote Access User). Dabei ist zu beachten, dass mit dem neuen Lizenzmodell ein PAK mehrmals und für unterschiedliche Hardware Plattformen eingelöst werden kann. In der Summe darf aber die Anzahl der lizen- zierten User (im Beispiel 25) nicht überschritten werden.

12 Fragen und Antworten

Frage Antwort Bei welchen ASA Modellen ist für den ASA5506-X 1 Failover Betrieb eine dedizierte Lizenz ASA5512-X (ASA55XX-SEC-PL) erforderlich? Müssen bei einem Active/Standby Setup 2 beide Appliances die gewünschten JA FirePOWER Services Lizenzen haben? Können die ASA FirePOWER Services für 3 ein Modell aus der alten ASA5500 Familie Nein nachgerüstet werden? Können die ASA FirePOWER Services für ein Modell aus der ASA5500-X Familie Ja 4 nachgerüstet werden, wenn dieses Modell ASA5500X-SSD120= ursprünglich ohne die Option FirePOWER ASA5512-CTRL-LIC Services bestellt wurde? Nein, Cisco hat im Februar 2015 für die ASA Werden ASA CX und ASA FirePOWER 5 CX Lösung das End-of-Sales und End-of-Life Services parallel existierende Lösungen sein. angekündigt (s. EOL10154). Bei welchen ASA Modellen können die Bei allen Modellen ist das Onbox Management 6 FirePOWER Services aktuell über den ASDM mittlerweile möglich. administriert werden? Müssen bei einem Umstieg von Onbox Nein, es muss aber eine neue Lizenz generiert Management auf das FireSIGHT 7 werden, da diese nun an den Lizenzschlüssel Management Center neue Lizenzen gekauft des FMC gebunden werden muss. werden? Ist die Cisco ASA auch als virtuelle Appliance Ja, ASAv (bitte nicht mit der ASA 1000V 8 verfügbar? verwechseln). Beinhaltet das Cisco Portfolio einen Malware 9 Ja, FireAMP. Schutz für den Desktop? Nein, die Meraki Lösung ist nur eine weitere Sind die Meraki Security Lösungen quasi als Implementierungsvariante (Cloud Managed), 10 Konkurrenz im eigenen Hause zu verstehen? die nicht uneingeschränkt bei allen Kunden umgesetzt werden kann. Bei einem Proof-of-Value wird beim Kunden eine ASA mit FirePOWER Services mit dem Ziel installiert, dass der Kunde sieht, welche 11 Was ist ein POV? Mehrwerte die Lösung in seiner Umgebung bietet. Cisco unterstützt ein POV mit Hilfe von ausführlichen Anleitungen und vorgefertigten Skripten zum Generieren von Reports. Tabelle 13: Fragen und Antworten

- 91 -

13 Abkürzungen

A AC Anyconnect AMP Advanced Malware Protection API Application Programming Interface ASA Adaptive Security Appliance ASDM Adaptive Security Device Manager ATP Authorized Technology Partner AWS Amazon Web Services

B BOM Bill-of-Material BSI Bundesamt für Sicherheit in der Informationstechnik

C CA Certificate Authority CCW Cisco Commerce Workspace CIRST Computer Security Incident Response Team CSI Collective Security Intelligence CWS Cisco Cloud Web Security

D DLP Data Loss Prevention E EA Enterprise Architecture EOL End-Of Life ESA Email Security Appliance

F FIRST Forum of Incident Response and Security Teams FMC FireSIGHT Management Center FPWR FirePOWER FTD FirePOWER Threat Defense

G G2 Generation 2 GSSO Global Security Sales Organization

I IDS Intrusion Detection System IPS Intrusion Prevention System IPFIX Internet Protocol Flow Information Export ISE Identity Services Engine IR Incident Response ISR Integrated Service Router

M MSP Managed Services Provider

- 92 -

N NDES Network Device Enrollment Service NFR Not-for-Resale NGFW Next-Generation Firewall NGIPS Next-Generation IPS NVM Network Visibility Module

O OS Operating System

P POV Proof-of-Value PSIRT Product Security Information Response Team pxGrid Platform Exchange Grid

R RTC Rapid Threat Containment

S SaaS Software-as-a-Service SKU Stock Keeping Unit SMA Security Management Appliance SSD Solid State Disk

T TOGAF The Open Group Architecture Framework

U UTM Unified Threat Management

V VNMC Virtual Network Management Center VOF Virus Outbreak Filter VRT Vulnerability Research Team VSG Virtual Secure Gateway

W WCCP Web Cache Communication Protocol WIR Web Intelligence Reports WSA Web Security Appliance WUC Web Usage Control

- 93 -

- 94 -

Inhalt: Architektur Collaboration

Inhalt: Architektur Collaboration ...... 95 14 Collaboration: Kurze Vorstellung der Architektur ...... 96 14.1 Die Lösungsbausteine von Collaboration ...... 98 15 Fokusthemen: Collaboration ...... 100 15.1 Cisco Business Edition ...... 100 15.1.1 Lizensierung der BE6000 ...... 103 15.1.2 Steckbriefe: Collaboration Apps ...... 105 15.2 Collaboration Edge Architektur ...... 109 15.2.1 Cisco Mobile und Remote Access ...... 111 15.2.2 SIP Trunking und Cisco Unified Border Element (CUBE) ...... 112 15.3 Cisco Cloud Collaboration Services ...... 112 15.3.1 Cisco Spark ...... 114 15.3.2 Cisco WebEx ...... 117 15.3.3 Collaboration Meeting Rooms (CMRs) ...... 118 15.3.4 Cisco TelePresence SX10n ...... 120 16 Fallbeispiel ...... 121 17 Konfiguration ...... 122 17.1 Nutzerprofile ...... 123 17.2 Sites und Gateways ...... 126 17.3 Cisco Applications ...... 127 17.4 Unified Communications ...... 128 17.5 Service und Support ...... 129 17.6 Zusammenfassung & BOM Export ...... 130 18 Fragen und Antworten ...... 131 19 Abkürzungen ...... 132

- 95 -

14 Collaboration: Kurze Vorstellung der Architektur Auf YouTube finden Sie ein sehr gelungenes Video zum Thema Zusammenarbeit: https://www.youtube.com/watch?v=wsiQsGzD8sQ

Cisco Collaboration Architecture http://www.cisco.com/assets/sol/ent/ent_arch/caf2/collaboration_en- us.html#/home

Das Thema Collaboration, oder auch Unified Communication, ist heute weit mehr als die klassische Telefonie. Zwar stellt sich diese – allein aus historischer Sicht – immer noch als Kern der Architektur dar, es wurden aber mit den Jahren immer weitere Möglichkeiten zur Kommunikation mit Kollegen, Geschäftspartnern und Kunden geschaffen. Einige Trends, wie beispielsweise Chat (Instant Messaging), wurden anfangs vom Markt noch belächelt und Tools wie Skype, oder ICQ galten als Spielzeug, welches dem Anwender keinen wirklichen Mehrwert bietet. Dass dieses Werkzeug sehr wohl auch in der Geschäftswelt den Anschluss gefunden hat, beweisen die Installations- zahlen von Cisco Jabber, dem IM und Presence Tool von Cisco.

Nun ist ein reines Instant Messaging/Chat-Tool noch keine Collaboration Lösung und weit entfernt davon, eine nahtlose Kommunikation zu ermöglichen. Ein Chat Tool als solches wäre nur ein weiteres Kommunikationssilo, wie dies Telefonie und Mail bisher auch waren.

Die Interaktion, oder „User Experience“ von Collaboration, wird vielleicht über folgendes Beispiel deutlicher:

Ein Mitarbeiter befindet sich gerade in einer Webkonferenz (Cisco WebEx). Sein Kollege hat aufgrund eines Problems eine kurze Rückfrage und sieht im Cisco Jabber, dass sich der benötigte Kollege in einer WebEx befindet. Er ruft Ihn daher nicht an, sondern schreibt ihm eine Instant Message. Der Mitarbeiter antwortet und kann ihm direkt bei seinem Problem helfen. Da der Mitarbeiter jetzt noch zu einem Kundentermin muss, wechselt er einfach sein Endgerät für das Telefonat vom Desktop IP-Telefon hin zum Mobiltelefon, so dass er weiter an der Konferenz teilnehmen kann. Diese Interaktion zwischen den funktionalen Bausteinen „Call Control“, „Instant Message/Presence“ und „Conferencing“ ist nur ein Beispiel für das Zusammenspiel der Collaboration Services.

Wie aus dem oben beschriebenen Anwenderbeispiel ersichtlich, lassen sich die Services der Collaboration Architektur in einzelne Bausteine unterteilen, wobei die eben benannten nur einige von vielen sind.

- 96 -

Abbildung 81: Collaboration Architektur

Eben genau diese funktionalen Bausteine (im Bild rot markiert) dürfen bei der Architektur Collaboration nicht mit in sich geschlossenen Containern verwechselt werden. Collaboration lebt vom gegenseitigen Informationsaustausch und ermöglicht dadurch ja erst eine nahtlose Kommunikation mit verschiedensten Medien und mit unterschiedlichen Geräten, wie beispielsweise IP-Telefone, Tablets, oder Smart- phones.

Diese Collaboration Services können auch als Backend Systeme definiert werden, welchen eine darunterliegende Infrastruktur („Network and Compute Infrastructure“) benötigen, damit diese Dienste bereitgestellt werden können.

Ein Unterschied zu den meisten anderen Cisco Architekturen ist bei Collaboration sicherlich der Fakt, dass die Endanwender einen direkten Kontakt mit den Anwendungen und Geräten – dem Frontend („Application and Devices“) – haben. Cisco bietet hier eine große Anzahl an verschiedenen Endgerätemodellen und -typen, so dass die entsprechenden Anforderungen der Kunden bedient werden können.

Während in der Vergangenheit eine Telefonanlage getrennt von einem Video- konferenzsystem betrachtet und aufgebaut wurde, sind heute beide Systeme zu einem verschmolzen und lediglich das verwendete Endgerät definiert die Ein- satzmöglichkeiten. Durch diesen Ansatz können sowohl Mobile- als auch Desktop- und Raumsysteme an einer Videokonferenz teilnehmen, unabhängig davon wo sich diese befinden. Ermöglicht wird letzteres durch den Einsatz von sogenannten Edge Services. Hiermit bleibt die Nutzung von Videokonferenzen oder Instant Messaging nicht innerhalb der Unternehmensgrenzen sondern lässt sich auch mit anderen Geschäftspartnern oder Kunden gemeinsam nutzen, um so die Zusammenarbeit zu optimieren.

Wie bei anderen Services lässt sich auch Collaboration als ein Hosted oder Cloud Dienst (UCaaS) betreiben. Dabei werden alle genutzten Service(-bausteine) vom

- 97 -

Partner bereitgestellt und ggf. voll betrieben (Managed), sodass der Kunde lediglich die gewünschten Endgeräte und Anwendungen nutzt. Möchte der Kunde seine Collaboration ausschließlich bei sich betreiben, so spricht man von einer „on premise“-Lösung.

Während das Cloud-Modell die Auslagerung aller Collaboration Dienste beinhaltet und die „on premise“-Variante alle Dienste beim Kunden direkt erbringt, bietet das Hybrid Modell eine Kombination aus beiden Modellen. Dabei lagert der Kunde nicht alle Collaboration Dienste in die Cloud aus, sondern nur die für Ihn nützlichen. So ist sicherlich die Auslagerung von Konferenzplattformen eine übliche Variante. Hier können Cloud-Dienste durch eine geteilte Infrastruktur eine bessere Ausnutzung vorhandenen Ressourcen sicherstellen, was natürlich auch einen Kostenvorteil für die Endkunden mit sich bringt.

14.1 Die Lösungsbausteine von Collaboration Wie zuvor schon dargestellt ist das Architekturmodell von Collaboration in ver- schiedene Bausteine unterteilt, welche zwar in sich eine gewissen Funktion erfüllen bzw. zur Verfügung stellen, allerdings nicht unabhängig zueinander zu betrachten sind.

Abbildung 82: Collaboration Bausteine

Die „Call Control“ ist der zentrale Dienst, welche als Basis für viele weitere Funk- tionen benötigt wird. Er wird abgebildet durch den Cisco Unified Communications Manager, welche im Grunde die eigentliche PBX (also Telefonanlage) ist. An dieses System melden sich alle Telefon an, egal ob klassisches Büro IP-Telefon, ein analoger Telefonanschluss z.B. für Faxe, mobile Endgeräte wie Smartphone und Tablets oder Videokonferenzräume. Die Call Control stellt die benötigten Leistungs- merkmale für die Geräte zur Verfügung und reglementiert deren Zugriff. Darüber hinaus stellt die Call Control auch viele weitere Schnittstellen für andere Dienste zur Verfügung.

- 98 -

Der IM&Presence Baustein stellt das Backend für den Cisco Jabber dar. Mit dieser Anwendung kann der Mitarbeiter die Verfügbarkeitsinformationen (Presence) seiner Kollegen oder Geschäftspartner sehen oder diesen eine Nachricht (Instant Message) schreiben.

Mit dem Messaging Baustein können klassischen Anrufbeantworterfunktionen durchgeführt werden, auch die Integration in bestehende Messagingsysteme wie Microsoft Exchange ist problemlos möglich. Der Messaging Baustein wird durch die Anwendung Cisco Unity Connection abgebildet und arbeitet eng mit der Call Control zusammen.

Hinter dem Conferencing Baustein befinden sich maßgeblich die Konferenzanwen- dungen Cisco WebEx sowie Cisco TelePresence Server. Cisco WebEx bietet entweder Cloud oder on-premise eine Audio-, Web- und Videokonferenzfunktion während Cisco TelePresence Server den Fokus auf hochauflösenden Video- konferenzen legt.

Die sog. Edge Services stellen eine Art Sicherungsschicht zwischen dem internen Unternehmensnetz und dem Internet dar. Sie ermöglichen die sichere Kommu- nikation mit z.B. Kunden oder Partnern, z.B. über eine Videokonferenz oder mittels Instant Messaging. Hierfür bietet die Cisco Expressway Lösung die benötigten Funktionen. Auch lassen sich hiermit Remote Einwahlen speziell für Collaboration Anwendungen realisieren (siehe auch Kapitel Fokusthemen). Ebenfalls unter den Edge Services angesiedelt ist der sogenannten CUBE. Dieses Cisco Unified Border Element wird primär für die Anbindung an SIP Trunk Providern genutzt. Aufgrund der Ankündigung der Telko-Providern, dass das bisherige ISDN im Jahr 2018 abgeschaltet werden soll, wird diese Funktion zu dem neuen Access Device für den Zugang in das öffentliche Telefonnetz. Der Vorteil ist, dass diese Funktion auf den Voice fähigen Cisco Routern und Gateways abgebildet werden kann.

- 99 -

15 Fokusthemen: Collaboration

Breitgefächertes Collaboration Portfolio. Die Cisco Collaboration Produkte zählen ihn allen Bereichen zu den marktführenden Lösungen. Unterschiedliche Implementierungsvarianten: On-Premise Lösungen, Cloud Lösungen und hybride Lösungen Einen Überblick zu allen Cisco Security Lösungen finden Sie hier: www.cisco.com/go/collaboration

15.1 Cisco Business Edition Offizielle Schulungen zum Thema Cisco Business Edition: o Cisco Business Edition 6000/7000 Implementation and Administration (BE6KIA) o Implementing Cisco Unified Communications Manager (CIPT1, CIPT2) o Cisco Unified IM&Presence 10.0 Workshop (UIMP10W) o Cisco Unity Connnection 10.0 Workshop (CUC10W) Merke: Eine Cisco Business Edition ist die Kombination von bewährten Produkten (wie CUCM oder Unity Connection) zu einem modularen Softwarepaket. Die eingesetzte Software (wie beispielsweise der CUCM) ist absolut identisch zu einer a la carte Bestellung => man erhält also nicht eine „abgespeckte“ Variante. Cisco Partner – BE6000 Community https://communities.cisco.com/community/partner/collaboration/smallmediumbusiness Hands-On: Das Cisco dCloud Lab (dcloud.cisco.com): Cisco Collaboration 10.5 – Transform Work with Collaboration Cisco Business Edition 6000 Partner Sales Guide: https://communities.cisco.com/docs/DOC-51414 Sales: www.cisco.com/go/be6000

Die Cisco Business Edition (BE) kann man sich am besten als ein Lösungspaket vorstellen, welches im Kern aus dem Cisco Unified Communications Manager (Call Control Baustein), welcher die Funktion der Telefonanlage übernimmt. Flankierend dazu gibt es viele weitere Collaboration Apps, welche dem Kunden entsprechende Mehrwerte bieten können (siehe auch Kapitel 14.1).

Der Vorteil dieser Lösung ist, dass sich die Inhalte der Collaboration Lösung individuell auf die Kundenanforderungen zuschneiden lassen. So kann der Kunde auf Basis seiner Anforderungen entscheiden, welchen Collaboration Service er benötigt und welchen nicht. Praktisch kann er dann auf den IM&Presence Baustein ver- zichten, dafür aber ein kleines Call-Center benötigen, da er vielleicht eine besonders effiziente Art der Anrufverteilung benötigt.

Dabei kann sich der Kunde frei für die von Ihm benötigten Collaboration Services entscheiden und bezahlt natürlich auch nur für die Funktionen die er benötigt.

In den üblichen Collaboration Lösungen mussten die für eine solche Lösung benötigten Serversysteme aufwändig geplant werden, damit die Systeme bezogen auf die Hardware wie Prozessor, Arbeitsspeicher und Festplattengrößen optimal laufen.

- 100 -

Die Business Edition verfolgt einen anderen Ansatz und vereinfacht so massiv den Aufwand bei der Planung und dem Design dieser Lösung. Die Vereinfachung wird über standardisierte Hardware erreicht, indem benötigte Serverhardware nicht individuell zusammengestellt werden muss, sondern beste- hende Pakete genutzt werden können.

Die nachfolgende Tabelle, gibt einen Überblick über die verschiedenen Business Edition (BE) Ausbaustufen.

Edition: Hardware: Apps: Benutzer: Endgeräte: Agents: UCS-E160D-M2 fixed Apps (4+1): BE6000-S Integrated in CUCM, IM&P, Unity, 150 300 0 Cisco 2921-V Paging + Mgmt. variable Apps (4+1 100 UCS-C220 1000 1200 BE6000-M per Server) variable Apps (8+1 100 UCS-C220 1000 2500 BE6000-H per Server) variable Apps (4-6 100+ UCS-C240 1000+ 3000+ BE7000-M per Server) variable Apps (5-10 100+ UCS-C240 1000+ 3000+ BE7000-H per Server) Tabelle 14: Übersicht – Business Editionen

Wie oben dargestellt sind die Editionen in S (bei BE6k), M bzw. H verfügbar. Dabei steht S für Small Density, M für Medium Density und H für High Density. Letztlich spiegelt dies die maximale Ausbauhöhe bzw. Performance des Systems wieder.

Nahezu alle Apps laufen virtualisiert auf VMWare ESXi. Die Business Edition Systeme sind mit VMWare ESXi vorinstalliert und die Apps befindet sich bereits auf den Festplatten, sodass diese nicht erst zusammengestellt werden müssen. Dies wiederum reduziert die Bereitstellungszeit und damit die Kosten für die Installation der Systeme.

Mit Ausnahme der BE6000-S kann ein Server der Business Editionen frei mit den verfügbaren Apps bestückt werden. Limitierung: 4+1 bzw. 8+1 (medium, high density Server) Auch die Kombination von zwei BE6k Servern zur Herstellung der Redundanz und Erhöhung der App Kapazität kann damit realisiert werden:

- 101 -

Abbildung 83: Business Edition - Hochverfügbarkeit

Das oben dargestellte Schaubild zeigt – exemplarisch – wie sowohl Anwendungen (hier: UCM, Unity Connection sowie UCCX) redundant ausgelegt wurden, als auch eine Attendant Console (CUAC) sowie ein Paging System auf zwei BE6k Servern aufgebaut werden kann. Als zusätzliche Managementanwendung (+1) ist die App Prime Collaboration Provisioning (PCP) zugelassen (siehe Primary BE6K), wird diese nicht genutzt (z.B. im Secondary BE6K), so darf diese jedoch nicht mit einer „normalen“ App aufgefüllt werden.

Durch die dargestellten Abstufungen können Sie als Partner die passende Edition für Ihren Kunden finden.

Die folgenden 5 Fragen leiten Sie auf die richtige Ausbauform:

1. Welche Lösungsbausteine (Apps) benötigt der Kunde? 2. Wie viele Teilnehmer sollen das System im Vollausbau nutzen? 3. Wie viele Endgeräte sollen das System im Vollausbau nutzen können? 4. Benötigt der Kunde eine Contact Center App, wenn ja für wie viele Agents? 5. Wie viele Niederlassungen sollen angebunden werden?

- 102 -

15.1.1 Lizensierung der BE6000 Das Lizenzmodell für die Cisco BE6000 unterscheidet sich grundsätzlich nicht von dem einer regulären Cisco UC Lösung. Cisco bietet zwei Lizenzmodelle für die Kernfunktionen einer Cisco UC Lösung an, zusätzliche Features wie bspw. Agenten für eine ContactCenter Lösung werden gesondert lizensiert.

Abbildung 84: Lizenzen - Geräteklasse

Eine primäre Zuordnung der benötigten Lizenz ergibt sich aus den verwendeten Endgerätetypen. So sind höherwertige Endgeräte (wie bspw. die Serie 7900 oder 8800 immer vom Typ „Enhanced“ während beispielsweise ein analoges Fax (mit dessen analogem Port von einem ATA oder VG2xx) als sog. Essential Gerät zählt. Auf diese Weise wurde von Cisco jedes Endgerät klassifiziert und ist im jeweiligen Datenblatt des Endgerätes in der Rubrik „Licensing“ nachzulesen.

Die sog. „Telepresence Room License“ wird nur bei Cisco TelePresence Raum- systemen (Videokonferenzraum) verwendet, also Cisco SX10, MX200, etc. oder höher. Eine Cisco DX80 oder die EX90 zählt noch als normales „Telefon“ und man würde somit mindestens die UCL Enhanced Lizenz benötigen.

Die beiden Lizenzmodelle, User Connect License, auch genannt UCL sowie das Cisco Unified Workspace Licensing (kurz CUWL) existieren in verschiedenen Ausbaustufen. Der Endkunde kann diese frei miteinander kombinieren, sodass man nicht grundsätzlich ein Modell verfolgen muss.

- 103 -

Tabelle 15: Lizenzübersicht

Die oben dargestellte Tabelle zeigt eine Übersicht der verschiedenen Lizenzmodelle, wobei diese in Ihrer Wertigkeit (und vom Preis) von rechts nach links aufsteigen.

Beide Lizenzmodelle sind sog. User-basierte Modele. Dies bedeutet, dass jeder Teilnehmer mit einer Lizenz versorgt werden muss, dabei kann ein Teilnehmer nur ein oder aber auch mehrere Endgeräte besitzen (z.B. IP-Phone, Softphone, mobile Jabber, etc.). Bei Endgeräten, welche nicht einem Benutzer zugeordnet werden können (z.B. in öffentlichen Bereichen oder Faxgeräte), gilt die jeweilige Geräte- klasse zur Bestimmung der benötigten Lizenz.

Wenn wir nun die UCL Essential Lizenz als Beispiel nehmen, so darf maximal ein (1) Gerät verwendet werden. Bis auf Cisco Jabber IM / Presence sind also keinerlei zusätzliche Features inkludiert. Darüber hinaus können auch nur analoge Endgeräte (z.B. Fax) oder das Cisco 3905 bzw. 6901) genutzt werden. An dieser Stelle sei erwähnt, dass das Jabber IM/Presence Feature die Nutzung von Chat/Presence sowie CTI Steuerung des IP Phones erlauben würde, der Jabber somit NICHT als Softphone verwendet werden kann.

Mit der UCL Enhanced+ Lizenz ist es beispielsweise möglich zwei (2) Endgeräte zu betreiben sowie weitere Features zu nutzen (z.B. Jabber Desktop/Jabber Mobile). Man muss jedoch beachten, dass ein Jabber als Softphone ebenfalls als Endgerät gezählt wird. Somit könnte der Teilnehmer mit einer Enhanced+ Lizenz ein normales IP-Telefon auf seinem Schreibtisch benutzen und zusätzlich ein Jabber als Softphone.

Die CUWL Lizenzen bieten bis zu 10 Endgeräte je Teilnehmer, sodass sich bei dieser Lizenz maßgeblich die Anzahl der zu nutzenden Endgeräte erhöht. Auch stehen werden – je nach Modell – zusätzliche Features zur Verfügung. Das Quick Pricing Tool (QPT) bedient sich den verfügbaren Lizenzmodellen voll- automatisch, indem der Anwender über entsprechende Nutzerprofile (siehe Kapitel 17.1) die Art und Anzahl der benötigten Endgeräte auswählt. Die erforderlichen Lizenzen werden dann vom QPT berechnet.

- 104 -

Weitere Informationen zum Lizenzmodell sind auch der Tabelle 15: Lizenzübersicht zu entnehmen, auch finden Sie dort die jeweiligen Listenpreise der verschiedenen UCL oder CUWL Lizenztypen.

15.1.2 Steckbriefe: Collaboration Apps Doch welche Apps bzw. Bausteine gibt es denn überhaupt für die Business Edition, welche Funktionen haben diese und gibt es eventuelle Fallstricke bei deren Einsatz?

Die folgenden Steckbriefe zeigen die Kernanwendungen, welche üblicherweise im Rahmen einer BE Lösung verwendet werden, dabei erfolgt die Lizenzierung

Prime Collaboration Provisioning:

Kürzel: PCP

Verwendungszweck: Tool für die Einrichtung und

Konfiguration von Benutzern

und Endgeräten

Lizensierung: Kostenlos

BE Ausbaustufen: Alle

Sonstiges: zählt als „+1“ App.

Cisco Unified Communications Manager: Kürzel: CUCM Verwendungszweck: Zentrale Telefonanlage für alle Gateways, Endgeräte oder Videoendpunkte. Lizensierung: UCL oder CUWL Modell BE Ausbaustufen: Alle Sonstiges: Kernanwendung, keine BE ohne den CUCM.

Cisco Unified IM&Presence: Kürzel: IM&P Verwendungszweck: Presence & IM System für die Nutzung von Cisco Jabber als Chat-Tool. Lizensierung: Kostenlos BE Ausbaustufen: Alle Sonstiges: optionale Kernanwendung.

Cisco Unity Connection: Kürzel: CUC Verwendungszweck: System für Anrufbeantworter und einfache Ansage (IVR) Funktionen. Lizensierung: UCL oder CUWL Modell BE Ausbaustufen: Alle Sonstiges: optionale Kernanwendung.

- 105 -

Zusätzlich zu den oben benannten Kernanwendungen, existieren weitere Apps die im primär im Bereich der Anrufverteilung und Benachrichtigung anzusiedeln sind:

Cisco Unified Attendant Console: Kürzel: CUAC Verwendungszweck: Software für Vermittlungsarbeitsplatze, zur einfachen Anrufverteilung via PC.

Lizensierung: BE6000M und höher BE Ausbaustufen: Alle Sonstiges: optionale Anwendung.

Cisco Unified Contact Center Express: Kürzel: UCCX Verwendungszweck: Contact Center mit IVR Funktion und beliebigen Scripting-Möglichkeiten. Lizensierung: Je UCCX-Agent als Basic, Enhanced oder Premium. BE Ausbaustufen: BE6000M und höher Sonstiges: optionale Anwendung.

InformaCast Paging: Kürzel: Paging Verwendungszweck: System für Durchsage- und Broadcastfunktionen

Lizensierung: Basic Version: Kostenlos Enhanced Version: zus. Lizenz BE Ausbaustufen: Alle Sonstiges: optionale Anwendung.

- 106 -

Neben dem Cisco UBE als Edge Service für die Anbindung an das IP-PSTN, das Cisco Expressway für die Anbindung von Business 2 Business Video oder Instant Messaging mit anderen Unternehmen verwendet:

Cisco Expressway: Kürzel: Expressway Verwendungszweck: Edge Device für die Kommunikation mit externen Partnern, Kunden via Chat (IM) oder Video (SIP/H.323) Lizensierung: Anzahl Videokanäle BE Ausbaustufen: BE6000M und höher Sonstiges: optionale Anwendung.

Die nachfolgenden Konferenzdienste unterscheiden sich in Ihrem Schwerpunkt zwischen Webkonferenz (WebEx) und Videokonferenz (TelePresence Server).

Der TelePresence Management Server wird meist in Kombination mit dem TelePresence Server verwendet und ist eine Art Videokonferenzbuchungssystem:

Cisco WebEx (Cloud) Cisco WebEx Meeting Server (on premise): Kürzel: WebEx (Cloud) CWMS (on premise) Verwendungszweck: Webkonferenzsystem inkl. Audio und Videokonferenzfunktion. Lizensierung: Anzahl Named-Seats BE Ausbaustufen: Alle (Cloud) BE6000M u. höher (on premise) Sonstiges: optionale Anwendung. Bei CWMS, dedizierter Server.

Cisco TelePresence Server (v) & Conductor: Kürzel: vTS & Conductor Verwendungszweck: Bridge (MCU) für hochauflösende Videokonferenzen. Lizensierung: Je Full-HD Konferenzkanal. BE Ausbaustufen: BE6000M und höher Sonstiges: optionale Anwendung. Der Conductor wird bei dem Einsatz von vTS benötigt. vTS benötigt einen dedizierten Server.

- 107 -

Cisco TelePresence Management System: Kürzel: TMS Verwendungszweck: Planungssystem für Videokonferenzresourcen (z.B. Endpunkt, MCUs, Recorder) Lizensierung: Je Endpunkt BE Ausbaustufen: BE6000M und höher Sonstiges: optionale Anwendung.

- 108 -

15.2 Collaboration Edge Architektur Offizielle Schulungen zum Thema Cisco Collaboration Edge und Video Architekturen: o Implementing Cisco Telepresence Video Solutions Part 1 (VTVS1) o Implementing Cisco Telepresence Video Solutions Part 2 (VTVS2) Merke: Der Betriff Collaboration Edge ist kein Produkt, sondern die Zusammenfassung der Cisco Edge Services unter einem Namen. Cisco Partner – Collaboration Voice and Video Community https://supportforums.cisco.com/community/4691/collaboration-voice-and-video Hands-On: Das Cisco dCloud Lab (dcloud.cisco.com): Cisco Collaboration Solutions: Business Video Experience 11.0 v1 Cisco Preferred Architecture for Midmarket Collaboration: http://www.cisco.com/c/dam/en/us/td/docs/solutions/PA/enterprise/collabpa.pdf Sales: www.cisco.com/go/expressway www.cisco.com/go/cube

Die Collaboration Edge Lösungen sind innerhalb des „Edge Services“ Baustein wiederzufinden, der Begriff „Collaboration Edge“ ist demzufolge keine Software oder Hardware als solches, sondern lediglich ein Sammelbegriff für mehrere Produkte.

Abbildung 85: Collaboration Edge Services

Hinter diesen (Collaboration) Edge Services verbergen sich neben dem her- kömmlichen „Gateway“ für die klassische PSTN Verbindung über beispielsweise ISDN BRI (S0) oder PRI zwei Produkte welche unterschiedlichen Kernaufgaben verfolgen.

Der CUBE wird bevorzugt für die VoIP (SIP oder H.323) Kommunikation in andere (externe) Netze verwendet. Er stellt eine Demarkationslinie zwischen der eigenen VoIP Infrastruktur und anderen VoIP-Systemen (z.B. IP-PSTN) dar. Sein Einsatz- bereich ist primär für reine Audio- oder Datenverbindungen (wie Fax via T.38) gedacht.

- 109 -

Die Expressway Lösung nutzt zwar auch die VoIP Protokolle SIP oder H.323 fokussiert sich jedoch nicht auf die Audio- sondern auf die Videokommunikation mit anderen Teilnehmern. Die Applikation selbst ist aus dem Cisco VCS, dem Video Communication Server entstanden und basiert zu einem Großteil auf diesen. Aus technischer Sicht verfügt diese Lösung über zwei Komponenten. Zum einen den Expressway-C (Control) welche die Anfragen der internen Teilnehmer empfängt und an den Expressway-E (Edge) weitergibt. Im Gegensatz zum Cisco CUBE ist der Expressway-E üblicherweise „frei“ aus dem Internet erreichbar, was die Gefahr eines Angriffes auf dieses System signifikant erhöht. Aus diesem Grund befindet sich das Expressway-E üblicherweise in einer DMZ, also einer geschützten Zone. Die Kommunikation vom Expressway-E zum internen Netz wird über ein sog. Firewall-Traversal erreicht, wodurch in einer Firewall keine Port-Freischaltung von außen nach innen (in das Unternehmensnetz) durch- geführt werden muss. Lediglich die Kommunikation von innen nach außen wird erlaubt. Die Expresswaylösung besteht aus drei Funktionsblöcken:

a) Business to Business Video (B2B) Mit dieser Variante kann das Unternehmen ein Videotelefonat zu anderen externen Teilnehmern führen. Auch sind die internen Mitarbeiter vom Internet über die sog. URI Adressierung erreichbar. Eine URI ist aufgebaut wie eine E-Mail Adresse und kann von VoIP-fähigen Endgeräte alternativ zu einer Rufnummer verwendet werden. Über diese Methode kann ein Anruf über das Internet zu dem Teilnehmer geroutet werden. Voraus- setzung hierfür ist natürlich, dass dieser auch über ein entsprechendes „Edge“ Gateway, wie dem Expressway

b) Consumer to Business Video (C2B) Diese Funktion – auch als Jabber Guest – bezeichnet bietet die Möglich- keit dass die Kunden des Unternehmens über einen normale Internet Browser Ihrem Ansprechpartner in Kontakt treten können. Hierbei wird ein Videotelefonat zwischen dem PC des Kunden und dem videofähigen Endgerät des Mitarbeiters aufgebaut.

c) Mobile and Remote Access (MRA) Die Mobile und Remote Access Lösung bietet die Möglichkeit Cisco Jabber Mobile oder ausgewählte Endpunkte ohne die Nutzung eines VPNs (wie AnyConnect) an die Collaboration Infrastruktur des Unternehmens anzu- binden.

Wo normalerweise eine VPN Verbindung von einem Smartphone nötig wäre, um die Funktionen von Cisco Jabber für Telefonie, Chat und VoiceMail zu nutzen, ermöglicht die Expressway Funktion „Mobile and Remote Access“ eine transparente und gesicherte Verbindung in das Unternehmensnetz für speziell diese Anwendungen. Dadurch ist es möglich, dass mobile Teilnehmer Ihre Collaboration Funktionen bequem auch außerhalb Ihres Unternehmensnetzes nutzen können. Auch TelePresence Endpunkte (z.B. DX80) lassen sich so bequem einbinden, um beispielsweise von einem HomeOffice aus Video- konferenzen durchführen zu können.

- 110 -

Im Weiteren bietet die Expressway Lösung auch die Funktion eines IM Gateways. Hierbei werden Chatnachrichten über das Protokolls XMPP in das Internet versendet bzw. empfangen. Dadurch können die Benutzer vom Cisco Jabber mit befreundeten Unternehmen oder Kunden chatten. Die Verbindung erfolgt auch hier wahlweise gesichert mit TLS, sodass die Kommunikation optimal geschützt wird.

15.2.1 Cisco Mobile und Remote Access Die Cisco Mobile und Remote Access Lösung (MRA) ermöglicht die Kommunikation mit den Kollegen unabhängig des eigenen Standortes und trotzdem mit den gewohnten Leistungsmerkmalen.

Abbildung 86: Mobile und Remote Access

Natürlich denken sich jetzt viele, klar funktioniert hat das doch schon immer, ich habe ja meine VPN Verbindung in das Unternehmensnetz. Aber betrachtet man diese Problemstellung aus Sicht des Anwenders, ist es doch sehr umständlich wenn man zunächst auf seinem Smartphone die VPN Verbindung startet, sein Passwort eingibt, um dann in die Cisco Jabber App zu wechseln und eine Chatnachricht zu empfangen bzw. zu senden. Aus Sicht der Usability werden die Endbenutzer diese Funktion eher selten oder gar nicht verwenden. Es folgt, dass der Mitarbeiter lieber unsichere Kommunikationsmittel wie Whatapp & Co mit seinen Kollegen nutzt.

Genau hier setzt die MRA Lösung an. Indem eben nicht umständlich ein VPN gestartet werden muss, sondern das (mobile) Endgerät oder genauer gesagt die Jabber App einfach verbunden ist. Das ist wiederum auch ein großer Vorteil gegenüber einer VPN basierten Lösung. Während bei einem VPN das gesamte Gerät den Zugriff auf die Unternehmensdienste erhält, wird bei der MRA Lösung lediglich die Jabber App autorisiert, die erlaubten Voice Services (siehe Bild oben) zu nutzen.

Das Unternehmen kann hiermit einerseits die Usability erhöhen und andererseits auch eine bessere Security umsetzen. Auch sind hierüber BYOD (Bring your own device) Szenarien denkbar, da ja nur die Jabber App den Zugriff auf ausgewählte Services erhält und nicht das gesamte (potenziell unsichere) Gerät.

- 111 -

15.2.2 SIP Trunking und Cisco Unified Border Element (CUBE) Das Cisco Unified Border Element ist eine Softwarefunktion, welche die Verbindung zu externen Netzen (MPLS, IP PSTN oder Internet) hergestellt.

Dabei ist die Funktionsweise ähnlich einem normalen Gateway, nur dass die Kommunikation nicht über ein klassische PSTN Schnittstelle erfolgt (wie ISDN PRI oder ISDN S0) sondern über eine IP Verbindung mittels dem VoIP Protokoll SIP.

Abbildung 87: SIP Trunking mit CUBE

Bis 2018 sollen – wie von allen großen Telekommunikationsunternehmen ange- kündigt – die klassischen Zugänge in das Telefonnetz via ISDN abgeschaltet werden, sodass der Zugang nur noch über Geräte wie dem Cisco CUBE durchgeführt werden können. Die Funktionsweise des CUBE besteht darin, eine logische Trennung der Kommunikation zwischen dem internen Teilnehmer (Enterprise Network) und dem externen Teilnehmer (Public Telephony) zu erreichen. Hierbei wird der Protokollstrom (SIP und RTP) aufgebrochen und vom CUBE neu initialisiert. Der Einsatzbereich des CUBE fokussiert sich daher auf Anschaltung von bekannten Gegenstellen, wie ein befreundetes Unternehmen oder den Zugriff auf das öffentliche Telefonnetz via IP.

Der CUBE selbst ist kein neuer Router, er arbeitet als Softwarefunktion in den bekannten klassischen Voice-fähigen Router Serien, wie beispielsweise 800, 1900, 2900 oder 3900. Die Lizensierung dieser Funktion erfolgt über die Anzahl der gleichzeitigen Sprachkanäle im System.

15.3 Cisco Cloud Collaboration Services Cisco Cloud Collaboration Services bieten unterschiedliche Lizenz- und Subscription Modelle an, das richtige Modell für die Anforderungen der Kunden sind entscheidend. Hands-On: Das Cisco dCloud Lab (dcloud.cisco.com): Incorporate Video Into Meetings 11.0 v1 Cisco Partner – Collaboration Voice and Video Community https://supportforums.cisco.com/community/4691/collaboration-voice-and-video Cisco Spark – kostenlos testen unter: www.ciscospark.com Collaboration Meeting Rooms - Demo Video: http://www.cisco.com/c/en/us/products/conferencing/collaboration-meeting-rooms- cmr-cloud/host_meetings.html Sales: www.ciscospark.com www.webex.de

- 112 -

Die Entwicklungen der letzten Jahre im Bereich der Informationstechnologie wurden maßgeblich von einem Thema geprägt, der Cloud.

Dabei sind eben Cloud-Services nicht gleich Cloud- Services, man kann sich die damit verbundenen Dienst(-leistungen) gut mit einer Pyramide ver- gleichen. Neben Infrastructure as a Service (IaaS), also beispielsweise das Mieten der benötigten Serverinfrastruktur gibt es auch PaaS (Platform as a Service). Bei diesem Modell wird eine Laufzeit- bzw. Entwicklungsumgebung vom Dienstleister zur Ver- fügung gestellt.

Beide Modelle wären im Rahmen einer Collaboration Lösung sicherlich auch aus Sicht eines Partners ein möglicher Ansatz neue Geschäftsfelder zu etablieren. Aber speziell für Collaboration Anwendungen bietet sich das Software as a Service Modell sehr gut an. Hierbei erfolgt die Vermarktung üblicherweise nach dem „pay per use“-Modell, also der Kunde bezahlt nur die Leistungen, die er benötigt. Auf diese Weise können sich Unternehmen schnell auf wachsende oder sinkende Teilnehmerzahlen einstellen ohne eine große Investition tätigen zu müssen. Denn die Abrechnung dieses Modell erfolgt meistens über die Variante „per user per month“, sodass aus unter- nehmerischer Sicht eine sehr hohe Flexibilität geschaffen wird.

Wenn wir nun wieder den Fokus auf das Thema Collaboration legen, so bietet Cisco hier gleich mehrere „Cloud Services“ an:

Cisco Spark Cisco Spark ist ein Tool was die Zusammenarbeit der Mitarbeiter im Team fördert. Bei Cisco Spark können sich Mitarbeiter in dynamischen Gruppen oder Teams zusammenfinden und so gemeinsam an einem Projekt arbeiten. Spark vereint hierfür alle bisherigen Kommunikationsmöglichkeiten in einem Tool.

Cisco WebEx Cisco WebEx ist ein Tool, um Online Meetings mit Kollegen, Kunden order Partnern durchzuführen. Das Online Meeting kann man sich als eine Art virtuellen Besprechungsraum vorstellen, sodass die Teilnehmer nur über einen Webbrowser oder der passenden mobilen App an einem Meeting teilnehmen können.

Collaboration Meeting Rooms (CMRs) Die Collaboration Meeting Rooms ermöglichen den Teilnehmern eine Videokonferenz abzuhalten. Dabei handelt es sich um eine Kombination aus einer Videokonferenzlösung und Cisco WebEx, sodass sowohl Teilnehmer mit einem Videoendpunkt als auch Teilnehmer mit dem Browser bzw. der App teilnehmen können.

In den nachfolgenden Kapiteln gehen wir näher auf die verschiedenen Cloud Services ein.

- 113 -

15.3.1 Cisco Spark Cisco Spark ist eine Anwendung, welche die Zusammenarbeit in Teams massiv erleichtert. Mit Cisco Spark können sich Teams oder Gruppen dyna- misch in Räumen austauschen und dies über mehrere Kommunika- tionskanäle hinweg. Die Teilnehmer können Chat Nachrichten (Instant Message) austauschen und Dateien in die Gruppe hochladen, sodass diese dem ganzen Team zur Ver- fügung steht. Bei Bedarf kann das Team auf diese Weise einfach ein Meeting starten und im Nachgang im gleichen Raum die Präsentation oder Arbeitsergebnisse teilen. Für die volle Funktionsvielfalt kann Cisco WebEx als Meetingort verwendet werden. Eine kostenfreie Version von Cisco Spark steht jedem zur Verfügung. Hierzu muss man lediglich unter www.ciscospark.com die App herunterladen und registrieren. Mit der kostenfreien Version stehen die Message Funktion sowie Meeting Funktion (bis zu 3 Teilnehmer) zur Verfügung.

Auch kann man mit Cisco Spark herkömmliche Telefon (Audio-) oder Video- gespräche führen, sodass man hiermit sogar die herkömmliche Telefonanlage ablösen kann.

Spark bietet darüber hinaus vielfältige Optionen zur Integration in weitere Anwendungen. So bietet bereits Spark nativ die Integration in IFTTT (If this then that) oder Zapier. Spark stellt außerdem für Entwickler eine API bereit, welche es ermöglicht über automatisierte Workflows beispielsweise automatisch einen neuen Spark Raum mit Teilnehmern zu erstellen. Die offene API ist auf https://developer.ciscospark.com/ zu finden. Zum besseren Verständnis kann man Cisco Spark in drei Bereiche unterteilen, welche nachfolgend beschrieben werden:

Die Message Funktion von Spark bietet einem die gewohnten Instant Messaging Funktionen, wie diese beispielsweise auch in einem Cisco Jabber Client existieren, allerdings ist der Fokus ein vollkommen anderer. Das Anwendungsfeld von Cisco Spark ist das Team bzw. eine Arbeitsgruppe. Alle Nachrichten werden in der gesamten Gruppe geteilt, dadurch werden Informationslücken unter den Teammitgliedern vermieden. Dateien, welche in dem Raum hochgeladen werden, stehen ebenso allen Teilnehmern zur Verfügung.

- 114 -

Abbildung 88: Spark Messaging

Über Such und Filterfunktionen können schnell ältere Informationen wieder gefunden werden. Die Kommunikation selbst wird natürlich über HTTPS mit AES-256 bit verschlüsselt. Erweiterte Leistungsmerkmale wie eine Moderator Funktion stehen ebenso zur Verfügung wie auch die Integration in andere Anwendungen über APIs oder andere Integrationsschnittstellen.

Die Meeting Funktion von Cisco Spark bietet die einfache Durchführung von Video- oder ScreenSharing Meetings. Über einen Knopf wird eine Verbindung zu allen Teilnehmern herstellt und es kann eine Videokonferenz im Team durchgeführt werden. Natürlich kann man auf diese Weise auch Dateien mit anderen Teilnehmern teilen. Die Teilnehmer können dabei entweder mit Ihrer Cisco Spark App von belieben Endgeräten teilnehmen, oder eine zur Verfügung stehende Videoraum nutzen.

- 115 -

Abbildung 89: Spark Meeting

Je nach abgeschlossenem Vertrag stehen unterschiedliche Leistungsmerkmale zur Verfügung. In der „Basis Meetings“ Variante können bis zu 25 Teilnehmer an einer Videokonferenz teilnehmen. In der „Advanced Meetings“ Variante besteht zusätzlich die Möglichkeit WebEx einzubinden, wodurch sich die Teilnehmerzahl auf 200 erhöht und zusätzliche Leistungsmerkmale wie Aufzeichnungen, Whiteboard oder VoIP- bzw. Telefoneinwahlfunktionen zur Verfügung stehen.

Die Call Funktion beinhaltet die Integration von IP-Phone Endgeräten oder einer Cisco UC Lösung in die Cisco Spark Cloud. Je nach Kundenwunsch kann über Spark „Call“ entweder eine bestehende Cisco UC Lösung in Spark integriert werden oder Sie nutzen einfach direkt Ihre Cisco Endgeräte mit Cisco Spark.

Auf diese Weise können Ihre Cisco Endgeräte einfach nativ an Cisco Spark Meetings teilnehmen. Derzeit werden die Cisco 7800 oder 8800 Serien unter- stützt.

Falls Sie die Endgeräte direkt mit der Cisco Spark Cloud verbinden möchten, so steht Ihnen hiermit Leistungsmerk- male einer Cloud basierten Telefon- anlage zur Verfügung. Der Zugriff in das öffentliche Telefonnetz (PSTN) kann von

- 116 -

Ihrem Cisco Partner bereitgestellt werden. Die Cloud Calling Option bei Cisco Spark wird in Deutschland voraussichtlich ab CY2017 verfügbar sein.

Auch Cisco TelePresence Raum Systeme können über Cisco Spark integriert werden, diese Funktion soll in Deutschland ab Q3CY2016 zur Verfügung stehen.

15.3.2 Cisco WebEx Cisco WebEx ist die Cloud-basierte Plattform für Web- und Contentsharing von Cisco. Diese Plattform steht in zwei Funktionsumfängen zur Verfügung.

Cisco Webex Meeting Center: Diese Platform bietet die Möglichkeit für Onlinemeeetings die Möglichkeit Anwendungen oder den Desktop zu teilen, mit anderen in dieser Websession zu chatten, seine Videokamera freizugeben und natürlich die Einwahl über Computer bzw. Telefon. Ab Q2/CY2016 wird die CMR (Collaboration Meeting Rooms) Cloud Funktion bereits im WebEx Meeting Center inkludiert sein. Die Details zur CMR Funktion sind im nächsten Kapitel zu finden.

Cisco Webex Enterprise Edition: Beinhaltet neben dem Cisco WebEx Meeting Center auch zusätzlich das Training-, Support- und Event Center, welche für eben geartete Anwendungsfälle zur Verfügung stellen. Mit letzteren Varianten von Cisco WebEx lassen sich natürlich dadurch auch Webmeetings in weit anderen Dimensionen erstellen, weil beispielsweise ein Firmenevent allen Mitarbeitern oder Kunden auch als Webstream zur Verfügung gestellt werden kann.

Abbildung 90: Cisco WebEx Meeting Center

- 117 -

Je nach Kundenwunsch kann man nun aus unterschiedlichen Lizenzmodellen wählen, um die für sich passende Lizensierung zu finden:

Company-Wide Das sogenannte Company-Wide Model, welches allen Mitarbeitern in einem Unternehmen die Zugangsmöglichkeit zum Cisco WebEx Funktionen bietet. Hierbei wird die Unternehmensgröße angegeben (employee count) und ein Prozentsatz der aktiven Mitarbeiter (active user), als die Mitarbeiter die WebEx in einem Monat mindestens einmal als Moderator (Konferenzleiter) genutzt haben. Nach einem Jahr Laufzeit wird von Cisco ausgewertet, wie die aktuelle Nutzung ist und der „active user“ Wert wird angepasst. Der Wert der „active user“ ist allerdings mindestens immer bei 15% oder höher. Dieses Model ist auch nur für Unternehmen mit 100 Mitarbeitern oder mehr geeignet.

Access: Bei dem Access Modell existieren zwei Variante:

Bei der Named User Variante werden die Mitarbeiter, welche ein WebEx Meeting organisieren dürfen (Moderator) als sog. „Named user“ benannt. Je Meeting können dann bis zu 24 weitere Teilnehmer an diesem teilnehmen. Es müssen je Unternehmen mindestens 5 dieser Named User Lizenzen bei der MeetingCenter Variante estellt werden. Bei der Enterprise Edition sind es mindestens 25.

Bei der Port Variante wird die Anzahl der gleichzeitigen Teilnehmer (Moderatoren + normale Teilnehmer) zusammengezählt. Die Anzahl der Teil- nehmer darf in diesem Fall maximal dem abgeschlossenen Vertrag entsprechen.

Neben der Basislizensierung gibt es zusätzliche Optionen, welche vom Kunden ausgewählt werden können. So kann die Möglichkeiten für kostenfreie Telefon- einwahlen gewählt oder die Speicherkapazitäten für Aufnahmen erweitert werden.

15.3.3 Collaboration Meeting Rooms (CMRs) Die sogenannten Collaboration Meeting Rooms bieten dem Endanwender die Möglichkeit eines persönlichen Videokonferenzraumes. Dadurch kann der Anwender selbstständig ein spontanes oder geplantes Meeting aufsetzen. Die CMRs (in Hybrid & Cloud Variante) kombinieren dabei zwei Technologien in einer. Dabei können die Meetingteilnehmer nun auswählen, ob Sie über den Browser bzw. der WebEx App teilnehmen oder (sofern verfügbar) einen Videokonferenz- endpunkt für die Einwahl nutzen.

- 118 -

Abbildung 91: Collaboration Meeting Rooms (CMRs)

Die Einwahl über videofähige Endpunkte ist dabei nicht auf Cisco TelePresence Systeme beschränkt, es können auch andere SIP oder H.323 Standard-basierte Videoendpunkte an dem Meeting teilnehmen. Insgesamt können so bis zu 25 Videokonferenzsysteme zusätzlich zu den WebEx Teilnehmern an einem Meeting teilnehmen.

Die CMR Cloud Lösung ist als Add-On Position zu den Cisco WebEx Lizenzmodellen (Cisco WebEx Meeting Center oder Cisco WebEx Enterprise Edition) bestellbar und basiert auf den Cisco WebEx Meeting Center.

Abbildung 92: CMR Deployment Options

Darüberhinaus gibt es auch die Möglichkeit eine on Premise (also kundeneigene) TelePresence Lösung mit der cloudbasierten Cisco WebEx Lösung zu kombinieren, dieser Ansatz nennt sich dann CMR Hybrid.

Ist nicht der Einsatz von Cisco WebEx gewünscht kann die CMR Lösung aus- schließlich mit dem kundeneigenen Equipment abgebildet werden (CMR Premise). Allerdings existiert bei dieser Variante keine Verbindungsmöglichkeit mit Cisco WebEx, sodass auch keine Teilnehmer über einen Webbrowser oder der Cisco WebEx App teilnehmen können.

- 119 -

15.3.4 Cisco TelePresence SX10n Der neue Cisco TelePresence Endpunkt SX10n ist ein sehr flexibel einsetzbarer Videoendpunkt. Die SX10n unterstützt neben der nativen Registrierung an den Cisco Unfied Communications Manager (CUCM) oder dem Video Communication Server (VCS) auch die Registrierung als TelePresence Endpunkt in der Cisco Spark Cloud. Hierbei wird die SX10n als Spark Raum System eingebunden.

Abbildung 93: Cisco TelePresence SX10n

Mit dieser optionalen Integration kann der Videoendpunkt andere Spark Teilnehmer oder 3rd Party Video Endpunkte anrufen und via Content Sharing Inhalte mit anderen Teilnehmern teilen. Das Management des Endpunktes erfolgt bei dieser Integration über die Spark Administra- tion. Mit dem neuen Spark Room OS in Kombination mit der CE Version 8.1 besteht in Kombination mit der Touch 10 die Kontrolle über den Meetingraum, sodass Video- und Raum- einstellungen gesteuert werden können.

Das Proximity Feature, mit welchem der Content Share auch auf mobilen Endgeräten übertragen werden kann wird ebenso unter- stützt (mit Nutzung der Cisco Spark App).

In der neuen Generation der Cisco SX10n wurde die Proximity Erkennung weiter verbessert, da nun keine externen Laut- sprecher mehr für die Erkennung benötigt werden.

- 120 -

Auch bei der neuen Cisco SX10n steht das Touch 10 als optionales Bedienelement zur Verfügung. Im Leistungsumfang befindet sich weiterhin die TRC6 Fernbedie- nung.

16 Fallbeispiel Das nachfolgende Beispiel stellt ein typisches Szenario für die Anforderungen eines Kunden an eine Collaboration Lösung dar:

Der Kunde hat uns mitgeteilt, dass er eine neue Telefonanlage benötigt und auch bereits jetzt über eine Anrufbeantworterfunktion verfügt. Weiterhin möchte sein Unternehmen gerne über das Internet mit anderen Unternehmen Videokonferenzen machen und dabei gleich seine bestehenden Videoendpunkte erneuern lassen. Auch sollen seine Mitarbeiter in der Lage sein, ein Chat Tool zu nutzen, sowie für den Einsatz im HomeOffice dieses auch als Softphone zu nutzen.

Der Kunde betreibt für seinen Vertriebsbereich ein kleinen Contact Center mit bis zu 25 gleichzeitig angemeldeten Agenten. Die Hochverfügbarkeit seiner Infrastruktur ist dem Kunden sehr wichtig und sollte bei der Angebotserstellung berücksichtigt werden. Das Unternehmen des Kunden besitzt rund 500 Mitarbeiter und ist verteilt auf 4 Standorten in Deutschland.

Zur Ermittlung der richtigen Business Edition können wir die 5 Leitfragen aus Kapitel 3.1 nutzen:

Q-1: Welche Lösungsbausteine (Apps) benötigt der Kunde?

A: Auf Basis der dargestellten Informationen sind folgende Collaboration Apps erkennbar: • Cisco Unified Communications Manager (CUCM) • Cisco Unified Connection (CUC) • Cisco Expressway für B2B Verbindungen • Cisco Unified IM&Presence (IM&P) • Cisco Unified Contact Center Express

Durch die Anforderungen Expressway sowie des Contact Centers fällt automatisch die BE6000-S Variante weg, da diese nur fest definierte Apps unterstützt, welche nicht in die benannten Anforderungen passen.

Q-2: Wie viele Teilnehmer sollen das System im Vollausbau nutzen?

A: Es sind rd. 500 Mitarbeiter im Unternehmen angestellt, sodass eine BE6000 mit maximal 1000 Benutzern passend ist und noch ausreichend Ausbau- reserven bietet.

- 121 -

Q-3: Wie viele Endgeräte sollen das System im Vollausbau nutzen können?

A: Die genaue Anzahl ist noch nicht aus den gelieferten Informationen zu entnehmen, sollte aber auch innerhalb der BE6000 Grenzen von 1.000 (M) bzw. 2.500 (H) liegen.

Q-4: Benötigt der Kunde eine Contact Center App, wenn ja für wie viele Agents?

A: Die Anforderung besteht, es wurde hier die Anzahl von 25 gleichzeitigen Agenten benannt, was ebenfalls innerhalb der BE6000 Grenze (max. 100) liegt.

Q-5: Wie viele Niederlassungen sollen angebunden werden?

A: Das Unternehmen des Kunden ist verteilt auf 4 Standorte. Die Grenze der BE6000 (MD) liegt bei 50 bzw. 90 Standorten (HD Variante) je Installation.

Bei unseren Planungen sollten immer Ausbaureserven eingeplant werden, hier spielt natürlich der Kunde selbst eine große Rolle. Ist der Kunde ein schnell wachsendes Unternehmen oder sind keine großen Wachstumsraten zu erwarten.

Im nächsten Schritt hilft uns das Quick Pricing Tool, welches uns durch die Konfiguration der Systemlösung leitet. Als Ergebnis werden wir eine importierbare CCW Konfiguration erhalten, mit der wir eine Angebotsanfrage bei Cisco starten können.

17 Konfiguration Business Edition 6000 Lösungen konfiguriert man am einfachsten über das Quick Pricing Tool (QPT): www.cisco.com/go/qpt Die BE7000 Lösungen können derzeit noch nicht über das QPT erstellt werden, hier kann über das CCW mit der TopLevel SKU BE7K-K9 gearbeitet werden. Denken Sie bitte immer auch an das Thema Service (SmartNet oder SmartCare), per default wird das QPT entsprechende Serviceverträge einplanen (inkl. Softwarewartungsverträge für die Collaboration Apps). Shortcut CCW: www.cisco.com/go/ccw

Nachdem man sich für die Nutzung des Quick Pricing Tools auf der oben genannten Webseite registriert hat und freischaltet wurde, muss das QPT auf dem PC installiert werden. Über regelmäßige Onlineupdates wird die Preisliste sowie das Tools selbst immer wieder aktualisiert. Für die Zusammenstellung des Angebots benötigt man keine Onlineverbindung, sodass man dieses Tool auch sehr gut direkt beim Kunden einsetzen kann, um die benötigten Informationen zu erhalten.

Damit wir nun das Fallbeispiel (siehe Kapitel 16) konfigurieren können, müssen wir eine neue Quote erstellen. Dies erfolgt im Hauptmenü des Tools mit dem Symbol. In der erscheinenden Auswahl müssen wir uns nun für ein Modul entscheiden. Da wir eine Business Edition 6000 in der normalen Größe (also -M oder -H) benötigen wählen wir also die normale BE6000.

- 122 -

Danach müssen wir den Distributor Ingram auswählen und bekommen zunächst die Profilseite angezeigt.

17.1 Nutzerprofile Die Profile im Quick Pricing Tool definieren die aus Endbenutzersicht benötigten Leistungsmerkmale, damit lassen sich Templates erstellen, um die verschiedene Anforderungen der Endbenutzer abzubilden. Beispielsweise sollen Mitarbeiter aus dem Führungsstab über andere Endgeräte verfügen und zusätzliche Leistungs- merkmale erhalten wie ein Büromitarbeiter im BackOffice.

Der Vorteil ist, dass ein angelegtes Profile immer wieder (für andere Projekte/ Kundenanfragen) genutzt werden kann.

Abbildung 94: QPT: Nutzerprofile

Basierend auf unserem Fallbeispiel kann man schon einige Profile identifizieren:

Profil 1: Normaler Benutzer o IP Telefon für die Bürokommunikation o Anrufbeantworter (VoiceMail) Funktion o Nutzung von Cisco Jabber (IM) und auch Softphone Funktion für das HomeOffice

Profil 2: Video Raum o Endpunkt für Videoräume

Profil 3: Normaler Benutzer + UCCX Agent o IP Telefon o Anrufbeantworter (VoiceMail) Funktion o Nutzung der Contact Center Funktion (UCCX) o Nutzung von Cisco Jabber (IM) und auch Softphone Funktion für das HomeOffice

- 123 -

Nach unserem Gespräch mit dem Kunden konnten wir auch noch zwei zusätzliche Profile erkennen:

Profil 4: analoger Teilnehmer o Zum Anschluss von Fax oder analogen Telefonen

Profil 5: öffentlicher Bereich o IP-Telefon in öffentlichen Bereichen.

Über die Funktion „Add a new Profile from scratch“ erstellen wir also zunächst ein neues Profil, vergeben einen Namen und (sofern gewünscht) eine Beschreibung. In der nächsten Auswahl muss der „Profile Type“ angegeben werden. Für unser Profil 1 + 3 müssen wir „User + Device“ auswählen, das Profil 2 wäre somit in der Kategorie „Video Room“ und die Profile 4 + 5 sind vom Typ „Phone only“.

Wir führen jetzt mal exemplarisch die Konfiguration vom Profil 3 durch und wählen also den Typ „User + Device“.

Abbildung 95: QPT: Profiltyp

Auf Basis der definierten Leistungsmerkmale müssen wir also die Funktion „Voice Mail“ sowie „Contact Center Agent/Supervisor“ auswählen. Für die Konfiguration des Endgerätes wechseln wir auf die „Devices“ Auswahl und können hier unser bevorzugtes Endgerät für dieses Profil konfigurieren. Auch lassen sich innerhalb dieser Option benötigte Beistellmodule oder Power Adapter (falls der Kunde kein PoE besitzt) konfigurieren.

- 124 -

Abbildung 96: QPT: individuelles Profil I

In den nächsten beiden Reitern (Desktop & Mobile) lassen sich ebenfalls zusätzliche Features für das Profil konfigurieren.

Abbildung 97: QPT: individuelles Profil II

Da der Kunde Cisco Jabber sowohl für IM als auch für das Softphone nutzen möchte, müssen wir die Option „Full Features“ wählen, die Auswahl ob Windows oder Mac ist für diese Konfiguration irrelevant. Nach der Auswahl werden wir noch gefragt, ob der Cisco Jabber auch ohne VPN außerhalb des Unternehmensnetzes funktionieren soll (Funktion siehe 15.2.1), falls gewünscht beantworten wir die Frage mit „Yes“. Im Reiter „Mobile“ können wir noch zusätzliche Cisco Jabber (für Mobile) einrichten, sofern dies gewünscht ist.

- 125 -

17.2 Sites und Gateways Wenn wir nun alle benötigten Profile eingerichtet haben, können wir auf den Reiter „Sites“ wechseln. Hierin kann man die einzelnen Standorte des Kunden definieren. Aus unserem Beispiel konnten wir entnehmen, dass der Kunde vier (4) Standorte besitzt, weshalb wir diese im ersten Schritt anlegen müssen.

Abbildung 98: QPT: Site Konfiguration

Jetzt kann (je Standort) die Anzahl der benötigten Profile bestimmt werden; das QPT errechnet daraufhin direkt die damit verbundenen Produkte zusammen. Man kann daraufhin sehen, dass der jeweilige Standort immer noch mit einem roten Punkt versehen ist. Das liegt daran, dass noch kein Gateway für den Zugriff in das PSTN konfiguriert wurde.

Abbildung 99: QPT: Gateways

- 126 -

Das Gateway für den jeweiligen Standort lässt sich nun bequem auf Basis der Benutzeranzahl im vorigen Schritt zusammenstellen. Man wählt nur noch die benötigten Schnittstellenkarten oder die Anzahl der SIP Trunk Kanäle aus, fügt ggf. noch weitere Leistungsmerkmale (wie VPN oder WAN Access hinzu) und nutzt den „Calculate“ Knopf, damit das QPT einem das benötigte Gateway zusammenstellt.

Auf diese Weise errechnet das Quick Pricing Tool das passende Gateway. Natürlich lässt sich auf diese Weise auch die SRST-Funktion (Überlebenstelefonie für Standorte) einplanen. Zusätzlich wird an dieser Stelle auch Planung der analogen Schnittstellen (z.B. Cisco ATA) durchgeführt und in die BOM aufgenommen.

Ferner kann man nun je Standort benötigte Catalyst- oder SB-Switche für den Kunden in dem Angebot vorsehen.

17.3 Cisco Applications Haben wir alle Sites mit deren korrekten Anzahlen konfiguriert, so wechseln wir in den Reiter „Cisco Applications“. Hier sind die verfügbaren Anwendungen aufgelistet, wobei wir in unserem Fall zunächst das Contact Center konfigurieren müssen.

Abbildung 100: QPT: UCCX

Die Kundenanforderung war, dass die Anwendung hochverfügbar ausgelegt werden soll, weshalb wir diese Option wählen. Die Anzahl der gleichzeitigen Agenten wird über die „Concurrent“ Box bestimmt.

Im Weiteren wollte der Kunde, dass der Zugriff über das Internet zu seinen Videoendpunkten (und umgekehrt) möglich ist. Diese Applikation ist den Punkt über „Video Infrastruktur“ konfigurierbar.

- 127 -

Abbildung 101: QPT: Expressway

Wir benötigen hier die sog. B2B Video Connections und bestimmen die Anzahl der gleichzeitig möglichen Verbindungen (ähnlich wie bei den B-Kanälen auf einem Primärmultiplexanschluss). Die eingegebene Anzahl wird hierbei immer verdoppelt, da die Systemlösung (Cisco Expressway) aus zwei Komponenten besteht und jede die benötigten Verbindungslizenzen benötigt.

17.4 Unified Communications Eine weitere Stärke des QPT ist die vollautomatische Serverkonfiguration, hierüber weist das QPT die bisherigen Apps auf die benötigte Serverhardware zu und erhöht ggf. die benötigten Systemressourcen.

Abbildung 102: QPT: Serverdimensionierung

So wurden in unserem Beispiel der Server #1 in der -H (High Density) Variante ausgewählt, während für den zweiten Server die -M Option genutzt werden kann. Die

- 128 -

relevanten Anwendungen (CUCM, CUC sowie IM&Presence) wurden auch bereits redundant ausgelegt, bei Bedarf können wir zusätzlich den Cisco Expressway -C & - E ebenfalls redundant auslegen. In diesem Fall würde das Tool automatisch die benötigte Serverhardware anpassen.

Der Reiter Licensing zeigt die – auf Basis der Profile – benötigten Lizenzen und berücksichtigt diese bei der Kalkulation, falls notwendig könnten hier manuelle Anpassungen durchgeführt werden.

17.5 Service und Support Die vom Kunden angeforderte Systemlösung sollte natürlich auch über einen entsprechenden Supportvertrag abgesichert sein, um im Problemfall (z.B. defekte Hardware oder Softwareprobleme) abgesichert zu sein.

Abbildung 103: QPT: Supportverträge

Die benötigten Serviceverträge lassen sich ein- oder abwählen, dessen Laufzeit kann je Komponente gewählt werden und auch der SLA (bei Hardware-Replacement) kann ausgewählt werden.

Stimmen Sie sich hier mit Ihrem Kunden ab, um eine kosteneffiziente Nutzung der Services zu erreichen. Für einige Kunden ist es beispielsweise sinnvoller eine Endgerätewartung abzuwählen und dafür lieber Ersatzendgeräte im Lager vor- zuhalten.

- 129 -

17.6 Zusammenfassung & BOM Export Im letzten Schritt können wir uns eine Stückliste aller ausgewählten Komponenten (BOM) anzeigen lassen.

Abbildung 104: QPT: BOM Export

An dieser Stelle können wir auch mit den Margen oder Discounts bzw. Promotions arbeiten. Auf diese Weise lässt sich für den Endkunden abschätzen, wo man preis- lich landet und ggf. bereits Optimierungen durchführen.

Der Export der Konfiguration erfolgt über den im roten Kasten dargestellten Bereich, hier lassen sich verschiedene Formate auswählen. So kann man die BOM direkt im passenden Format für das CCW exportieren, um diese beim Einstellen des Deals nur noch importieren zu müssen.

- 130 -

18 Fragen und Antworten

Frage Antwort Kann ich das Starter Bundle für die Nein, das Starter Bundle kann nur einmalig je 1 Business Edition 6000 für jeden BE6k Endkunden (Systemlösung) bestellt werden. Server bestellen? Mein Kunde benötigt zusätzliche Wenn der Kunde lediglich Telefonie Funktionen Telefone der Serie 8800, welche benötigt muss er mindestens je Endgerät die UCL Lizenzen benötige ich da? Enhanced Lizenz bestellen.

2 Es kann sich aber aufgrund des geringen Aufpreises auch lohnen höherwertige Lizenzen zu kaufen, Details hierzu sind in Kap. 15.1.1 zu finden.

Unser Kunde hat eine UC560, wie kann Die Cisco UC500 Serie ist mittlerweile End of Sale, ich ein Upgrade auf die neue Cisco sodass eine Migration zur Business Edition 6000S Telefonanlage machen? empfohlen werden kann. 3 Bitte beachten Sie, dass die SMB Telefone nicht an einer BE6000 betrieben werden können.

Mein Kunde möchte seine Cisco VCS Der Cisco VCS ist von Cisco abgekündigt. Hier Control upgraden, was hat sich wird die Empfehlung auf den CUCM zu migrieren geändert? ausgesprochen. Mit der Expresswaylösung besteht 4 natürlich weiterhin die Möglichkeit für Business 2 Business Video.

Ich möchte meinem Kunden WebEx Bei Webex muss man sich zwischen zwei anbieten, was benötige ich da? Varianten entscheiden:

On Premise Lösung oder Cloud Lösung.

Die On Premise Lösung von WebEx wird CWMS (Cisco WebEx Meeting Server) genannt und betreibt der Endkunde lokal in seiner Infrastruktur bzw. lässt diese von seinem Partner betreiben. Die Cloud Lösung läuft komplett gemanaged in der Cisco Cloud. Hier stehen neben dem klassischen 5 Meeting Server auch das Event Center, Training Center sowie das Support Center zur Verfügung.

Die Lizensierung erfolgt üblicherweise nach sog. Named-Usern. Diese sind dann in der Lage ein Meeting zu erstellen und alle anderen Teilnehmer können diesem Meeting dann beitreten.

Weitere Informationen sind auch unter www.cisco.com/go/webex zu finden.

Mein Kunde möchte eine Cisco Für eine Video –Konferenzlösung sind neben der MX300/700, was brauche ich da? Anforderung für die Hardware-Infrastruktur (z. B. MX300/ MX700 je nach Raumgröße und benötigten Features) auch die entsprechenden 6 Lizenzen zu beachten (z. B.: MultiSite Option, TelePresence Room License für CUCM) zu beachten

Kann ich auf der Business Edition 6000 Nein, es werden nur die freigegebenen 3rd Party weitere 3rd Party Anwendungen Anwendungen unterstützt (siehe z.B. Quick Pricing 7 betreiben? Tool).

- 131 -

Mein Kunde möchte mehr als zwei Ja, hierdurch erhöhen sich allerdings nicht die 8 Server in seiner BE6k Lösung betreiben unter Kap. 15.1 genannten Systemgrenzen. ist das möglich? Kann ich meinen Business Edition 6000 Nein, hier gilt das 4+1 Prinzip. Wird die MD Server anstatt mit Managementanwendung nicht genutzt kann diese 9 Managementanwendungen auch mit nicht durch eine andere UC App „aufgefüllt“ einer normalen UC Anwendung laufen werden. lassen? Kann ich die Business Edition 6000 Nein, die Business Edition 6000 wurde explizit als 10 auch auf einer anderen Cisco UCS or Hard- und Softwarebundle konzipiert. 3rd Party Server laufen lassen? Tabelle 16: Fragen und Antworten

19 Abkürzungen

ATA Analog Telephony Adapter BE Business Edition BOM Bill of Material BRI Basic Rate Interface CUWL Cisco Unified Workspace H.323 Protokoll für Voice over IP ICQ „I seek you“, erster Instant Messaging Dienst. IM Instant Messaging IVR Interactive Voice Response MCU Multipoint Conferencing Unit PoE Power over Ethernet PRI Primary Rate Interface PSTN Public Switched Telephony Network QPT Quick Pricing Tool SIP Session Initiation Protocol Protokoll für Voice over IP SLA Service Level Agreement T.38 Protokoll für Fax over IP TLS Transport Layer Security UCaaS Unified Communications as a Service UCCX Unified Contact Center Express UCL User Connect Licensing UCM Unified Communications Manager XMPP Extensible Messaging and Presence Protocol

- 132 -

Inhalt: Architektur Datacenter Virtualisierung

20 Data Center / Virtualisierung: Kurze Vorstellung der Architektur ...... 134 20.1 Data Center Architektur ...... 135 20.2 Cloud ...... 139 20.3 Lösungen und Produkte ...... 140 21 Fokusthemen: Data Center / Virtualisierung ...... 141 21.1 Cisco UCS ...... 142 21.1.1 Geht es auch kleiner? ...... 145 21.1.2 Speed-Up: Service Profile ...... 147 21.1.3 Compute Hardware: B-Serie und C-Serie ...... 148 21.1.4 Ein Server sucht Anschluss: Virtual Interface Cards ...... 150 21.1.5 UCS Express ...... 150 21.1.6 Management ...... 151 21.2 Cisco Nexus ...... 153 21.2.1 Nexus 2000 FEX ...... 154 21.2.2 vPC ...... 155 21.2.3 Nexus 1000V ...... 156 21.3 Cisco FlexPod ...... 157 21.3.1 Cisco Validated Designs ...... 159 21.3.2 Cooperativer Support ...... 160 21.4 Cisco HyperFlex ...... 160 21.5 Cisco ONE Software for DataCenter ...... 163 21.5.1 Use Case: Equipment Refresh ...... 165 21.6 Data Center Solutions for SAP HANA ...... 166 22 CCW Konfiguration ...... 170 23 Fragen und Antworten ...... 172 24 Abkürzungen ...... 173

- 133 -

20 Data Center / Virtualisierung: Kurze Vorstellung der Architektur

Beeindruckend: https://www.youtube.com/watch?v=XZmGGAbHqa0 https://www.youtube.com/watch?v=MFfQ2Ucj_HA Data Center Standards, Richtlinien, Zertifizierungen: ANSI/TIA, Uptime Institute, BICSI Cisco Data Center Partner Community: https://communities.cisco.com/community/partner/datacenter Einstieg in das Thema auf CxO Level: www.cisco.com/go/virtualdatacenter

Die Endanwender konsumieren heute Anwendungen, die ihnen zuverlässig, schnell, effizient, performant quasi zu jeder Zeit an jedem Ort zur Verfügung gestellt werden müssen. Dies ist aber nur auf Basis einer Service orientierten Infrastruktur reali- sierbar, d. h. einer Infrastruktur, die in kurzen Zyklen neue Geschäftsprozesse unter- stützen und auf Änderungen der Unternehmensstruktur flexibel reagieren kann. Dadurch rücken Rechenzentren und schnelle Netzwerkinfrastrukturen zunehmend in den Mittelpunkt einer vernetzten Welt und Themen wie z. B. Internet-of-Everything (IoE), Industrie 4.0, oder auch Big Data untermauern mit Blick auf die Cisco Architek- turen die Rolle der Rechenzentren als Primus Inter Pares. Mit der Entwicklung hin zu einem zentralen App Store haben sich natürlich auch die Anforderungen an dieses Thema verschärft. Nachfolgend sind einige dieser Anforderungen aufgeführt:

Thema Kurzbeschreibung Ausfallsichere Stromversorgung Energieverteilung Zutrittskontrolle Brandschutz, DC Infrastruktur rückstandslose und leise Löschsysteme energieeffiziente Kühlung Verkabelung etc. Aufrechterhalten der über das Data Center bereitgestellten Komplexität des Betriebs Services bei steigender Komplexität der Lösungen. Reduzierung der Komplexität Management Reduzierung der CAPEX Business Anwendungen ERP, CRM, ECM etc. Skalierbarkeit Einfache Erweiterung. Eine Infrastruktur, die schnell und flexibel auf neue Anforderun- Service orientierte Infrastruktur gen angepasst werden kann. Georedundante Verfügbarkeit Unterstützung der Business Continuity Strategie Hohe Verfügbarkeit Minimierte Downtime bei SW Updates Anytime, Anywhere etc. PUE energieeffiziente Kühlung von Serverräumen Energieeffizienz Green IT etc. z. B. deutsche Datenschutzrichtlinien Abbildung von mehreren Mandanten Compliance & Security Erkennung und Abwehr von Angriffen (Threats) etc.

- 134 -

VM und Anwendungsmobilität schnelle Bereitstellung von Diensten Agilität Mobilität von Diensten auch zwischen DC Standorten und zwischen Standort und Cloud etc. Standardisierung als Grundlage der Automatisierung Verkabelung, Schnittstellen Standardisierung Einfache Integration von 3rd Party Lösungen etc. Optimale Nutzung der Server Ressourcen Effiziente Nutzung von (Server) Optimale Nutzung der Network Device Ressourcen Ressourcen Optimale Nutzung der Network Ressourcen etc. Konsolidierung von Storage I/O und Daten I/O über eine Konvergenz Daten und Storage gemeinsame Netzwerkplattform. Qualifizierung und Analyse von großen Datenmengen (die Daten selbst werden zum Problem) Big Data Verarbeitung von Daten: 24x7, 365 Tage im Jahr etc. Tabelle 17: Anforderungen an das Thema Data Center.

Um diesen Anforderungen gerecht werden zu können, musste beim Thema Data Center einer Evolution eingeleitet werden. Cisco hat sich im Jahre 2009 mit der Einführung der UCS Systeme dieser Aufgabe mit sehr viel Energie angenommen. Der konsequenten Einführung von Application Centric Infrastructure (ACI), die im Zusammenspiel mit UCS und führenden Hypervisor-Herstellern sozusagen die erste Generation von hyperconverged DC-Infrastrukturen darstellte, folgt aktuell der nächste Entwicklungsschritt und somit die Existenz der Next Generation Hyper- convergence Plattform

Abbildung 105: Cisco Data Center: Entwicklungsphasen

20.1 Data Center Architektur Das nachfolgende Bild zeigt eine sehr vereinfachte Darstellung der Cisco Data Center Infrastruktur. Das Design des Netzwerks eines Data Centers folgte lange Zeit einem hierarchischen Modell (Access, Distribution und Core), das sich mit Blick auf

- 135 -

Themen wie z. B. Troubleshooting auch schon viele Jahre im LAN bewährt hatte. Das klassische dreistufige Design basierte sehr stark auf der lange Jahre gültigen Tatsache, dass das hauptsächliche Verkehrsaufkommen primär „North-South“ statt- fand, also zwischen dem Client und dem bzw. den Servern.

Abbildung 106: Traditionelles 3-Tier Design im Datacenter-Netzwerk

Heutige Applikationen setzen jedoch vermehrt auf ein 3-Tier Prinzip im Applikations- Design. Ein Frontend-Server, der mit dem/den eigentlichen Application-Server, die wiederum mit DB-Servern stark kommunizieren. So verlagert sich das Verkehrs- aufkommen zunehmend in eine sog. „East-West“ Kommunikation, findet also zu einem Großteil im Data-Center statt.

Der zweite, über Jahre gültige Ansatz war die Tatsache einer deutlichen Over- subscription von Uplink-Ports. Nicht selten teilten sich 48 und mehr Server mit je 100 Mbps einen Uplink von 1Gbps und eine Überbelegung von 10:1 war durch das stochastische Zugreifen der Clients auf die Server gerechtfertigt. Die heutigen Verkehrsflüsse der Server innerhalb eines RZ erlauben diese Überbelegung nicht mehr. Der Trend geht dahin, geradezu blockadefreie Netze, bzw. geringe Over- subscriptions (häufig max. 1:2) im RZ zu realisieren.

Dies alles führt dazu, dass heute vermehrt sogenannte Spine-Leaf Topologien gebaut werden. Hierbei sind die Leafs die „Access-Switches“, die die Konnektivität zu den Servern herstellen. Jeder Leaf ist mit jedem Spine verbunden. Die Spines untereinander haben keine Verbindung. Spine-Leaf Topologien basieren auf einer sog. Clos-Netzwerk Architektur. Der Begriff entstammt Charles Clos, der in den Bell Laboratories bereits 1953 die mathematische Theorie zu multipfad-, blockadefreien-, mehrstufigen Topologien entwickelte. Damals eigentlich für Telefonnetzwerke

Abbildung 107: Spine-Leaf Design im Datacenter-Netzwerk

- 136 -

Der sogenannte „Scale out“ ist denkbar einfach. Wenn mehr Access-Ports benötigt werden, werden weitere „Leafs“ an die Spines angeschlossen. (Natürlich hat dieses Prinzip ein Ende in der Skalierung, wenn alle Ports an den Spines belegt sind. Aber die Plattformen bieten aktuell bis zu 2300 10GE Ports in einem Chassis) Wird hingegen mehr „Durchsatz“ benötigt, werden weitere Spines der Topolgie hin- zugefügt.

Dieses Prinzip kann seinen enormen Vorteil natürlich nur dann ausspielen, wenn das jahrzehntelange existente Feature „Spanning-Tree“ durch seinen Nachfolger Fabric Path bzw. TRILL ersetzt wird. In Kürze: Spanning-Tree hatte die Aufgabe, für ein schleifenfreies Netz mit redundanten Anbindungen zu sorgen. Das wurde durch das Blocking von Ports auch erfolgreich erreicht. Bezüglich der Effizienz der Nutzung der gesamten Plattform bei zahlreichen blockierten Ports darf das Protokoll nun langsam in den Ruhestand gehen. Daran änderten grundsätzlich auch die Verbesserungen Rapid oder Multiple Spanning Tree nichts. Die Nachfolger sind Layer 2 IS-IS basierte Routingprotokolle, die ein redundantes ECMR (Equal Cost Multipath Routing) er- lauben und somit alle Uplinks für den Traffic verwenden können.

Abbildung 108: Data Center Architektur.

Die Transformation des Data Centers hin zu einem hochleistungsfähigen App Store und einer Service orientierten Infrastruktur wird durch den Verbund von ver- schiedenen funktionalen Einheiten zu einem Gesamtsystem möglich. Dabei ist die FibreChannel-over-Ethernet (FCoE) Technologie das Instrument für die Konvergenz von Storage und Daten Traffic. Über entsprechende Karten in den Host Systemen findet diese Konvergenz schon im Access Layer statt. Über Cisco Nexus und MDS Switches (SAN Switches) kann der FibreChannel Traffic dann wieder in seine native Umgebung – das SAN – ausgekoppelt werden.

Dem Bild ist auch zu entnehmen, dass dem Theme Virtualisierung ein hoher Stellen- wert zuzusprechen ist und damit – entgegen der weitläufigen Annahme – nicht nur die Virtualisierung von Servern gemeint ist. Eine in allen funktionalen Bereichen zur Verfügung stehende Virtualisierung ermöglicht z. B. den Aufbau von mandanten- fähigen Lösungen (Multi-Tenancy).

- 137 -

Abbildung 109: Virtualisierung in allen Bereichen.

Wenn man sich dem Thema Data Center auf der vertrieblichen, oder technischen Ebene nähert, dann wird schnell klar, dass hier mit Blick auf die Größe unter- schiedliche Vorstellungen und Ausprägungen existieren. Nicht jeder betreibt ein Rechenzentrum, das z. B. den Anforderungen von Facebook gerecht wird. D. h. es gibt Firmen, bei denen die Bezeichnung „Fußballfeld(er)“ die passende räumliche Assoziation hervorruft, während bei anderen wiederum ein halb gefülltes Rack als Data Center zu bezeichnen ist. Insofern dürfte es einsichtig sein, dass die Probleme und Herausforderungen in beiden Varianten nicht in allen Bereichen gleich aus- geprägt sind. Das bedeutet aber nicht, dass es nicht auch Bereiche mit durchaus vergleichbaren Ausprägungen gibt.

So ist z. B. das Gesamtthema – also die Verzahnung von Netzwerk, Virtualisierung und Storage als komplex zu bezeichnen. Unabhängig von der „räumlichen“ Aus- prägung des Rechenzentrums sollte folglich das Interesse bestehen, dieser Komplexität mit z. B. Instrumenten der Standardisierung und Automatisierung entgegenzutreten.

Abbildung 110: Klein/Groß

- 138 -

Ungeachtet dessen muss ein Hersteller wie Cisco natürlich den Spannungsbogen zwischen „klein“ und „groß“ bedienen und zwar vor dem Kontext, dass „klein“ nicht zwingend auch das Synonym für geringere Ansprüche ist. Was ist aber nun formal gesehen „klein“ und was ist „groß“? Hier findet man bei Cisco die nachfolgende Klassifizierung.

Klassifizierung Anzahl der Mitarbeiter Small 1 bis 99 Medium 100 bis 249 Midmarket 250 bis 999 Tabelle 18: Klein/Groß (Cisco Definition).

20.2 Cloud

The NIST Definition of Cloud Computing csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf Kk https://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node.html

Die Idee der Cloud stützt sich auf die Anforderung, dass Anwendungen auf einer Shared Infrastructure (Server, Storage, Netzwerk) On-Demand zu jeder Zeit und an jedem Ort zur Verfügung gestellt werden können. Dabei müssen die entsprechenden IT-Ressourcen mit Hilfe eines Managementsystems flexibel und bedarfsorientiert zur Verfügung gestellt werden können. Diese Anforderung muss von einem modernen Data Center bedient werden, unabhängig davon, ob man aufgrund von z. B. Regularien die Dienste über seine eigene Private Cloud zur Verfügung stellt, oder über eine öffentliche Cloud konsumiert.

Mit Blick auf das Thema Cloud existieren mit IaaS, PaaS und SaaS verschiedene Ausprägungen (Deployment Modelle), die gegenüber einer On-Premises Lösung die den Administrationsaufwand der eigenen IT zunehmend von IaaS über PaaS hin zu SaaS zunehmend reduzieren. Allerdings muss man davon ausgehen, dass ein Kunde sich nicht immer ausschließlich nur für eine Varianten entscheidet, sondern Mischformen aus On-Premises und XaaS Lösung auftreten. D. h. einige Anwen- dungen werden z. B. über die eigene Cloud vorgehalten und andere wiederum über eine Public Cloud konsumiert. Auch ist z. B. die Nutzung von Cloud Ressourcen als Überlauf zu Stoßzeiten ein Thema. Insofern ist hier eine Mobilität der Dienste erforderlich: Innerhalb eines Data Centers, zwischen Data Center und zwischen Data Center und Public Cloud. Diese Anforderungen – wenngleich nicht für alle Kunden aktuell in gleichen Maßen interessant – müssen von Cisco berücksichtigt und im Portfolio beantwortet werden. In diesem Fall wäre die Cisco Interactive Cloud (IAC) Management Lösung zu erwähnen.

- 139 -

20.3 Lösungen und Produkte Die Lösungen und Produkte von Cisco orientieren sich sehr stark an den heutigen Anforderungen der Unternehmen an ihre IT:

Steigerung der Effizienz Reduzierung der CAPEX Kosten Business-IT Alignment Schnelle Bereitstellung von Diensten Minimierung des Risikos

Es ist natürlich – wie bei jeder Cisco Architektur – nicht zielführend, wenn man nur die Produktebene in den Vordergrund stellt. D. h. der Mehrwert einer Architektur ist höher als es eine schlichte Addition der einzelnen Komponenten reflektiert. Insofern steht das Gesamtbild und nicht die einzelne Komponente im Vordergrund. Auf dieser Ebene leiten sich dann auch die Argumente ab, die den Business Value der Lösung unterstreichen.

Abbildung 111: Cisco Data Center Lösungen

- 140 -

Natürlich kann die Frage nach einem z. B. neuen, leistungsfähigen LAN Backbone mit Cisco Nexus Switches beantwortet werden und die Frage nach z. B. neuen Hosts für die bestehende Virtualisierung mit UCS Rack Servern. Beide Produkte ent- stammen dem Cisco Data Center Portfolio, aber letztendlich handelt es sich hier nicht um ein Data Center Projekt. Dennoch können beide Maßnahmen beim Kunden den Weg in Richtung Cisco Data Center Lösung ebnen. Aus diesem Grund werden nachfolgend die Produkte und Produktfamilien vorgestellt, die als primäre Bestand- teile einer Cisco Data Center Lösung zu bezeichnen sind. Sie können vereinfacht auf die folgenden Bereiche aufgeteilt werden.

Abbildung 112: Data Center – Produktbereiche

21 Fokusthemen: Data Center / Virtualisierung Offizielle Schulungen zu den Themen Cisco Data Center und Cloud: o Introducing Cisco Data Center Networking (DCICN) o Introducing Cisco Data Center Technologies (DCICT) o Understanding Cisco Cloud Fundamentals (CLDFND) Die Cisco Security Produkte zählen ihn allen Bereichen zu den marktführenden Lösungen. Unterschiedliche Implementierungsvarianten: On-Premise Lösungen, Cloud Lösungen und hybride Lösungen. Unterschiedliche Formfaktoren: virtuelle und physische Appliances Einen Überblick zu allen Cisco Data Center Lösungen finden Sie hier: www.cisco.com/go/datacenter Für Techniker: Labs (Online Ressources): https://communities.cisco.com/docs/DOC-38326 Voice-of-the-Engineer (DC Byte-Z): https://communities.cisco.com/docs/DOC-27222

Nachfolgend werden die primären Cisco Data Center Lösungen und Produkte kurz vorgestellt.

- 141 -

21.1 Cisco UCS Offizielle Schulungen zum Thema UCS: o Implementing Cisco Data Center Unified Computing (DCUCI) o Troubleshooting Cisco Data Center Unified Computing (DCUCT) Cisco Prime Infrastructure 2.X Mit dem Data Center Technology Pack werden die Inventarisierung von Data Center, Cluster, Hosts und VMs via vCenter in und von Port-Channel der Nexus 9K Systeme unterstützt. Hands-On: Das Cisco dCloud Lab Cisco Unified Computing System 2.2 v2 Das Cisco dCloud Lab Cisco UCS Mini with Cisco UCS Central 1.2 v1 Das Cisco dCloud Lab Cisco UCS Director 5.0 v1 SmartPlays: www.cisco.com/c/en/us/solutions/data-center-virtualization/ucs-smartplays-solution- paks/index.html#~SmartPlays Build & Price: https://apps.cisco.com/ccw/cpc/content/ucsContentMain/ucsHome UCS PE: Testen des UCS Managers ohne UCS Hardware: https://communities.cisco.com/docs/DOC-37827 Cisco UCS Sizer: https://tools.cisco.com/ucsappsizer/project/all/home UCS TCO/ROI Advisor mainstayadvisor.com/Go/Cisco/Cisco-UCS-TCO-ROI-Advisor.aspx

Die Cisco Unified Computing System (UCS) Lösung verzahnt die Themen Management, Netzwerk, Storage und Server Virtualisierung und schafft damit ein integriertes, skalierbares System, bei dem alles über ein Netzwerk als gemeinsame Plattform (die Fabric) über eine gemeinsame Verkabelung (Single Connect) zusammengeführt und über ein Management System verwaltet wird. Die primären Merkmale der Cisco UCS Data Center Plattform sind:

Integriertes Management Die Lösung benötigt keinen dedizierten Management Server. Vielmehr ist hier die Sicht auf alle beteiligten Komponenten (Adapter, FEX, FI, und Rack Server) über den Cisco UCS Manager (UCSM) in das Netzwerk integriert. D. h. der UCSM ist ein NX-OS Software Modul und damit der Hoheit des Betriebs- systems der Nexus Switches unterstellt.

Unified Fabric Eine Infrastruktur für LAN, Storage, HPC und Management Traffic. Diese Infrastruktur wird über die Fabric Interconnect Switches bereitgestellt, welche damit das zentrale Nervensystem für das Management und die Kommunikation (LAN und Storage) der Server sind. D. h. jeder mit dieser Infrastruktur verbundene Server ist in die Management Domäne integriert und bekommt Zugang zu LAN und Storage.

Optimiert für virtuelle Umgebungen Cisco UCS ist sehr intensiv in die jeweilige Virtualisierung integriert, so dass hier Features wie z. B. VM-FEX, SR-IOV, oder Nexus 1000V möglich sind.

- 142 -

Hohe Dichte an virtuellen Servern Dies ist auf die Cisco Memory Extension Technologie zurückzuführen. Da hier mehr Speicher unterstützt wird, können auch mehr virtuelle Maschinen pro Server unterstützt werden.

Kombination von Rack-Mount und Blade Servern Volle UCS Funktionalität für beide Welten.

Stateless Computing Ein Cisco UCS Blade Server ist eine zustandslose Hardware Ressource: Keine MAC-Adresse, keine BIOS Einstellungen, keine UUID etc. Diese Informationen – d. h. seine Persönlichkeit – erhält der Server erst über ein sogenanntes Service Profil. Eine Methode zur schnellen Provisionierung von Servern, mit der Cisco am Markt neue Maßstäbe gesetzt hat und das im Rahmen von UCS als Stateless Computing bezeichnet wird.

Abbildung 113: UCS - Integrationslösung

Das Bild verdeutlicht noch einmal, dass UCS – selbst wenn es oft so verstanden wird – nicht einfach nur das Synonym für Server ist. Es handelt sich hierbei vielmehr um eine Integrationslösung, welche die Server optimal mit den Komponenten eines Data Centers verzahnt und so den Prozess der Server Provisionierung optimiert. Dieser Prozess beinhaltet primär die folgenden Arbeitsschritte:

- 143 -

Storage, SAN: SAN Zoning, LUN Provisioning, LUN Masking Netzwerk: Konfiguration der Access Ports, VLANs, Quality-of-Service Rack: Installation der Server, Stromversorgung/Kühlung, Verkabelung Server: Firmware Update, BIOS Einstellungen, Installation und Anpassung von Betriebssystem und Anwendungen Tabelle 19: Provisionierung von Servern (Arbeitsschritte)

Die Provisionierung von Servern kann also durchaus als ein aufwändiger Prozess bezeichnet werden, an dem – abhängig vom Unternehmen – mehrere Fachabtei- lungen beteiligt sein können. Dieser Prozess ist in der Regel „standardisiert“, wo- durch er aber nicht schneller und einfacher wird.

Die Cisco UCS Lösung vereint als Integrationslösung die Themen Server, Virtuelle Maschinen, LAN und SAN über eine einzige Management Komponente, den Cisco UCS Manager, welcher von den Cisco Fabric Interconnect (FI) Switches beherbergt wird. Die Fabric Interconnect (FI) Switches sind Nexus Switches, die zur direkten Anbindung von z. B. Servern, bzw. zur Anbindung von Cisco Fabric Extender (FEX) dienen. Letztgenannte sind „Portvervielfältiger“, die z. B. im Rahmen eines Top-of- Rack Designs eingesetzt werden können und somit auch die Verkabelung der Server optimieren.

Abbildung 114: Die Komponenten der UCS Lösung (UCS Domäne)

Das obige Bild zeigt die Komponenten einer UCS Lösung. Dabei sind die folgenden Informationen hervorzuheben:

Es können – abhängig von der Version des UCS Managers, des Server Modells und der Virtual Interface Card (VIC) – neben den Blade Servern (B-Serie) auch die Rack Mount Server (C-Serie) integriert werden. D. h. die UCS Funktionalität ist im vollen Umfang auch für die Modelle der C-Serie gegeben.

- 144 -

Im Bild werden die Rack Server direkt mit den Fabric Interconnect Switches verbunden (Direct Connect Mode). Dies ist ab Version 2.2 des UCS Managers möglich. Vorher erfolgte die Anbindung über FEX (Single Connect Mode). Der FI Switch ermöglicht die LAN, Storage und Management Konnektivität, d. h. diese Verkehrsströme können über die gleichen Kabel geführt werden. Dieses Konzept wird von Cisco als Single Connect I/O Architektur bezeichnet. Der UCS Manager ist Bestandteil der FI Switches. Über ihn ist die zentrale Administration (eine Schnittstelle für alle Komponenten) gegeben. Der FI Switch kann auch in Form eines Einschubmoduls für die Server der B- Series integriert sein. Dies ist ein wesentliches Merkmal der Cisco UCS Mini Lösung (www.cisco.com/go/ucsmini). UCS bietet als Integrationslösung ein vereinfachtes und automatisiertes Management der Firmware. D. h. wenn man z. B. einer bereits bestehenden Blade Chassis einen neuen Blade Server hinzufügt, dann werden alle Komponenten des Servers (RAID Controller, CNAs, FEX, KVM Konsole, Video Adapter, Motherboard etc.) aktualisiert. Neue Firmware, oder Software Pakete können automatisch auf alle Server ausgerollt werden.

Bitte beachten Sie, dass die Abbildung zu Gunsten der Übersichtlichkeit auf die Darstellung von redundanten Anbindungen verzichtet.

Nachfolgende Produkte sind als primäre Produkte der UCS Integrationslösung zu bezeichnen:

Blade Server (UCS B-Series) Rack Server (UCS C-Series) Modulare Server (UCS M-Series) Storage Blades (UCS Invicta) UCS Mini UCS Management (UCS Manager, UCS Central, UCS Director )

Die genauen Informationen zu den Produkten sind unter www.cisco.com/go/ucs zu finden.

21.1.1 Geht es auch kleiner? Bei der UCS Mini Lösung hat Cisco die FI Switches auf die Größe eines I/O-Moduls geschrumpft, d. h. an Stelle der I/O-Module werden kleine FI-Module in ein Blade Chassis (neue Chassis mit neuer Backplane, neue AC-Netzteile) eingebaut. Damit werden die Kunden adressiert, welche die primären Vorteile der UCS Lösung schätzen (Service Profile, Unified Fabric), aber nicht die Skalierungsmöglichkeiten der klassischen UCS Lösung benötigen.

- 145 -

Abbildung 115: UCS Mini

Das kleine FI-Modul ist eine Kombination aus I/O-Modul und FI-Modul, d. h. über dieses Modul können auch bis zu 7 Rack Server im Direct Connect Mode angeschlossen werden. Damit kann die Lösung auf maximal 15 Server (8 Blades plus 7 Rack Server) erweitert werden. Zudem ist der direkte Anschluss von NetApp FAS2500 Appliances im Design vorgesehen.

Abbildung 116: UCS Mini Design

Design: www.cisco.com/c/dam/en/us/td/docs/unified_computing/ucs/UCS_CVDs/flexpod_ucsmini_d esign.pdf

- 146 -

21.1.2 Speed-Up: Service Profile Wie bereits erwähnt, ist die Provisionierung von Servern mit einigen Arbeitsschritten verknüpft und somit durchaus als aufwendiger Prozess zu bezeichnen, der in vielen Unternehmen aufgrund der Zuständigkeiten (z. B. Server Team, Netzwerk Team) auch Stoßstellen hat. Cisco adressiert mit den Service Profilen genau diesen Prozess und lieferte mit der Einführung von UCS eine zu diesem Zeitpunkt als revolutionär zu bezeichnende Lösung, die auch heute noch als ein Merkmal zur Differenzierung gegenüber den Mitbewerbern zu bezeichnen ist.

UCS Server sind identitätslos, d. h. ihnen fehlen zunächst (Factory Default Zustand) die Informationen, welche eine Identifizierung eines Servers ermöglichen. Dazu zählen z. B. UUID und MAC-Adresse. Cisco bezeichnet die Server deshalb als Stateless Server. Seine Identität erhält ein Server erst, wenn man ihm z. B. über den UCS Manager ein Service Profil zuteilt.

Abbildung 117: UCS – Service Profile (Vergleich)

Service Profile sind durchaus als eine Form der Virtualisierung zu bezeichnen und ermöglichen eine stringente Trennung zwischen der Hardware und der Identität eines Servers (Stateless Computing). D. h. ein Service Profile konfiguriert nicht nur einen Server (z. B. Boot Reihenfolge, MAC-Adresse, Schnittstellen etc.) und die FI Switches, sondern aus Server A kann durch die Zuweisung eines neuen Service Profils auch schnell Server H werden. Zudem ist es egal, ob man einen, oder hundert Server provisioniert. Die Service Profile werden zentral vom UCS Manager gespeichert und können so jeder Server Hardware zugeordnet werden, die Bestandteil einer UCS Domäne ist.

- 147 -

21.1.3 Compute Hardware: B-Serie und C-Serie Die Compute Hardware der UCS Lösung wird primär über die Server der B-Series (Blade Server) und der C-Series (Rack Server) bereitgestellt. a) Blade Server www.cisco.com/c/en/us/products/servers-unified-computing/ucs-b-series-blade- servers/index.html b) Rack Server www.cisco.com/c/en/us/products/servers-unified-computing/ucs-c-series-rack- servers/index.html c) Rack Server: Modellvergleich www.cisco.com/c/en/us/products/servers-unified-computing/ucs-c-series-rack- servers/models-comparison.html

Die Verwaltung der UCS Server (Inventarisierung, Konfigurationsänderungen etc.) in einer UCS Domäne erfolgt wie bereits erwähnt über den UCS Manager.

Abbildung 118: UCS B- und C-Series

Die Server der C-Series müssen nicht Bestandteil einer UCS Domäne sein und kön- nen daher auch standalone (d.h. nicht-integriert ) betrieben werden. Dem aufmerksa- men Leser dürfte an dieser Stelle aber klar sein, dass damit Leistungsmerkmale wie z. B. Service Profile verloren gehen und die vertriebsseitige Diskussion beim Kunden sich dann oft auch schnell auf „das Blech“ und den Preis reduzieren können.

Ungeachtet dessen, ob man die C-Serie Server direkt schon als Bestandteil der UCS Lösung, oder als einzelne Komponente einsetzt, ermöglichen diese Server einen ein- fachen und kostengünstigen Einstieg in die Cisco UCS Compute Welt. Dieser Einstieg wird dadurch noch erleichtert, dass die Rack Server entsprechend des vorgesehenen Einsatzbereichs kategorisiert sind: a) Scale-Out b) Enterprise (Mainstream Anwendungen) c) Enterprise (Mission Critical Anwendungen)

- 148 -

Abbildung 119: Cisco C-Series Server

Natürlich bieten die unterschiedlichen Server Modelle auch die Möglichkeit zur individuellen Anpassung, d. h. im Rahmen der entsprechenden Vorgaben können Prozessor, Arbeitsspeicher, RAID Controller etc. gewählt werden. Zuvor sollte man aber prüfen, ob Cisco nicht schon ein Bundle (SmartPlay) bietet, dessen Ausstattungsmerkmale den Anforderungen entsprechen und das von Cisco zu rabattierten Konditionen angeboten wird.

Abbildung 120: C-Series: Beispiel C220 M3 SFF

Die Cisco Server (B- und C-Series) verfügen über einen sogenannten Cisco Integrated Management Controller (CIMC), der normalerweise über den UCS Manager konfiguriert wird und dem Manager Informationen zum Server Status zur Verfügung stellt. Der CIMC ist kostenfrei.

- 149 -

Abbildung 121: Cisco Integrated Management Controller (CIMC)

Wenn ein Server der C-Series standalone betrieben wird, dann kann der CIMC als Tool zur Administration des Servers verwendet werden. Über dieses Tool ist im Sinne eines Baseboard Management Controllers (BMC) eine grundlegende Kommu- nikation mit dem Server möglich. Der CIMC wird bei der initialen Einrichtung des Servers konfiguriert und ersetzt mit Blick auf das Thema Mehrwerte natürlich nicht den integrierten Angang über den UCS Manager.

21.1.4 Ein Server sucht Anschluss: Virtual Interface Cards Ein weiterer wichtiger Bestandteil der UCS Lösung sind die Virtual Interface Cards (VICs). Es handelt sich dabei um Converged Network Adapter (CNA), über welche die Konvergenz von Storage (FCoE) und Data Traffic direkt schon an den Servern erfolgen kann (Single Connect). D. h. eine VIC bietet z. B. 2 physische GigE-Ports zum Anschluss an z. B. einen FI Switch, oder einen Nexus 9k Switch und emuliert gegenüber dem Hypervisor bis zu 256 PCIe-konforme Interfaces (NIC, usNIC, HBA), welche dann den virtuellen Maschinen zugeteilt werden können. Der Einsatz von VICs bietet somit die nachfolgenden Vorteile:

Pro Host werden weniger Adapter benötigt. Der mit der Verkabelung verursachte Aufwand wird reduziert.

Eine Auflistung und Beschreibung der aktuell verfügbaren Adapter ist hier zu finden: www.cisco.com/c/en/us/products/interfaces-modules/unified-computing-system- adapters/models-comparison.html

21.1.5 UCS Express Die UCS Express wird von Cisco auch als Office-in-the-Box Lösung bezeichnet, da hier Cisco ISR Router G2 der 2900er, 3900er, oder 4000er Familie die Blade Server aufnehmen und somit die UCS Lösung und LAN Infrastruktur (Switch Module) in einem Chassis zusammengefasst werden können.

- 150 -

Abbildung 122: UCS Express

Als Compute Ressourcen stehen Blade Server der UCS E-Series und UCS E-Series Network Compute Engines zur Verfügung. Ein Vergleich der verschiedenen Modelle ist hier zu finden: www.cisco.com/c/en/us/products/servers-unified-computing/ucs-e-series-servers/models- comparison.html

21.1.6 Management Das folgende Bild zeigt die primären Management Lösungen, die rund um das Thema Data Center zur Verfügung stehen. Dabei ist zu betonen, dass eine UCS Domäne komplett über den UCS Manager administriert werden kann, d. h. über ein einziges, integriertes und kostenfreies Management Tool. Im Vergleich zu anderen Lösungen ist dafür kein dedizierter Server erforderlich und es werden auch nicht mehrere Management Tools benötigt. Aus diesem Grund wird an dieser Stelle auch nur der UCS Manager als dediziertes Management Tool der UCS Integrationslösung vorgestellt. Die anderen Lösungen werden interessant, sobald z. B. mehrere UCS Domänen verwaltet werden müssen, oder die Themen wie Automatisierung, oder die Integration von Cloud Diensten anstehen.

- 151 -

Abbildung 123: Management

Wie bereits erwähnt ist der UCS Manager in die Cisco Fabric Interconnect Switches integriert. Für den Zugriff auf den UCSM stehen die folgenden Schnittstellen zur Verfügung:

(1) Graphical User Interface (GUI) (2) Application Programming Interface (API) (3) Command Line Interface (CLI)

Während (1) die für den Administrator übliche Zugriffsvariante darstellt, ermöglicht (3) eine Integration von 3rd Party Produkten von z. B. BMC, CA, Microsoft oder SolarWinds. Letztgenanntes ist der Grund dafür, warum Cisco von einem UCS Manager Partner Ecosystem spricht, über das aktuell mehr als 20 Management Anwendungen zur Verfügung gestellt werden.

Abbildung 124: Cisco UCS Manager: GUI

- 152 -

Mit dem UCS Manager können innerhalb einer UCS Domäne aktuell bis zu 160 Server (Blade oder Rack) inkl. Access Layer verwaltet werden. Dabei werden u. a. die folgenden Aufgaben abgebildet:

- Provisionierung - Inventarisierung - Konfigurationsänderungen - Diagnosen - Überwachung (Monitoring) - Software Aktualisierung

Weitere Informationen zu diesem Thema sind unter www.cisco.com/go/ucsm zu finden.

21.2 Cisco Nexus Die Nexus Data Center Switches: www.cisco.com/go/nexus Hands-On: Das Cisco dCloud Lab: Nexus 7000: Introduction to Cisco NX-OS v1: dcloud-cms.cisco.com/demo/cisco-nexus-7000-introduction-to-nx-os Informationen zu Nexus Hardware und NX-OS: https://communities.cisco.com/community/partner/datacenter/unified_fabric

Die Cisco Nexus Switches bilden die primäre Komponente der Unified Fabric und bedienen mit den Familien Nexus 1000, 2000, 3000, 4000, 5000, 7000 und Nexus 9000 die drei Teilebenen Access, Aggregation und Core der Data Center LAN Architektur. Die Switches wurden von Grund auf für den Einsatz im Rechenzentrum entwickelt, d. h. sie bedienen die heutigen und auch zukünftigen Anforderungen dieser Umgebungen.

NX-OS als dediziertes DC Switch Betriebssystem. Virtual Device Context (VDC) als Instrument der Device Virtualisierung. Virtual Port-Channel (vPC) als Instrument der Netzwerkvirtualisierung. Hohe Skalierbarkeit: 10-GigE, 40-GigE und 100-GigE. Optimierungen für High Availability und Continuous Operations. Konvergenz von Data und Storage Traffic. Data Center spezifische Erweiterungen des klassischen Ethernets (DCB: ).

Insofern sind die Nexus Switches im Portfolio von Cisco die ausgewiesenen Data Center Switches, während die Catalyst Switches die ausgewiesenen LAN Switches sind. Natürlich gibt es hier Anforderungen (z. B. Performance) die in beiden Welten gleich ausgeprägt sein können, aber die Catalyst Switches bieten letztendlich keine Funktionen, die in einem Data Center erforderlich sind (z. B. Unified Fabric).

- 153 -

Abbildung 125: Cisco Nexus Familie

21.2.1 Nexus 2000 FEX Fabric Extender (FEX) sind abgesetzte I/O-Module (Line Cards), über welche im Rahmen eines z. B. Top-of-the-Rack (ToR) Designs Access Ports näher an die Server gebracht werden können (Reduzierung des Aufwands für die Verkabelung). Ein FEX verdichtet die von ihm zur Verfügung gestellten Access Ports auf wenige sogenannte Fabric Interfaces, über welche die Upstream Anbindung an z. B. zwei übergeordnete Nexus 5500 Switches erfolgt. Bei einem FEX 2248PQ stehen dafür z. B. 4x QSFP+ zur Verfügung, d. h. 4x 40-GigE, die alternativ über ein Breakout Kabel auf 16x 10-GigE aufgeteilt werden können.

Genaugenommen kann man hier von einem virtuellen End-of-Row (EoR) Konzept sprechen, da ein FEX selbst keine vermittelnde Intelligenz hat und die Daten Frames immer an den übergeordneten Nexus Switch (Parent Switch) zur Vermittlung weiter- gibt, über welchen auch die Konfiguration und das Software Management erfolgen.

Prinzipiell ist dieser Ansatz vergleichbar mit einem modularen Switch, dessen Line Cards sich aber nicht in dem Switch Chassis befinden und über die Backplane dieser Chassis miteinander verbunden sind. Vielmehr sind hier die Line Cards über das Netzwerk von der Chassis und der darin enthaltenen Steuerinstanz (Control Plane) abgesetzt.

- 154 -

Abbildung 126: Das FEX-Konzept

Detaillierte Informationen zum Thema FEX sind unter www.cisco.com/go/fex zu finden.

Wenn die Access Ports näher an den Servern positioniert werden können, ist natürlich auch eine Optimierung der Verkabelung möglich. Hier sollte man sein Augenmerk auf die sogenannten Direct Attached Twinaxial (kurz: Twinax) Kabel richten. Es handelt sich dabei um preiswerte Kupferkabel (als aktives Kabel mit einer maximalen Länge von bis zu 10 Metern), die mit vorkonfektioniertem Konnektoren – SFP+ bei 10-GigE und QSFP+ bei 40-GigE – ausgeliefert werden. Die Kabel haben eine geringe Verlustleistung (Wärmeentwicklung) und eine geringe Bitfehlerrate. Im Vergleich zu den Einzelkomponenten (SFP, Kabel) sind sie zudem durchaus als preisgünstig zu bezeichnen.

21.2.2 vPC Bei einem virtual Port-Channel (vPC) handelt es sich um ein Konzept zur Bündelung von Ports, bei dem die gebündelten Ports auf 2 separate (!) Switches aufgeteilt werden können. Dabei präsentieren sich die beiden Switches gegenüber einem Peer (z. B. Server, Switch, Storage Appliance) als ein Device. Mit Hilfe des vPC-Konzepts können Chassis übergreifende redundante Leitungen zeitgleich genutzt werden, was normalerweise aufgrund des Spanning-Tree Protokolls (STP) nicht möglich ist (Blocked Ports). Ein Data Center ist zwar auf eine Layer-2-Infrastruktur (Switching) angewiesen, allerdings hat der Spanning-Tree in diesem Umfeld eine sehr schlechte Reputation.

Abbildung 127: Die vPC Technologie (Fooling the Spanning-Tree)

Ausgehend von dem Rand des Netzes kann man den Gedanken, alle zur Verfügung stehenden Übertragungswege gleichzeitig zu nutzen auch auf das Netzwerk übertragen. D. h. den Aufbau einer Layer-2-Infrastruktur, welche aber mit Blick auf die Übertragung der Datenframes auch mehrere Wege von der Quelle zum Ziel

- 155 -

parallel nutzen kann. Der Spanning-Tree verbietet eine solchen Gedanken. Mit dem Cisco FabricPath lässt er sich allerdings in die Realität überführen.

21.2.3 Nexus 1000V In einem Data Center existiert natürlich auch ein Access Layer, also ein Bereich der Infrastruktur, der dem Anschluss von Endgeräte dient. Bei diesen Endgeräten handelt es sich aber primär um virtuelle Maschinen, so dass auch der Access Layer primär virtuell ausgeprägt ist.

Normalerweise stellt der Hypervisor den virtuellen Access zur Verfügung. Allerdings wandert dadurch ein mit Blick auf z. B. die Themen Security und QoS wichtiger Bereich der Netzwerkadministration in das Hoheitsgebiet der Virtualisierung und wird hier über die Instrumente der Virtualisierung (z. B. VMware vCenter) verwaltet. Mit dem Nexus 1000V übergibt Cisco die Hoheit der Netzwerkadministration wieder zurück an den Netzwerkadministrator, der zur Bewerkstelligung seiner Aufgabe die ihm vertrauten Tools (z. B. SSH) und Management Systeme (z. B. Cisco Prime Infrastructure) nutzen kann.

Der Nexus 1000V ist ein sogenannter verteilter virtueller verteilter Switch. Dieses Konzept ist vergleichbar mit einem modularen physischen Switch: Über eine Steuereinheit – die Control Plane – erfolgt der administrative Zugriff auf den Switch, sowie auch die Programmierung der einzelnen Module (Line Cards). Beim Nexus 1000V bildet das Virtual Supervisor Module (VSM) die Control Plane und die Virtual Ethernet Modules (VSMs) die einzelnen Line Cards. Das VSM ist eine VM, während die VSM Module pro Host installiert werden und eng mit dem Hypervisor verzahnt sind.

Abbildung 128: Nexus 1000V

Cisco bietet den Nexus 1000V in zwei Editionen an: a) Kostenfreie (Ausnahme: Support) Essential Edition b) Advanced Edition

- 156 -

Die Advanced Edition bietet Mehrwertfeatures, die fast ausschließlich als Security Features (z. B. DHCP Snooping, DAI) zu bezeichnen sind. Zudem integriert diese Edition das Virtual Security Gateway (VSG), eine Zonen basierende Firewall, die zwischen virtuelle Maschinen geschaltet werden kann. Beide Editionen werden für VMware vSphere, Microsoft Hyper-V und KVM angeboten.

Es ist an dieser Stelle zu erwähnen, dass einige Cisco Lösungen für virtuelle Umgebungen wie z. B. das Virtual Secure Gateway (VSG), vWAAS, vNAM, oder der CSR 1000V Router auf den Nexus 1000V aufsetzen müssen.

21.3 Cisco FlexPod Offizielle Schulungen zum Thema FlexPod: o Designing the FlexPod Solution (FPDESIGN) o Implementing and Administering the FlexPod Solution (FPIMPADM) FlexPod: www.cisco.com/go/flexpod Hands-On: Das Cisco dCloud Lab: FlexPod with Microsoft Hyper-V v1 Das Cisco dCloud Lab: FlexPod with VMware v1 Forrester: FlexPod ROI www..com/us/system/pdf-reader.aspx?cc=us&m=ar-forrester-flexpod-tei-case- study.pdf&pdfUri=tcm:10-108955 FlexPod Validated Designs: www.netapp.com/us/solutions/flexpod/datacenter/validated-designs.aspx oder www.cisco.com/c/en/us/solutions/enterprise/data-center-designs-cloud- computing/landing_flexpod.html Aktuell gibt es den FlexPod in 3 verschiedenen Architektur- und Skalierungsvarianten: o Express o Data Center o Select UCS Director www.youtube.com/watch?v=q-NX772MR78

Nicht jedes Rechenzentrum muss in allen Bereichen auf individuelle Anforderungen eines Unternehmens angepasst werden. Oft können Lösungen – sobald sie sich einmal in der Praxis bewährt haben – als Blaupause für andere Projekte verwendet werden. D. h. in vielen Projekten kann eine solche Blaupause als Vorlage verwendet werden, auf deren Basis die meisten Anforderungen ohne weitere, oder nur mit geringfügigen Anpassungen der Lösung, umgesetzt werden können. Insofern ist der Schritt hin zu einer konvergierten Lösung, bestehend aus Cisco UCS, Storage und Virtualisierung sinnvoll, die quasi als eine Einheit bestellt werden kann.

Mit dem FlexPod präsentierte Cisco nach der Gründung von VCE (Joint Venture aus Cisco, EMC und VMware) Ende 2010 seine zweite konsolidierte und validierte Data Center Architektur und setzte damit rückblickend am Markt neue Maßstäbe. Die konsolidierte Architektur besteht aus Cisco UCS Systemen, Cisco Nexus Switches, NetApp Storage Appliances und den Virtualisierungslösungen von VMwareoder Microsoft.

- 157 -

Abbildung 129: FlexPod

Eine FlexPod Architektur gibt dem Kunden eine für verschiedene Workloads (Anwen- dungen, Anforderungen) validierte und skalierbare Lösung an die Hand, welche konsequent die Anforderungen an das moderne Thema Data Center – nämlich Zentralisierung, Automatisierung, Virtualisierung, Standardisierung und User Self- Service, innerhalb einer Architektur konsolidiert. Mit Hilfe von validierten Design Guides (Cisco Validated Design, CVD) lässt sich die FlexPod Referenzarchitektur schnell und nach erprobten Standards für verschiedene Business-Applikationen optimieren und für virtuelle Infrastrukturen und Cloud-Umgebungen konfigurieren.

Mit den FlexPod adressiert Cisco nicht die Liga der Data Center, die einen hohen Grad an individuellen Anpassungen (d. h. vom Betriebssystem der Server bis hin zur Hauptplatine) benötigen. In den meisten Unternehmen sprechen nämlich die für Planung/Design, Betrieb, Anpassung und Entwicklung erforderlichen Ressourcen für einen hohen Grad an Standardisierung und gegen eine Individualisierung.

Interessant sind auch die Automatisierungsmöglichkeiten des FlexPods. Ein mit Cisco Intelligent Automation for Cloud (IAC) generierter Servicekatalog, bietet sich z. B. im Infrastrukturbereich an, um Ressourcen nach dem Selbstbedienungsprinzip bereitzustellen und IT- und Business-Prozesse zu beschleunigen.

Die FlexPod Architektur war eine der ersten konsolidierten Lösungen von Cisco. Heute spricht Cisco von einer UCS Integrated Infrastructure (d. h. einer standardisierten und automatisierten Infrastruktur auf der Basis von Cisco UCS, Cisco Nexus und Cisco UCS Director) und bietet hier eine Vielzahl von Lösungen an:

Lösung Storage Hersteller FlexPod NetApp VBlock VCE (Joint Venture: EMC, Cisco, VMware, Intel) VSPEX EMC VersaStack IBM UCP HDS SmartStack Nimble Storage Tabelle 20: Cisco UCS Integrated Infrastructure Lösungen

Da die Cisco UCS Integrationslösung Bestandteil des FlexPod ist, kann hier natürlich mit Blick auf diesen Teilbereich der UCS Manager als Management Tool eingesetzt werden. Das auf den FlexPod als UCS Integrated Infrastructure zugeschnittene

- 158 -

Management Tool ist allerdings der UCS Director, da über ihn auch das Management von Storage und Virtualisierung erfolgen kann.

Abbildung 130: Cisco UCS Director

21.3.1 Cisco Validated Designs Ein integraler Bestandteil des Marktangangs auf der Basis der FlexPod Lösung sind die sogenannten Cisco Validated Designs (CVD). Cisco, NetApp und VMware liefern hier validierte Lösungen, die vor dem Kontext der zu unterstützenden Anwendungen (Workloads) als Blaupause verwendet werden können.

Abbildung 131: Cisco Validated Design

Die Cisco Validated Designs für den FlexPod sind in der FlexPod DesignZone zu finden. www.cisco.com/c/en/us/solutions/enterprise/data-center-designs-cloud- computing/fpplatforms.html

- 159 -

21.3.2 Cooperativer Support Auch beim Thema Support geht man mit dem FlexPod neue Wege. Ganz im Sinne von One Face to the Customer kann im Supportfall einer der 3 Hersteller kontaktiert werden. Die Bearbeitung der Tickets erfolgt im Bedarfsfall herstellerübergreifend.

Abbildung 132: Kooperativer Support

Dieses Konzept wird als Kooperativer Support bezeichnet. Die Grundvoraussetzung für diesen Support ist ein gültiges FlexPod Design und ein mit jedem Hersteller separat abgeschlossener Supportvertrag.

21.4 Cisco HyperFlex Cisco HyperFlex Mainpage http://www.cisco.com/c/en/us/products/hyperconverged-infrastructure/index.html Cisco HyperFlex Flyer (Deutsch) http://www.cisco.com/c/dam/assets/global/pdfs/hyperconverged-infrastructure/de/le- 56101-aag-hyperflex-160223_de TechWise TV: HyperFlex HX DataPlatform https://www.youtube.com/watch?v=BVMpcitCQcw&spfreload=1 HyperFlex HX240c M4 DataSheet http://www.cisco.com/c/en/us/products/collateral/hyperconverged- infrastructure/hyperflex-hx-series/datasheet-c78-736784.html

Cisco HyperFlex Whitepaper http://www.cisco.com/c/dam/en/us/products/collateral/hyperconverged- infrastructure/hyperflex-hx-series/white-paper-c11-736814.pdf

Die dritte Säule im „Compute, Network, Storage“-Ansatz wird durch das aktuelle Produkt Cisco HyperFlex dargestellt. Der Ansatz ist ein Software Defined Storage Prinzip und wurde bisher von Springpath entwickelt und vermarktet.

- 160 -

Cisco HyperFlex ist für Cisco nach dem Launch der UCS „Philosophie“ und Produkte der nächste bedeutende Schritt mit dem Ziel, Hyperconvergence zum Mainstream im Enterprise-Segment werden zu lassen.

Abbildung 133: Die aktuellen Cisco HyperFlex HX Plattformen im Überblick

Letztlich setzt somit einen ganzheitlichen softwaredefinierten Infrastrukturansatz um: - Software Defined Computing: Cisco UCS - Software Defined Networking: Cisco ACI (Application Centric Infrastructure) - Software Defined Storage: Cisco HyperFlex

Das Produkt Cisco HyperFlex stellt sich damit in den Wettbewerb zu Anbietern wie z.B. Nutanix, EMC´s VxRail oder Simplivity. Letzter war und (aktuell) ist für Cisco Systems sogar ein Preferred Solution Partner mit „OmniStack on UCS“.

Cisco HyperFlex nutzt ein neuentwickeltes Log-Structured File System, das sämtliche SSD und HDD Laufwerke des gesamten vom Controller verwalteten Clusters (mind. 3 HX-Series Nodes) zu einem einzigen, verteilten, objektbasierten multi-tier Datenspeicher macht. Dies gewährleistet hohe Verfügbarkeit und Redundanz und effiziente Speichernutzung durch Inline-Deduplizierung und -Komprimierung. Enterprise Storage-Funktionen wie Snapshots, Thin-Provisioning und intelligentes Klonen werden ebenfalls in VM VSphere bereitgestellt (per VAAI, VStorage API for Array Integration). Jeder Node des Clusters, das auch als Data- Plattform bezeichnet wird, verfügt über einen Controller, die über die 10GE Verbindungen des Fabric Interconnects miteinander kommunizieren.

Mit Cisco HyperFlex wird die Skalierung von Compute und Storage entkoppelt. Hierin unterscheidet sich die Lösung von einigen Anbietern im Markt.

- 161 -

Abbildung 134: Entkopplung der Skalierung von Compute und Storage

Cisco HyperFlex integriert in die bestehenden Systeme und Management-Tools. Die Verwaltung über den UCS Manager ist geradezu simpel und final stehen die Ressourcen in VM VSphere im Inventory zur Verfügung.

Abbildung 135: Cisco HX Data Plattform als Ressource in VMWare vSphere

- 162 -

Aktuell sind zwei Varianten der Cisco HyperFlex HX Systeme verfügbar: HX220C und HX240C.

Die HX-Systeme unterstützten aktuell VMWare VSphere; Hyper-V und KVM Hypervisor Unterstützung dürfen sicherlich zukünftig erwartet werden.

21.5 Cisco ONE Software for DataCenter Cisco ONE Software Main Page http://www.cisco.com/c/en/us/products/software/one-software/index.html DataSheet Cisco One for DataCenter Networking http://www.cisco.com/c/en/us/products/collateral/software/one-data-center/datasheet-c78- 733010.html Q&A zum Thema License Portability http://www.cisco.com/c/en/us/products/collateral/software/one-software/q-and-a-c67- 732981.html Cisco ONE Software Device Tiering Guide http://www.cisco.com/c/en/us/products/collateral/software/one-software/tiering-guide- cisco-one.html

Heutige DataCenter Lösungen sind mehr denn je geprägt von der Anforderung an die schnelle Bereitstellung von Services und Applikationen, die unterschiedlichste Features und Ressourcen benötigen. Die zum Einsatz kommenden Plattformen von Cisco Systems sind für diese Anfor- derungen an Agilität bestens gerüstet. Häufig werden im Verlauf des Wachstums des DataCenters neue Funktionalitäten nötig, die die eingesetzte Plattform prinzipiell liefern kann, jedoch durch einen Lizenzschlüssel in der Software freigeschaltet werden muss. Hieraus entsteht nicht selten die Situation, dass der technisch-strategische Weg wegen des neuerlichen Invests nicht beschritten wird, mindestens aber verzögert

- 163 -

wird – was kontraproduktiv der gewünschten Agilität ist –, oder punktuell ein Third- Party Produkt gesucht wird, das die Anforderungen günstiger abdecken könnte. Letzteres hat natürlich häufig zur Folge, dass dieses Produkt andere Management- Tools und -Prozesse verwendet und nicht so recht in das orchestrierte Konzert der bisherigen Landschaft passt, was sich letztlich wieder in höheren Betriebskosten niederschlägt. Als IT-Verantwortlicher stehen Sie ggf. vor der Herausforderung, ein „nachträgliches“ Budget beantragen und verargumentieren zu müssen. „Die Plattform ist doch erst zwei Jahre alt, wieso muss jetzt bereits erneut investiert werden? War diese Entwicklung nicht absehbar? Wieso wurde sie nicht bei der Anschaffung berück- sichtigt?“ Als IT-Verantwortlicher sind Ihnen diese Fragestellungen bekannt und es ist ein dauerhafter Spagat, zwischen Budget, aktuellem Bedarf und zukünftiger poten- tieller Geschäfts-Entwicklung und daraus abgeleitetem technischen Bedarf abzu- wägen und zu entscheiden.

Genau in diese Herausforderung platziert Cisco Systems mit „Cisco ONE Software“ nun eine Lösungsmöglichkeit, so dass ihre Plattformen dauerhaft mit den Anfor- derungen an Funktionalitäten mitwachsen können ohne neuen Invest zu tätigen.

Vereinfacht ausgedrückt kaufen Sie mit Cisco ONE ein Produkt in „Modulen“ ein. a) Sie kaufen die HW-Plattform (z.B. Nexus 5596UP), die nach wie vor die Software (z.B. NX-OS) inkludiert. b) Sie kaufen die gewünschten Funktionen dieser Software als ein vordefiniertes Paket hinzu. (z.B. „Foundation for Networking“ bzw. „DataCenter Fabric“) c) Sie schließen den Wartungsvertrag für die HW/SW und das „Feature-Paket“ über die gewünschte Laufzeit ab.

Abbildung 136: Cisco ONE Software Überblick

Bis hierher wäre „Cisco ONE Software“ wenig innovativ, sondern lediglich ein ggf. lukratives „Bundle-Angebot“, das eine bestimmte Menge von Features in ein Paket schnürt und günstiger sein lässt als die Summe der Einzelkäufe. (Die im Vergleich zu Cisco ONE dann als „à la carte“ Käufe bezeichnet werden.)

- 164 -

Das Besondere an Cisco ONE Software aber ist, dass das „Feature-Paket“ a) entkoppelt von der Hardwareplattform ist und eine Lizenzübertragung ermöglicht. b) an zukünftiger Innovation und heute noch nicht existenten Leistungsmerkmalen partizipieren lässt.

21.5.1 Use Case: Equipment Refresh Sie kaufen aktuell in „à la carte“ Manier einen Nexus 5596UP und statten diesen mit den aus Ihrer Sicht aktuell und mittelfristig im Unternehmen benötigten Funktio- nalitäten aus: - Network Services - Enhanced Layer 2 (Fabric Path & Co.) - FCoE NPV - DCNM für LAN Adv. + DCNM für SAN - Layer 3 License - Storage License für 8 Ports

Die eigentliche Plattform nebst L3 Modul und zugehörigen Wartungsverträge (Laufzeit 60 Monate) kostet Sie ca. 54.000 US-Dollar Listenpreis. Die oben genannten Features inklusive der punktuell nötigen Wartungsverträge (im Beispiel ebenfalls mit 60 Monaten gerechnet) kosten Sie weitere ca. 42.000 US- Dollar (Listenpreis).

- Was geschieht mit diesem gesamten Invest, wenn sich während der Laufzeit der Wartungsverträge ein Bedarf nach mehr Performance ergibt, als sie die an- geschaffte Plattform liefern kann und sie einen – nennen wir ihn FutureNexus 5800 – anschaffen müssen? - Zudem hätte sich ein neues Feature im DataCenter etabliert, das genau heute noch nicht existiert? ( wo war FabricPath/TRILL vor einem gewissen Zeitraum?) - Können Sie ausschließen, dass ACI oder allgemein SDN nicht Mainstream wird und ist die Software Ihrer jetzigen Plattform lizenztechnisch dahin migrierbar?

Genau vor diesem Hintergrund setzen die Idee und die Vorteile von Cisco ONE Software an. Die Features sind per Lizenz im Rahmen eines gültigen Software Support Services (SWSS) auf eine andere Plattform portierbar. Abhängig davon, ob das neue Device in die gleiche oder eine niedrigere „Device- Klasse“ eingeordnet ist, fallen nun ggf. Kosten für den Transfer an. Unter der Annahme, dass der „FutureNexus 5800“ in der gleichen Geräteklasse eingeordnet wäre wie der jetzige Nexus 5596, würden keine weiteren Kosten entstehen. (Für eine Übersicht der aktuellen Device-Klassifizierungen siehe Linksammlung zu Eingang dieses Kapitels.)

Anders ausgedrückt wird „Cisco ONE Software“ der Tatsache des Lifecycles von Produkten und Lösungen absolut gerecht. Die geschäftlichen, prozessualen und technischen Herausforderungen können mit Cisco ONE sehr gut beantwortet werden. Neben dieser Tatsache ist unbedingt zu erwähnen, dass die Budgetierung eines Invests nun ebenfalls anders gestaltet werden kann. Der eigentliche initiale Invest (CAPEX) ist nach wie vor die anzuschaffende Hardware sowie die Herstellung der Plattform. Die aktuellen und zukünftigen Features (z.B. im „Foundation for

- 165 -

Networking“-Paket) sind neben den Aufwänden für die zugrundeliegenden HW- und SWSS Wartungsverträgen aber Betriebskosten (OPEX) und somit ggf. über andere Budgets darstellbar, bzw. steuerrechtlich zu behandeln.

21.6 Data Center Solutions for SAP HANA Cisco SAP HANA auf Cisco UCS Series Servern http://www.cisco.com/c/en/us/solutions/collateral/data-center- virtualization/solution_overview_c22-707642.html Cisco C800 Serie UCS Server http://www9.cisco.com/c/en/us/products/servers-unified-computing/c800- series/index.html SAP Applications Data Center validated Designs http://www.cisco.com/c/en/us/solutions/enterprise/data-center-designs-application- networking/landing_sap.html#~sap

„Big Data“ ist ein Begriff, der viele Themen und Trends auf sich vereint. Die qualifizierte oder noch zu qualifizierende Datenmenge nimmt aus vielen Gründen drastisch zu und neben der steigenden Anforderung an Performance, Agilität in Bezug auf Storage, Compute, Networking stellt sich zurecht auch die Frage, ob die bisherigen Datenbank-Verfahren, primär in OLTP und OLAP zu unterscheiden, den Anforderungen noch gerecht werden.

Überschlägig lässt sich sagen, dass die Dauer, bis eine am Frontend gestartete Abfrage bei hohem Anteil zu analysierender Daten als Report angezeigt wird, bis zu 90% darauf zurückzuführen ist, dass Daten aus Festplatten in den RAM und von dort in den CPU-Cache gebracht werden müssen. Dabei ist aktuell, bei Geschwindig- keiten von > 10 GE weniger der Transport selbst der Flaschenhals, sondern die I/O-Geschwindigkeit der Storage Systeme verbunden mit dem Abfrageverfahren (OLTP/OLAP). Indexing oder Buffering bringen keine Verbesserungen in den Größenordnungen, wie sie gewünscht wären.

Abbildung 137: Anteil an Verzögerung von Abfrage bis Darstellung von Reports

- 166 -

Ein Ansatz, diese Abfragen enorm zu beschleunigen (Faktor 10), sind sogenannte In- Memory-Datenbanken. (IMDB). SAP HANA ist ein Beispiel einer solchen In-Memory-Datenbank. Die Abkürzung HANA wird dabei häufig als Akronym für High Performance Analytical Appliance verstanden, es steht aber nicht wirklich fest, ob „HANA“ nicht einfach nur ein Produktname ist. Weitere Anbieter und Produkte im Bereich IMDB sind Oracle Times Ten oder IBM SolidDB. (Neben SAP HANA bietet SAP weitere Datenbanken an, z.B. MaxDB, Sybase IQ, Sybase ASE, SQL Anywhere). SAP HANA ist dabei eine Appliance bestehend aus der eigentlichen SAP HANA DB, SAP HANA Studio und nicht zuletzt der zertifizierten Hardware-Plattform. Die purpose-built Cisco Systems Plattformen C880 M4 Storage Subsystem und C880 M4 Server sind zertifiziert für SAP HANA und haben die entsprechende Software bereits vorinstalliert.

Abbildung 138: Die technischen Spezifikationen des C880M4 Servers

Abbildung 139: Die technischen Spezifikationen des C880 M4 Storage Subsystem

Neben diesen speziellen High-Performance Appliances für SAP HANA Anwendun- gen sind auch die UCS C-Serie Server für SAP HANA zertifiziert, die von „XS“ bis „M“ Standalone-Systemen reichen.

- 167 -

Abbildung 140: Standalone Single-Node Systeme für SAP HANA

Für Scale-Out Szenarien kommen die Cisco UCS B-Serie Server zum Einsatz, ver- bunden mit NetApp oder EMC basiertem persintency layer.

Abbildung 141: Konfiguration mit EMC Storage und 12 Servern UCS B440M2

- 168 -

Abbildung 142: Konfiguration mit NetApp FAS3240 und 12 Servern UCS B440M2

Fallbeispiel

Cisco Rack Server können standalone – d. h. ohne UCS Manager – betrieben werden und vereinfachen so den Schritt in Richtung Cisco UCS. UCS Rack Server können vollwertig in eine UCS Lösung integriert werden, so dass ein Kunde ausgehend vom Kauf der ersten UCS Server entwickelt werden kann.

Viele Kunden verlassen ungerne bereits eingeschlagene Wege und insbesondere im Data Center Umfeld ist man natürlich nicht sehr experimentierfreudig. Insofern ist es essentiell wichtig, dass man dem Kunden die Mehrwerte der Cisco Data Center Lösungen aufzeigen kann. Dabei kann der Weg in die Cisco Data Center Welt ja durchaus auch vorbereitet werden:

- Müssen bestehende physische Server getauscht, bzw. werden weitere Server benötigt, dann ist ein testweiser Umstieg auf Cisco UCS Server durchaus einfach zu motivieren: der Kunde geht ein für ihn überschaubares Risiko ein und Cisco bietet in diesem Umfeld sehr interessante Preise und Promotionen.

- Wird eine Modernisierung der Data Center LAN Infrastruktur angestrebt (Antrieb z. B. 10-GigE), dann könnte der Einstieg über Cisco Nexus Switches der erste Schritt sein. Diese Switches bieten einen sehr guten Preis pro 10-GigE Port und ermöglichen – entweder direkt, oder über Fabric Extender – den Anschluss seiner bestehenden Server und Storage Systeme. Zudem profitiert der Kunde von der vPC-Technologie.

Beide Angänge ermöglichen eine sanfte Migration in Richtung UCS, da beim Ausbau die bereits getätigten Investitionen nicht in Frage gestellt werden müssen.

- 169 -

22 CCW Konfiguration

Shortcut CCW: www.cisco.com/go/ccw SKU für Konfigurationstool UCS B-Serie im CCW: N20-Z0001

Die Konfiguration einer B-Series Lösung wird im CCW über ein integriertes Konfigurationstool vereinfacht. Um dieses Tool zu starten, wählt man die Top Level SKU N20-Z0001 (Cisco Unified Computing).

Abbildung 143: N20-Z0001 – der Einstieg in die B-Series Konfiguration

Danach klickt man auf