1

Un contexte de Mobilité Il est aujourd’hui admis par (presque) tout le monde que la mobilité n’est plus un phénomène mais bien une réalité. Il devient nécessaire de se préparer à ces nouveaux enjeux. L’actualité nous le rappelle tous les jours et il suffit de suivre un tant soit peu les médias technologiques ou plus généralistes pour entendre parler d’iPhone, d’iPad ou encore de Google et Android. La mobilité apporte du confort, la mobilité apporte de la performance.

Ils font tous du 802.11n ! Lorsque l’entreprise doit faire un choix technologique WiFi pour son déploiement, l’argument le plus facilement utilisé pour ne pas déployer du WiFi 802.11n est le suivant : « A quoi cela sert-il de mettre du N, si mes équipements ne le supportent pas ? ». Cet argument était tout à fait valide il y a quelques années mais il perd aujourd’hui de son sens. Intel ne propose par exemple que du WiFi N depuis 2007 et la plupart des portables arrivent désormais avec cette norme. Le constat côté smartphones était jusque là plus nauncé. Mais les choses ont rapidement évolué. Si l’on regarde la situation actuelle : l’iPhone4 supporte le 802.11n, de même que l’iPad, le Samsung Galaxy Tab (basé sur Android de Google) ou encore le Cisco Cius. Ils font tous du 802.11n !

Problématique de la Haute densité L’explosion de l’usage des équipements de mobilité, dans et à l’extérieur de l’entreprise, entraine naturellement des questions sur la capacité des réseaux de communication, mais également sur les problématiques de « hautes densités des postes clients ». La technologie 802.11n va devenir nécessaire non seulement pour offrir plus de capacité individuellement à un équipement, mais surtout permettre d’accepter plus d’équipements sur une même cellule radio. Il y a ici une problématique de technologie (le 802.11n qui apporte plus de capacité) et une problématique d’architecture de réseau WiFi (« High density design ») afin de permettre une meilleure répartition des clients sur les cellules.

2

De la data à la vidéo, de l’iPhone à l’iPad … L’iPhone est le parfait exemple de ce que les services de mobilité peuvent apporter avec leur myriade de mini-applications (« applets »). L’iPad quant à lui est entrain de devenir l’emblème des applications multimédia, allant du livre numérique à la diffusion vidéo en temps réel. Il est intéressant de voir que la connexion « primaire » d’un iPhone est le réseau GSM/3G (aidé il est vrai par des forfaits illimités ou presque), et que le WiFi est plutôt utilisé occasionnellement. L’iPad de son côté utilise comme connexion primaire le WiFi (le premier modèle est d’ailleurs uniquement WiFi) et l’usage de la 3G se fait quant à lui « à la demande » (les forfaits sont limités dans le temps ou par la quantité de données transférées). L’iPhone est (ou « a été ») déjà un élément perturbant pour les réseaux WiFi d’entreprise : Dois-je l’accepter sur mon réseau ? Comment l’authentifier ? Comment le reconnaitre parmi mes autres équipements ? etc. Mais au final qu’on l’accepte ou pas, il est toujours utilisé car il peut généralement rester en 3G. L’iPad aura un impact plus fort encore sur l’entreprise. Ayant « besoin » du WiFi, il faudra donc trouver le moyen de le connecter et de le sécuriser sur le réseau de l’entreprise. Et son usage sera différent : on parle de multimédia, de vidéo. On estime aujourd’hui que l’impact vidéo d’un iPad sur le réseau WiFi vaudra celui de 5 iPhone !

Le frein financier Il reste un frein important au déploiement du WiFi 802.11n : le coût financier de la solution. La technologie 802.11n est plus chère que l’ancien 802.11abg ! On peut jouer avec les chiffres (c’est toujours un exercice intéressant) et regarder le prix au Mégabit afin de faire la comparaison (un peu comme le prix au kilo dans un magasin). Avec une capacité allant jusqu’à 6 fois le débit du l’abg, pour un prix ne dépassant généralement pas les +30% l’avantage est largement en faveur du 802.11n ! Mais c’est au final le coût du projet que l’on regarde. Et si le besoin de bande passante en haute densité ou en vidéo n’est pas clairement identifié il est difficile de justifier le déploiement du « N ». L’arrivée de la gamme Cisco Aironet 1040 est justement positionnée pour faire face à cette problématique. Elle a pour but de déployer du 802.11n à un coût très proche d’un déploiement en 802.11abg. Dans le cas où l’on est prêt à mettre de l’ « abg » car on n’a « pas besoin du N », la gamme 1040 permet de mettre « du N » pour (quasiment) le prix de l’abg.

3

La Gamme Aironet 1040 Les caractéristiques du Cisco Aironet 1040 sont : • Une plateforme intégrée : La gamme de point d’accès Cisco Aironet 1040 est une plateforme intégrée constituée soit de deux modules radio, soit d’un seul module radio 2,4GHz en fonction du besoin :

• L’un sur la bande de fréquence du 2,4 GHz, supportant le 802.11b (11Mbps), le 802.11g (54Mbps) et le 802.11n (300Mbps) simultanément. • L’autre sur la bande de fréquence du 5 GHz, supportant le 802.11a (54Mps) et le 802.11n (300Mbps) simultanément.

Son design discret et peu volumineux a été spécialement pensé pour les environnements de type « bureautique » ce qui permet de le placer au niveau des plafonds. Il marie à la fois la qualité et la solidité hardware des produits Cisco, une taille adaptée et « design » élégant pour être déployé en entreprise. Son rapport coût/performance est adapté pour des environnements professionnels de densité moyenne. • Sécurité du réseau : La gamme Aironet 1040 supporte les technologies de sécurisation des réseaux sans-fil incluant le standard 802.11i (WPA2), les nombreux mécanismes d’authentification EAP, le chiffrement hardware AES ou TKIP, les fonctions avancées d’IDS/IPS radio, le Management Frame Protection, etc. • Flexibilité des alimentations électriques : La gamme Aironet 1040 peut être alimentée par un bloc d’alimentation extérieur (alimentation directe), par un Power-Injector (utilisation du câble ethernet) ou directement par un commutateur réseau supportant le standard PoE (802.3af). Alimenté par le PoE Standard l’AP-1040 offre toutes les performances du hardware en terme de bande passante (2x300 Mbps) et de portée. On peut noter que la gamme Aironet 1040 partage les mêmes blocs d’alimentation ou de power-injectors que la gamme 1260, 1250 ou 1140, permettant ainsi une optimisation des parcs et des maintenances. • Performance : La gamme Aironet 1040 offre sur chaque module radio la technologie MIMO (Multiple-Input Multiple-Output) de type 2x2. Elle possède 2 antennes en émission et réception et permet l’émission de 2 « streams » pour atteindre les 300Mbps théorique par radio. Afin d’offrir les 600 Mbps théorique de ses deux modules radio 802.11n, la gamme Aironet 1040 est équipée d’un port ethernet 10/100/1000. La connexion a un commutateur offrant du Gigabit ethernet devient nécessaire pour bénéficier à plein de la capacité radio. Si l’on compare la gamme 1040 avec la gamme aironet 1140, on constatera que cette dernière permet le MIMO 2x3, avec 2 « streams » en émission et 3 antennes en réception offrant par la même une meilleure réception. • Souplesse d’usage : La gamme Aironet 1040 est disponible en mode « centralisé » en implémentant le protocole CAPWAP pour s’enregistrer sur un contrôleur WLAN Cisco, ainsi qu’en version « autonome » (version IOS disponible en décembre 2010). • Interopérabilité : La gamme Aironet 1040 a été validée par la WiFi Alliance.

4

Pour aller plus loin

Cisco Aironet 1040 Series :

http://www.cisco.com/en/US/products/ps11203/index.html 802.11n - Optimize Wireless Performance :

http://www.cisco.com/en/US/netsol/ns767/index.html

5

Anyconnect 3.0, fondation pour la sécurité des nomades L’arrivée de la connectivité internet facilement disponible et des clients VPN IPSec a rendu possible le travail à distance. A cette époque, les terminaux mobiles étaient principalement constitués de PC portables sous windows, appartenant à l’entreprise, et d’une flotte de téléphones portables, voire de quelques smartphones pour des populations spécifiques. Mais aujourd’hui, le monde a changé : En partie car les populations qui ont besoin d’accéder au réseau d’une entreprise sont de plus en plus diverses ; en partie car la connectivité Internet est désormais disponible partout ou presque, mais le changement le plus radical est dans la consumérisation des terminaux. Désormais, les terminaux dévolus au grand public font une entrée fracassante dans le monde de l’entreprise : Mac, iPhone, iPad, netbooks, Android, quel manager IT n’a jamais eu à transgresser la politique sécurité qu’il a lui même rédigé pour permettre l’accès au réseau ? Il nous faut donc revoir la façon d’aborder la mobilité, au sein et à l’extérieur de l’entreprise, à l’aune de cette nouvelle façon de travailler. Avec un maitre mot : la simplicité. Simplicité pour l’IT d’abord, avec une sécurité qui suit l’utilisateur, mais également simplicité pour l’utilisateur final (combien de clics et de mots de passe avant d’être connecté ?). Chez Cisco, l’architecture permettant de redéfinir la sécurisation de la mobilité s’appelle Anyconnect secure mobility. Au travers de la combinaison du VPN, du filtrage de contenu, de la sécurité en mode cloud, Cisco propose une architecture garantissant à la fois simplicité et sécurité. Au cœur de cette stratégie se trouve un client : Anyconnect. Anyconnect est d’abord la toute dernière évolution du client VPN Cisco se basant sur le mode de transport SSL : Anyconnect offre une connectivité potentiellement transparente et automatique (détection que l’utilisateur n’est pas au bureau et démarrage automatique du VPN), un contrôle de conformité au moment de la connexion, la connexion au meilleur point de filtrage (s’il y a plusieurs ASA répartis géographiquement, Anyconnect sélectionne automatiquement le meilleur point de connexion), le rétablissement automatique est transparent en cas de roaming (wifi vers filaire par exemple) . L’expérience utilisateur est simple : i »l est tout le temps connecté et il a accès à ses informations « it just works ». Anyconnect est terminé sur l’ASA qui peut travailler conjointement avec le proxy de sécurité web WSA – via un protocole de dialogue spécifique - afin d’appliquer des règles de filtrage spécifiques aux utilisateurs lorsqu’ils sont nomades, mais également offrir aux utilisateurs des fonctions de single sign on » sur leurs applications en mode SaaS (Webex, Google, SalesForce…). L’ambition d’Anyconnect est donc d’être simple, léger, et supporté sur un large panel de systèmes : On peut citer Windows, mac, linux, Apple iOS 4, Windows Mobile (et d’autres à venir). De plus, la configuration est centralisée sur l’ASA, et c’est également par ce biais que les mises à jour peuvent être facilement déployées.

6

Figure 1 Anyconnect sur iPhone

Anyconnect 3.0, qui sera disponible début 2011, offre un look and feel simplifié et le support d’IPSec et de SSL comme mode de transport, afin de pouvoir assurer une connectivité dans tous les cas de figure.

Figure 2 Interface AnyConnect 3.0

Mais au delà des « simples » fonctions VPN évoquées ci dessus, Anyconnect y ajoute d’autres services : - La redirection des flux web vers ScanSafe pour une sécurité web en mode SaaS Anyconnect 3.0 permet la redirection des flux web vers le datacenter Cisco/Scansafe le plus proche afin d’offrir un filtrage web en mode SaaS pour les utilisateurs nomades. Le trafic à destination des serveurs de l’entreprise, quant à lui, passe toujours dans un tunnel VPN.

7

Figure 3 Redirection des flux HTTP/HTTPS vers le cloud Cisco/ScanSafe

- L’authentification sur le LAN et en Wifi Anyconnect 3.0 intègre un client 802.1x. Ainsi, lorsqu’un utilisateur est au bureau, et qu’il se connecte en Wifi ou en filaire, AnyConnect se charge de l’authentification pour autoriser la connexion. Dès que l’utilisateur quitte l’entreprise, c’est la partie VPN intégrée qui automatique prendra le relai afin de maintenir connectivité et sécurité. Il est intéressant de noter que, comparé aux clients 802.1x souvent nativement intégrés dans les OS, Anyconnect supporte MacSec, permettant de chiffrer les flux du PC jusqu’au port du switch (selon modèle).

Figure 4 Exemple de profils wifi dans AnyConnect 3.0

AnyConnect offre donc un client léger, unique, automatiquement maintenu à jour garantissant que quelque soit le cas de figure, le terminal sera relié à un point de filtrage sur

8

lequel la politique de sécurité de l’entreprise sera implémentée, que ce soit sous forme d’appliance ou en mode SaaS. Il est donc désormais possible d’accueillir tous les nouveaux terminaux avec le niveau de sécurité adéquat associé. Retrouvez plus de détails (OS supportés et fonctions associées, etc) sur http://www.cisco.com/go/anyconnect

9

l’ASA 5585 au service de la sécurité dans le Datacenter Depuis plusieurs années Cisco se positionne très fortement dans les architectures Datacenter, il est donc tout à fait logique que notre stratégie sécurité apporte des innovations dans le cadre de la protection des Datacenters. Introduite en septembre 2010, la gamme ASA 5585 ouvre de nouvelles portes dans le cadre de la protection périmétrique des Datacenters. Cette nouvelle gamme de FW multi-gigabits s’appuie sur une architecture multiprocesseurs assisté par des asics spécialisés pour l’encryption et pour le « Deep packet inspection ». Depuis pas mal d’années Cisco s’est positionné dans le domaine de la protection des Datacenter, les architectures DC Cisco sont constituées de blocs fonctionnels avec des rôles précis pour chaque bloc, la sécurité d’accès se positionne au niveau du bloc service tel que présenté avec le schéma ci-dessous :

Exemple d’architecture DC Cisco

10

La mise en place d’une politique de sécurité dans le Datacenter doit apporter un certain nombre de réponses aux problématiques suivantes :

Haute disponibilité

Performances

Virtualisation

Contrôle d’accès aux applications

Nous allons voir dans la suite de cet article comment répondre à ces différents points

Haute disponibilité Les architectures Datacenter Cisco sont construites afin de garantir une très haute disponibilité des services. La gamme Nexus permet la mise en place d’architectures redondantes et performantes, la mise en place de FW doit pouvoir garantir la disponibilité des services. La gamme ASA offre depuis de nombreuses années la possibilité d’utilisation de paire de FW en Failover. La fonction failover à été optimisée ces dernières années afin de pouvoir garantir un basculement tout en gardant les sessions utilisateurs actives. Pour cela une synchronisation permanente de l’état des sessions est réalisée entre les deux boitiers, et le pooling est maintenant réglable en ms. Ce qui permet d’obtenir des temps de basculant pouvant être à la seconde.

Les boitiers ASA peuvent être positionnés en mode actif/ Passif ou bien en mode actif/actif, ce qui permet d’optimiser la bande passante en la répartissant entre les deux boitiers ASA. Le mode de connexion est également très important, l’ASA supporte actuellement le double attachement avec une notion de backup interface. En cas de perte de lien sur l’interface primaire, le basculement est automatique sur l’interface de secours qui reprend l’ensemble des paramètres de la première interface, voir schéma ci-dessous :

11

Maintenant dans le cadre des architectures DC, on utilise très souvent de l’agrégation de liens, il existe dans les équipements de concentration Cisco des mécanismes qui permettent de virtualiser et consolider l’ensemble de services de 2 cœurs de réseaux. Par exemple sur le Catalyst 65xx on peut consolider deux châssis grâce la fonction VSS, les deux châssis sont ainsi vu comme une entité unique au niveau du réseau. Une fonction similaire existe pour la gamme Nexus 7xxx, VPC. L’ASA supportera très prochainement avec l’arrivée du code 8.4 la fonction Etherchannel, et pourra donc s’insérer tel que précisé dans le schéma ci-dessous :

Architectures Etherchannel ASA

Toujours dans un souci constant d’innovation, nous sommes sur le point de proposer une nouvelle fonction de positionnement des services dans le Datacenter : SIA SIA correspond à Sevice Insertion Architecture, il s’agit de pouvoir utiliser l’infrastructure de cœur du Datacenter (Catalyst 65xx ou nexus 7xxx) pour appeler dynamiquement et de manière transparente des services.

12

La fonction SIA s’appuiera sur 4 services distincts :

Service Classifier : point d’entrée des paquets, classifications des données

en fonction des services à activer

Service Broker : point central qui vérifie les services disponibles, définie

l’ordre de traitement des services, contrôle la disponibilité et la topologie des

services

Service Directory : point central de définition des services

Service Node : équipement de services (FW, Load Balancer, NAM …)

enregistré au niveau de l’infrastruction SIA via le Servise Broker.

Les 3 premiers services sont positionnés dans le switch de cœur du Datacenter, quand à l’ASA il supportera avec la release 8.4 la fonction service Node.

Répartition et interactions entre les services SIA

SIA devrait être disponible dans la première partie de l’année 2011, cette fonction révolutionnera complètement les architectures Datacenter. L’insertion d’équipements de services tel que les Firewalls ou les load balancer nécessitait de revoir complètement l’architecture afin de les positionner en coupure des flux. Avec SIA, c’est l’architecture native du Datacenter qui fait appel aux services, l’ajout d’un service se réalise par un simple ajout dans la configuration sans modification de l’architecture globale

Appel des services via SIA

13

Performances Le second point sur lequel Cisco a énormément travaillé, ce sont les performances, nous avons vu précédemment que les nouvelles architectures permettaient l’agrégation de boitiers et de liens, il fallait également faire évoluer les hardwares de nos appliances ASA. C’est le cas avec les toutes nouvelles appliances ASA 5585 qui apportent des performances multi-gigabits pour les services FW et IPS :

Ces performances seront encore améliorées avec l’arrivée du code 8.4 qui exploitera de façon optimum les architectures multiprocesseurs de ces nouveaux boitiers.

14

Virtualisation La virtualisation est également au cœur de notre stratégie, cette stratégie se déroule en 3 phases.

1. Utilisation de contextes virtuels dans les FW ASA (jusqu’à 250 contextes avec

la 8.4)

2. Intégration transparente des services virtualisés avec SIA

3. Mise en place d’une architecture FW software dans les hyperviseurs VMware

(Virtual security gateway)

La phase 1 est d’ores et déjà implémentée par pas mal de nos clients à travers les contextes de l’ASA ou du module FWSM, SIA sera disponible dans la première partie de 2011 et la virtual security Gateway arrive fin 2010. Les contextes de l’ASA correspondent à une virtualisation complète du FW, y compris de la partie administration, le fait d’utiliser de la virtualisation au niveau des FW permet un gain non négligeable au niveau du Datacenter, que ce soit dans la consommation électrique dans l’encombrement mais également dans la mutualisation des services. Le tableau suivant montre un comparatif révélateur entre 10 FW ASA 5550 de 1 Gbps et un ASA 5585 à 10 Gbps :

15

La mise en place d’une architecture de virtualisation du Datacenter doit être assurée de bout en bout, en partant de l’architecture virtualisée des serveurs mais aussi via des mécanismes comme les VLAN, ou les VRF et bien sur la la virtualisation des services.

Architecture virtualisée de bout en bout

Contrôle d’accès aux applications Depuis plusieurs mois, Cisco propose à travers son architecture TrustSec, des solutions d’authentification des utilisateurs, ainsi que la mise en place de filtrage associé via les group tag. Dans les tous prochains mois Cisco va étendre sa solution aux FW en intégrant dans l’ASA la notion d’identity FW, cela permettra aux administrateurs de la sécurité de positionner des règles d’accès basées sur l’identité d’un utilisateur ou par son appartenance à un groupe. Nous reviendrons dans un prochain article de manière beaucoup plus détaillées sur le sujet.

Conclusion La prise en compte de l’architecture globale d’un Datacenter nous a permis d’implémenter des fonctions uniques sur le marché, que ce soit au niveau du mode d’insertion des services de sécurité ou bien même de notre intégration forte dans les environnements virtualisés. L’ASA 5585 avec son architecture haute performance ouvre de nouvelles portes pour l’implémentation de services uniques, ces services seront mis à disposition tout au log de l’année 2011.

16

POE+ ou que faire avec 25W sur 100m? La technologie POE, Power Over Ethernet, transporte de l’énergie sur Ethernet depuis presque dix ans. Elle est aujourd’hui principalement utilisée pour alimenter des téléphones IP ou des points d’accès WiFI. Elle permet en effet d’éliminer une alimentation 220v tout en offrant le service réseau avec un bilan énergétique favorable: la conversion courant alternatif / courant continue est réalisée au niveau du commutateur avec des alimentations électriques à haut niveau d’efficacité (de 80 à 95% selon la charge), alors que les blocs de conversion classiques ont une efficacité de l’ordre de 50%. Et ces systèmes sont maintenant pilotables via des technologies comme EnergyWise. Le POE est déjà largement sorti de sa sphère d’utilisation principale, la téléphonie, puisque sont commercialisés : - des points d’accès WiFi (voir le catalogue Cisco…) - des caméras IP HD (voir également le catalogue Cisco…) - des horloges qui se synchronisent par le réseau via le protocole NTP (Network Time Protocol) (par exemple Inova OnTime) - des clients légers qui peuvent même être contenus dans le format d’une prise murale (par exemple Chip PC qui commercialise le modèle Jack PC) - des systèmes de contrôle d’accès qui contrôlent et alimentent les lecteurs de badges, les verrous, des contacts secs (comme le Physical Access Gateway de Cisco) - des détecteurs de gaz (comme MIDAS par Honeywell) - … D’abord limité à une puissance injectée de 15W, le POE a évolué dans sa version POE+, normalisée par le standard 802.3at-2009, à une puissance injectée de 34W, soit un peu plus de 25W utilisable à 100m (à cause des pertes en ligne). Quels nouveaux usages envisager avec cette puissance supplémentaire? Le poste de travail est un candidat naturel au POE. D’abord les tablettes puis les ordinateurs portables. Peut-être avez-vous suivi l’annonce de la tablette Cisco Cius qui sera commercialisée début 2011 ? Elle s’alimentera et se rechargera sur sa base alimentée en POE…

17

Cisco Cius, tablette POE

Les prochaines générations d’ordinateur qui utiliseront des écrans OLED, des mémoires SSD et des processeurs multicoeurs devraient fonctionner avec 25W. Avec mon MacBook Pro 15″ (écran LCD rétroéclairé par LED, disque dur 5400 tr/mn, processeur dual core), je mesure une consommation électrique de 35W lorsque la batterie est rechargée. Et je ne compte pas les pertes liées à la conversion courant alternatif / courant continu du bloc d’alimentation Magsafe. Avec une alimentation native en courant continu, mon Powerbook actuel devrait s’alimenter en POE+ ! La lampe de bureau, basée sur une technologie LED sera alimentée via le port USB de l’ordinateur ou directement à partir de la prise RJ45 (ou de son successeur), ainsi que le pico-projecteur permettant la visualisation en grand format. Le POE+ ouvre le champ d’utilisation à des systèmes plus complexes, comme des caméras mobiles (ou PTZ pour Pan Tilt & Zoom), des automates ou encore à des applications liées au bâtiment comme l’éclairage avec des DEL (Diodes ElectroLuminescentes – LED en anglais). La démarche de Redwood Systems va dans ce sens avec la distribution et le contrôle de la lumière par un câblage unique, même si le POE+ n’est pas directement utilisée. A terme, la distribution d’énergie dans le bâtiment pourrait se transformer avec une utilisation de courants forts pour les systèmes de puissance et des courants faibles pour les consommations spécifiques autour de l’occupant. Et c’est sans compter que les sources de production photovoltaïque produisent du courant continu, et que le stockage d’électricité sur batterie ou sur pile à combustible repose également sur du courant continu. A travers le POE+, de nouvelles perspectives de conception de bâtiment se dessinent avec une mesure fine des consommations, un pilotage optimal de l’énergie, une simplification de la distribution électrique et une efficacité maximale des usages. Alors ces 25W sur 100m vont peut-être déclencher une transformation en profondeur du bâtiment à laquelle peu avaient songé il y a dix ans. Olivier.

18

Performance des réseaux LAN : La nouvelle carte de Supervision Sup 7-E pour le Chassis Catalyst 4500 La carte de Supervision Sup 7-E pour le Catalyst Cisco 4500 est la fondation pour les réseaux sans frontières de l’entreprise d’aujourd’hui qui permet une expérience utilisateur de haute performance, mobile et sécurisée. Les principaux avantages de la carte de Supervision Sup 7-E pour le Catalyst Cisco 4500 sont :

2020 Vision Le cycle de vie de la carte de Supervision Sup 7-E pour le Catalyst Cisco 4500 est garanti jusqu’en 2020.

Performance and Scability Cette nouvelle carte de Supervision Sup 7-E pour le Catalyst Cisco 4500 permet avec une capacité de traitement de 848 Gbps et une bande passante de 48 Gbps par slot d’avoir :

- 4x ports uplink non bloquants 10 Gigabit Ethernet/ Gigabit Ethernet - 384x ports non bloquants 10/100/1000 Base-T - 192x ports non bloquants Gig SFP - 384x ports simultanés en PoE (15,4W) - 240x ports simultanés en PoE+ (30W) - Triplement de la densité totale du nombre de port 10 Gigabit Ethernet

19

La carte de Supervision Sup 7-E pour le Catalyst Cisco 4500 atteint un niveau de performance très élevé :

- 250 Mpps IPv4 et 125 Mpps IPv6 - 256K IPv4 et 128K IPv6 routes - Réplication Multicast dans le Hardware et jusqu’à 250 Mpps - 55K Unicast et 32K Multicast MAC entrées

Borderless Servcies Enabled by Supervisor Engine 7-E La carte de Supervision Sup 7-E pour le Catalyst Cisco 4500 supporte Flexible NetFlow (FnF) pour des applications performantes optimisées. Avec FnF, on obtient un bénéfice par rapport au traditionnel NetFlow :

- Extensibilité avec une sélection quasi exhaustive des champs primaires et suivants - Flexibilité en créant des documents de flux définis par l’utilisateur des flux de

différents moniteurs - Performance au travers d’un ASIC Cisco sans affecter le traitement Forwarding - Evolutivité jusqu’à 128K Cache Flux - Intelligence avec les EEM policy actions

20

Modular Operating System Enabled by Supervisor Engine 7-E La carte de Supervision Sup 7-E pour le Catalyst Cisco 4500 fonctionne avec le Système Cisco IOS XE qui permet de tirer avantage des architectures multiprocesseurs et permet

- d’adopter rapidement des nouvelles technologies - d’utiliser des modules de tierces parties

La carte de Supervision Sup 7-E pour le Catalyst Cisco 4500 est préchargée avec le Système Cisco IOS Software Release 3.1.0 contenant une image universelle.

21

Il est ainsi très facile d’activer une nouvelle fonction au travers d’une clé d’activation sans avoir à changer le système.

22

Gestion des réseaux sans frontières, les innovations de Ciscoworks LMS Version 4 Ciscoworks LAN Management Solution (LMS) Version 4 apporte de nombreuses nouveautés pour faciliter la gestion des réseaux Borderless Cisco. Toutes ces nouveautés visent à faciliter la prise en main et l’utilisation quotidienne de LMS.

Une nouvelle interface graphique La première nouveauté visible de LMS 4 est son interface graphique qui a été entièrement repensée afin d’organiser les menus selon une logique fonctionnelle. Toutes les tâches sont accessibles en permanence dans la fenêtre courante, et l’utilisateur peut naviguer très rapidement entre les différentes fonctions de LMS. Pour chaque domaine fonctionnel de LMS (Montioring, Inventory, Configuration), un ou plusieurs tableaux de bord sont disponibles et présentent des informations synthétiques regroupées dans des « portlets » que l’utilisateur peut organiser à sa convenance dans le tableau de bord.

23

Une fonction de recherche globale permet à l’utilisateur de retrouver très facilement n’importe quel équipement réseau ou équipement terminal découvert par LMS. Le résultat de la recherche donne accès aux attributs principaux de l’équipement et à des outils d’aide au diagnostic.

Une configuration initiale simplifiée Toutes les tâches de configuration initiale de LMS sont regroupées dans un guide de démarrage directement accessible au premier démarrage de LMS. Cela permet à l’administrateur de mettre rapidement en œuvre LMS avec tous ses paramètres de configuration, en particulier ceux relatifs à la découverte des équipements à superviser.

Des canevas de configuration pour automatiser les changements LMS 4 apporte une nouvelle fonction d’aide au déploiement en masse de configurations au moyen de canevas (templates) paramétrés. Un template de configuration contient un ensemble de commandes IOS avec des paramètres qui seront instanciés au moment où le template est appliqué à un ou plusieurs équipements. LMS génère dynamiquement le formulaire permettant à l’utilisateur d’attribuer une valeur à chaque paramètre. Une librairie de templates est fournie avec LMS et peut être enrichie par l’utilisateur.

24

Des « workcenters » pour gérer des technologies spécifiques Cisco Une des difficultés d’une solution généraliste d’administration de réseau telle que LMS est de couvrir à la fois un grand nombre de types d’équipements différents (routeurs, commutateurs, firewall, bornes wifi, Call Manager, etc …), et d’être capable en même temps d’administrer en détails certaines technologies spécifiques de Cisco. Le concept de workcenter a été développé pour aider à résoudre cette difficulté. Un workcenter est une sous-application intégrée à LMS qui permet d’administrer complètement une technologie spécifique. La version 4 de LMS est fournie avec quatre workcenters : Identité, AutoSmart Ports, Smart Install et EnergyWise. D’autres workcenters sont prévus dans les prochaines versions. Chaque workcenter propose tout ce qui est nécessaire pour gérer complètement la technologie :

Un tableau d’évaluation permettant de savoir quels équipements supportent la

technologie

Un guide graphique de configuration, avec tous les formulaires et paramètres

spécifiques à la technologie.

Des rapports et un tableau de bord donnant l’état de configuration et/ou

d’utilisation de la technologie.

25

Un contrôle d’accès intégré à LMS Dans les versions précédentes de LMS, il était nécessaire de coupler LMS à un serveur ACS lorsqu’on souhaitait mettre en œuvre un contrôle d’accès spécifique à un sous-groupe d’équipements. Ce couplage avec ACS n’est plus nécessaire et LMS 4 dispose maintenant de manière autonome d’un mécanisme de contrôle d’accès. Chaque utilisateur de LMS est associé à un ou plusieurs rôles. Un rôle se définit par un ensemble de fonctions autorisées sur un ou plusieurs groupes d’équipements.

Découverte et inventaire des équipements non-Cisco Pour augmenter la pertinence de LMS dans les réseaux hétérogènes, LMS 4 est désormais capable de découvrir et d’inventorier simplement les équipements réseaux non Cisco.

Conclusion Les nouveautés apportées par la version 4 de LMS visent à :

simplifier les tâches d’administration les plus courantes,

faciliter les investigations et le diagnostic par un accès rapide aux nombreuses

informations que LMS possède à propos des équipements

automatiser les changements de configuration répétitifs

prendre en charge les technologies spécifiques Cisco au moyen de

workcenters dédiés.

26

Contactez-nous : www.cisco.fr 0800 907 375

Siège social Mondial Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tél. : 408 526-4000 800 553 NETS (6387) Fax : 408 526-4100

Siège social France Cisco Systems France 11 rue Camille Desmoulins 92782 Issy Les Moulineaux Cedex 9 France www.cisco.fr Tél. : 33 1 58 04 6000 Fax : 33 1 58 04 6100

Siège social Amérique Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tél. : 408 526-7660 Fax : 408 527-0883

Siège social Asie Pacifique Cisco Systems, Inc. Capital Tower 168 Robinson Road #22-01 to #29-01 Singapour 068912 www.cisco.com Tél. : +65 317 7777 Fax : +65 317 7799

Cisco Systems possède plus de 200 bureaux dans les pays et les régions suivantes. Vous trouverez les adresses, les numéros

de téléphone et de télécopie à l’adresse suivante :

w w w . c i s c o . c o m / g o / o f f i c e s Afrique du Sud • Allemagne • Arabie saoudite • Argentine • Australie • Autriche • Belgique • Brésil • Bulgarie • Canada • Chili Colombie • Corée Costa Rica • Croatie • Danemark • Dubaï, Emirats arabes unis • Ecosse • Espagne • Etats-Unis • Finlande • France Grèce • Hong Kong SAR Hongrie • Inde • Indonésie • Irlande • Israël • Italie • Japon • Luxembourg • Malaisie Mexique • Nouvelle Zélande • Norvège • Pays-Bas • Pérou Philippines • Pologne • Portugal • Porto Rico • République tchèque • Roumanie • Royaume-Uni • République populaire de Chine • Russie Singapour • Slovaquie • Slovénie • Suède Suisse • Taiwan • Thaïlande • Turquie • Ukraine • Venezuela • Vietnam • Zimbabwe

Note: Copyright © 2009 Cisco Systems, Inc. Tous droits réservés. CCSP, CCVP, le logo Cisco Square Bridge, Follow Me Browsing et StackWise sont des marques de Cisco Systems, Inc. ; Changing the Way We Work, Live, Play, and Learn, et iQuick Study sont des marques de service de Cisco Systems, Inc. ; et Access Registrar, Aironet, ASIST, BPX,

Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Cisco Unity, Empowering the Internet Generation, Enterprise/Solver, EtherChannel, EtherFast, EtherSwitch, Fast Step, FormShare, GigaDrive, GigaStack, HomeLink, Internet Quotient, IOS, IP/TV, iQ Expertise, le logo iQ, iQ Net Readiness Scorecard, LightStream, Linksys, MeetingPlace, MGX, le logo Networkers, Networking Academy, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, ProConnect, RateMUX, ScriptShare, SlideCast, SMARTnet, StrataView Plus, TeleRouter, The Fastest Way to Increase Your Internet Quotient et TransPath sont des marques déposées de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans d’autres pays.

Note: Toutes les autres marques mentionnées dans ce document ou sur le site Web appartiennent à leurs propriétaires respectifs. L’emploi du mot partenaire n’implique pas nécessairement une relation de partenariat entre Cisco et une autre société. (0502R) 205534.E_ETMG_JD_10/09