Antworten zu Ciscos neuem Netzwerk

Eine neue Ära für das Netzwerk kündigte Cisco im Juni 2017 an. Die Produktoffensive ließ Fragen offen. Falko Binder von Cisco gibt die Antworten.

Ende Juni 2017 kündigte Cisco unter dem Motto „Das neue Netzwerk.“ beziehungsweise „The Network. Intuitive.“ eine „neue Ära“ für das Netzwerk an. Anstelle manueller Verwaltung sollen intuitive Bedienung, weitgehende Automatisierung und Analytics treten, so der Netzwerk-Marktführer.

Die Neuerungen betreffen beispielsweise die Catalyst-9000-Switches, Software-defined Access, Network Data Platform and Assurance, Encrypted Traffic Analytics (ETA) oder Cisco ONE Software Suites. Bei SearchNetworking.de finden Sie in der News zu Ciscos neuer Netzwerkplattform detaillierte Informationen zu der Ankündigung.

Aufgrund der Vielzahl an neuen Produkten und deren Komplexität bleiben einige Fragen offen. Wir haben dazu Falko Binder, Architecture Lead Networking Germany bei Cisco, befragt.

Automation mit netzwerkweiter Richtliniendurchsetzung und Provisionierung sind nicht neu, sondern Grundkonzept bei SDN. Was unterscheidet Ihre neue Lösung von anderen SDN-Plattformen? Was wird aus dem bisherigen SDN-Angebot von Cisco?

Falko Binder: Cisco SDN-Lösungen basieren auf dem Konzept der Abstraktion und der Verwaltung von Richtlinien (Policies). Hierbei wird nicht definiert, WIE Prozesse ablaufen sollen (HOW), sondern WAS erreicht werden soll (WHAT = INTENT). Der SDN-Controller übersetzt das WAS in die effektivste South-Bound-API zum Netzwerkgerät – zum Beispiel, RESTConf oder SNMP oder CLI. Hierdurch entsteht eine hohe Flexibilität und Effizienz. Für den Fall der Nichtverfügbarkeit des SDN-Controllers, etwa wegen einer Störung oder Isolierung, können die beteiligten Netzwerkkomponenten auch ohne SDN-Controller weiterhin sämtliche Entscheidungen treffen.

SDN-Plattformen der Wettbewerber setzen entweder auf OpenFlow (mit den bekannten Limitationen, zum Beispiel komplexe Programmierung, eingeschränkte Skalierbarkeit, Hardwareabhängigkeit) oder versuchen im Wesentlichen die Konfigurationen heutiger Netzwerke beziehungsweise die verwendeten Netzwerkprotokolle (Spanning Tree, Routing Protokolle, 802.1q, LACP, HSRP und so weiter) zu automatisieren.

Cisco Digital Network Architecture (DNA) ist dagegen die zu Ende gedachte Form von SDN für das LAN, WLAN und künftig auch WAN – mit dem Ziel, die beteiligten Komponenten als eine Netzwerk-Fabrik (Campus Fabric) zu verwalten. Mit Cisco Software Defined Access wird die Anzahl der verwendeten Netzwerkprotokolle auf ein Minimum reduziert und die gesamte Netzwerk-Fabrik mit Hilfe von benutzergruppenbasierten Richtlinien (Group Based Policies) gesteuert. Beispiele hierfür sind: Segmentierung in virtuelle Netze, Definition und Umsetzung von Zugriffsregeln und Security Services, Definition und netzwerkweite Implementierung von Quality of Service, Verschlüsselung, Wege-Wahl im Netzwerk und vieles mehr. Die Bedienung und Überwachung von LAN, WLAN und künftig auch WAN erfolgt mit Hilfe einer intuitiv bedienbaren grafischen Benutzeroberfläche, dem DNA-Center. Vorteile sind die Einfachheit, Flexibilität, Schnelligkeit und Robustheit, mit der Services im Netzwerk zur Verfügung gestellt werden können.

DNA (Digital Network Architecture) – die Cisco SDN-Lösung für LAN, WLAN und künftig WAN – ergänzt andere SDN-Angebote von Cisco wie ACI (Application Centric Infrastructure), speziell für Data-Center-Umgebungen oder NSO (Network Services Orchestrator) für Service-Provider und Unternehmen mit Multi-Vendor-Umgebungen. Weitere Informationen gibt es auf der Cisco-Webseite hier, hier und hier.

Einer der von Netzwerkkunden gewünschten Vorteile von SDN ist die offene Architektur, die (zumindest ansatzweise) die Integration von Lösungen verschiedener Hersteller ermöglichen soll. Wie offen ist die neue Plattform von Cisco?

Binder: DNA-Center legt alle Funktionen der grafischen Benutzeroberfläche über eine gut dokumentierte North-Bound-API offen. Hierüber ist die Integration in übergreifende Orchestration Tools möglich. Die Integration von Nicht-Cisco Komponenten in das DNA-Center ist im Wesentlichen abhängig vom South-Bound Abstraction Layer (SAL). Cisco wird in den kommenden Monaten einen ersten Feldversuch starten, um ein Software-Development-Kit (SDK) für die Integration von Nicht-Cisco Komponenten zu testen. Nicht unterstützte Geräte werden aktuell im DNA-Center als UNKNOWN Device dargestellt.

Die neue Softwareplattform soll laut Cisco auch kompatibel mit Switches „der letzten Monate“ sein. Gibt es dazu genauere Angaben? Wo kann sich der Kunde darüber informieren (beispielsweise über eine Webseite mit Geräteliste)?

Binder: Kunden können sich zu diesem Thema auf folgenden Webseiten informieren: Compatibility Information und Software-Defined Access im Abschnitt Supported Hardware.

Laut Produktankündigung erhalten Kunden „beim Kauf der neuen Catalyst 9000 Switch-Familie per Abonnement Zugang zu den DNA Software-Funktionen“. Sind diese Funktionen (für eine gewisse Zeit) schon im Kaufpreis enthalten oder muss der Kunde sie im Abo-Modell grundsätzlich zukaufen?

Binder: Catalyst 9000 Series Switches können ausschließlich mit einer DNA Subscription-Lizenz (mindestens 3 Jahre) bestellt werden. Für Geräte aus der Catalyst 3850 / Catalyst 3650 Serie muss nachträglich eine DNA Subscription-Lizenz erworben werden, um die DNA-Funktionen zu nutzen. Weitere Informationen gibt es unter auf der Webseite Cisco ONE Subscription for Switching und im PDF-Dokument Cisco ONE Software Switching Subscription Offer.

Der Kunde kann sich für das Abo von „Cisco ONE Software Suites oder einzelnen Komponenten“ entscheiden. Welche Module/Komponenten lassen sich einzeln buchen?

Binder: Kunden können gemäß den erforderlichen Funktionen zwischen den vorgefertigten Suiten „Cisco ONE Essentials“ und „Cisco ONE Advantage“ wählen:

„Cisco ONE Essentials“ – der Kunde erhält die Lizenzen für DNA Essentials + ISE Base + Embedded Support.

„Cisco ONE Advantage“ – der Kunde erhält die Lizenzen für DNA Advantage + ISE Plus + ISE Base + Stealthwatch + Embedded Support.

Alternativ können Kunden folgende Optionen einzeln zukaufen:

DNA Essentials + Embedded Support

DNA Advantage + Embedded Support.

Alle Angebote sind im 3-, 5- oder 7-Jahres-Abo erhältlich. Mehr dazu auf der in der vorherigen Antwort genannten Webseite und im PDF-Dokument zu Cisco ONE Subscription for Switching.

Lassen sich die neuen Catalyst-Switches auch ohne Software-Abo noch sinnvoll einsetzen?

Binder: Die Catalyst 9000 Series Switches können ausschließlich mit DNA Subscription-Lizenz erworben werden. Diese sind in zwei Lizenzstufen verfügbar: „DNA Essentials“ und „DNA Advantage“. Die verfügbaren Funktionen sind abhängig von der erworbenen Lizenzstufe.

DNA Subscription-Lizenzen sind mit Laufzeiten von 3, 5 und 7 Jahren erhältlich. Je nach gewählter Lizenz werden die Catalyst 9000 Series Switches mit dem Betriebssystem IOS-XE auf Network Essentials Level oder Network Advantage Level erworben. Nach Ablauf der DNA Subscription-Lizenz stehen lediglich die Funktionen des DNA-Centers für die betreffenden Geräte nicht mehr zur Verfügung. Die Funktionen des Betriebssystems IOS-XE sind selbstverständlich auch nach Ablauf der DNA Subscription-Lizenz weiterhin nutzbar.

Sie geben für Encrpyted Traffic Analytics (ETA) 0,01 Prozent False Positives an. Dies bedeutet, dass eins von 10.000 Paketen fälschlicherweise als gefährlich eingestuft wird. In einem großen Firmennetzwerk kommen so täglich rechnerisch tausende an False Positives zusammen. Wie sorgt ETA dafür, dass die Administratoren nicht von falschen Alarmen überflutet werden?

Binder: Bisher wurden die Metadaten eines Flows (Inbound & Outbound Bytes, Inbound & Outbound Packets, Source & Destination Ports, Source & Destination IP Addresses, Total Duration of the Flow, Protocol) extrahiert und mittels Netflow an ein Security Monitoring System exportiert. Malware, deren Kommunikation über TLS verschlüsselt ist, lässt sich mit Hilfe dieser Metadaten allein nicht identifizieren, sondern bedarf zusätzlicher Informationen, zum Beispiel: Sequence of Packet Lengths and Times (SPLT), Byte Distribution, Initial Data Packet-Informationen und vieles andere (PDF).

Die Encrpyted Traffic Analytics-Funktion der Cisco Catalyst 9000 Switch Serie, Router der ASR1000-X Serie und Router der ISR4000 Serie extrahieren diese zusätzlichen Informationen, ohne die Verschlüsselung aufzubrechen, und exportieren diese Informationen an ein Security Monitoring System, zum Beispiel Cisco Stealthwatch, welches Events und Alarme generiert. Um False Positives zu vermeiden, muss das Stealthwatch System „getuned“ werden. Im Rahmen dieses „Tunings“ sollte die zu betrachtende Datenmenge so groß wie möglich sein. Whitelisting von erlaubten Applikationen und deren Datenverkehr im Netzwerk sollte konfiguriert werden. Alarme, die zu False Positives führen, sollten manuell deaktiviert werden. Diese wiederkehrenden, aber essentiellen Maßnahmen unterstützen maßgeblich das Herausfiltern von False Positives.

Pattern-basierte Malware-Erkennung kann nur bekannte Threads finden. Demzufolge kann ETA nicht für den alleinigen Schutz des Netzwerks sorgen und es sind zusätzliche Sicherheitslösungen erforderlich, die einen anderen Ansatz verfolgen?

Binder: Neben ETA sollten zusätzliche Sicherheitslösungen eingesetzt werden. Das Cisco Sicherheitsmodell (Before, During, After) definiert Lösungen und deren Maßnahmen, die vor, während und nach einem Angriff durchgeführt werden, um Organisationen vor Malware, gezielten Angriffen und Advanced Persistent Threats zu schützen.

Vor möglichen Angriffen sollten Hosts, Betriebssysteme, Anwendungen, Protokolle, Anwender und deren Netzwerkverhalten in einer Organisation erfasst werden. So lassen sich wichtige von weniger bedeutenden Elementen unterscheiden und Kommunikationsbeziehungen der Hosts untereinander darstellen (umsetzbar zum Beispiel in Cisco Stealthwatch). Geräte des Netzwerks sowie Hosts sollten darüber hinaus gehärtet werden, siehe hier.

Der Datenstrom wird nicht entschlüsselt, jedoch auf Muster überprüft. Das System muss also vorher von irgendwoher Pattern erhalten, die es mit dem Datenstrom abgleichen kann. Laut Pressemeldung ist das Cisco Talos. Von dort kommen aber doch Muster, die unverschlüsselten Datenverkehr betreffen. Und selbst wenn Muster für verschlüsselten Datenverkehr bereitgestellt werden würden, wären diese ja nicht deckungsgleich mit der individuellen Verschlüsselung beim jeweiligen Cisco-Kunden. Demzufolge hätte jedes installierte System in beiden Fällen seine eigene individuelle Lernkurve, bis es die bereitgestellten Pattern sinnvoll verwenden kann. Das ist aber doch ein erheblicher Nachteil gegenüber Lösungen, die den Datenverkehr vorher entschlüsseln und bereitgestellte Pattern direkt anwenden können, oder? Wie groß ist dieses Verzögerung gegenüber Systemen, die den Datenverkehr zu Analyse entschlüsseln, beziehungsweise wie lange ist diese Lernkurve?

Binder: Diese Muster oder Pattern sind nicht wie eine Regular Expression auf Text (oder eine IPS-Signatur) zu verstehen. Es handelt sich vielmehr um die Interpretation von Intraflow Metadata.

Falko Binder, CiscoFalko Binder, Cisco

Dazu benutzen wir neue Elemente oder Telemetriedaten wie die Sequenz der Länge und Ankunftszeit verschlüsselter Pakete. Zudem wird die Wahrscheinlichkeit verschiedener Byte-Verteilungen im Payload überprüft. Und das Initial Data Packet erlaubt es uns, im Klartext Informationen wie HTTP, URL, DNS-Name oder anderes zu erhalten. Durch TALOS haben wir die Möglichkeit, das (Flow-)Verhalten von Malware gegenüber legitimem Verkehr zu unterscheiden.

Fallen zusätzliche Kosten für die Nutzung von Cisco Talos an?

Binder: Nein, es fallen dafür keine zusätzlichen Kosten an.

Lassen sich auch Services anderer Hersteller (zusätzlich) einbinden?

Binder: Die Encrpyted Traffic Analytics-Funktion steht exklusiv auf den Geräten der Cisco Catalyst 9000 Switch Serie, Router der ASR1000-X Serie und Router der ISR4000 Serie zur Verfügung.

Welchen Durchsatz erreicht ein Catalyst-Switch mit ETA?

Binder: Das Extrahieren der zusätzlichen Metadaten geschieht auf dem Catalyst 9000 Series Switch innerhalb der Hardware. Das Exportieren via Netflow hat in der Regel keinen signifikanten Einfluss auf die CPU-Auslastung. Folgende Faktoren können aber die CPU-Auslastung beeinflussen:

  • Gleichzeitiges Exportieren derselben Metadaten zu mehreren Netflow-Kollektoren
  • Die Anzahl der Flows
  • Die Wahl des Netflow Caches (periodisches Exportieren des gesamten Caches gegenüber sofortigem Exportieren eines Flows, nachdem der Flow-Record erstellt wurde)

Können Sie weitere Details zur Hardware (CPU, ASIC…) und zum Funktionsprinzip von ETA nennen?

Binder: Eine ausführliche Beschreibung findet sich in diesem WhitePaper.

Während der Produktpräsentation wurde auch „Enhanced network as a sensor“ für November 2017 angekündigt. Haben Sie dazu mehr Informationen?

Binder: „Enhanced Network as a Sensor“ ist der Oberbegriff, unter dem sich die Funktion Encrypted Traffic Analytics einordnet. Encrypted Traffic Analytics ist ab September 2017 verfügbar. Die Ankündigung für November 2017 bezieht sich auf die Funktion DNA Assurance und Analytics sowie die dafür erforderliche Network Data Platform. Mehr dazu gibt es hier.

Können Sie Preise zu den angekündigten Produkten/Abomodellen nennen?

Binder: Hier zwei Beispiele:

  • Catalyst 9300 (48-Port GE Copper, 4x 1GE Uplink, DNA Essentials, 3 Years) = 9.400 US-Dollar Listenpreis
  • Catalyst 9500 (24-Port 40GE, DNA Essentials, 3 Years) = 26.000 US-Dollar Listenpreis

Preise für die Geräte der Catalyst 9400 Series werden in Kürze bekannt gegeben.

Da es sich um eine komplett neue Hard- und Softwareplattform handelt, müssen auch die Administratoren vermutlich neue Kenntnisse erwerben. Welche neuen Zertifizierungen bieten Sie an und welche vorausgehenden Zertifizierungen sind wiederum Grundvoraussetzung dafür?

Binder: Trotz vieler Neuerungen ist die Basis für die neuen Switching-Plattformen nach wie vor das Betriebssystem IOS (OPEN-IO-XE). Aus diesem Grund ergeben sich auf der CLI-Ebene keine Änderungen. Für neue Features wie SD-Access sind keine Zertifizierungen notwendig, da sie sich sehr einfach mit DNA-Center konfigurieren lassen. Dies erfordert keine speziellen Netzwerkkenntnisse. Daher sind derzeit auch keine neuen Spezialisierungen geplant.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Campus-LAN-Switches: Funktionsweise und Aufgaben

Auch in einer SDN-Welt ist die Evolution der Netzwerkhardware wichtig

Essential Guide: Einführung in Software-defined Networking (SDN)

Kostenloses E-Handbook: Kaufberatung Data Center Switches

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Ethernet im Data Center

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close