www.telefonija.rs
Agenda
• Računarske mreže – prvi koraci
• Savremene lokalne komunikacione
mreže
• CISCO Arhitekture – rešenje
savremenu komunikaciju
za
• Projekat SMATSA
• Implementacija – rešavanje realnih
problema
2
• Kasne 60-te:
Sve više računara na univerzitetima i
laboratorijama u SAD
Snažna potreba za umrežavanjem računara i
deljenjem raspoloživih resursa
• Prva polovina 70-ih:
Realizacija prvih računarskih mreža
“Octopus” – Računarska mreža u okviru
Lawrence laboratorije (1970. godina)
Cambridge prsten – Računarska mreža
realizovana na Univerzitetu u Cambridge-u
(1974. godina)
Chase Manhattan Bank New York – Prva
komercijalna računarska mreža ARCNET koju
su razvili Metcalfe i Boggs (1977. godina)
4
• Osnovni parametri:
Maksimalno 255 nod-ova
Brzina prenosa podataka 2.5 Mbps
Maksimalno rastojanje između nod-ova oko
7 km (uz korišćenje aktivnih hub-ova)
• Topologije:
Magistrala
Zvezda
5
•
Međusobno povezivanje više računara
•
Raspoloživost mrežnih resursa (razni tipovi servera,
mrežni štampači...) računarima u mreži
•
Mogućnost izlaska na Internet
•
Prenos telefonskog saobraćaja, to jest govora, preko
postojeće računarske mreže
•
Podrška za napredne telefonske servise
•
Mreža mora biti sigurna i zaštićena
•
Mogućnost nadgledanja rada mrežnih uređaja kao i
mogućnost upravljanja istim
•
Bežični pristup mreži
•
Pristup mreži sa udaljenih lokacija
•
Prenos video saobraćaja u realnom vremenu
•
Mreža mora da bude skalabilna, dostupna i pouzdana
7
8
•
Daje smernice prilikom dizajna mreže i pruža uvid u
najbolja praktična rešenja za mreže koje imaju od 100
do 10000 korisnika
•
Predstavlja platformu za razvoj naprednih tehnologija
koje se koriste u okviru sledećih arhitektura:
•
•
•
Borderless Networks
Collaboration
Data Center
SBA Piramida
10
•
Cisco Borderless Networks Arhitektura pruža
sigurnu osnovu za razvoj mreže u okviru vaše
organizacije na čije resurse se povezuju ljudi i uređaji
bez obira na to gde se nalaze.
•
Borderless mrežna rešenja podržana su od strane
širokog portfolio-a Cisco proizvoda i to u oblastima:
•
•
•
•
•
Switching
Routing
WAN Optimization
Mobility
Security
kao i Cisco servisa u oblastima:
•
•
•
•
Video
Energy efficiency
Security
Mobility
11
•
Cisco Collaboration Arhitektura je jedan od
osnovnih elemenata SBA arhitekture. Ova arhitektura
pruža sveobuhvatno rešenje u okviru kojeg se nalaze:
•
•
•
•
•
•
•
mrežna infrastruktura
collaboration aplikacije
sigurnost
mobility
management aplikacije
support servisi
Collaboration rešenja:
•
•
•
•
•
Unified Communications
TelePresence
Customer Care
Mobility and Wireless
Collaboration for Business
12
•
Data Center Arhitektura daje jasne preporuke kako
izgraditi mrežu koja će omogućiti da resursi data
centra postanu fleksibilniji, efikasniji i otporniji.
•
Ova arhitektura takođe pruža uvid u već primenjena i
funkcionalno testirana rešenja koja su koristila
preporuke Data Center Arhitekture.
•
Data Center rešenja:
•
•
•
•
•
•
•
•
•
•
Application Networking
Business Continuity
Cisco Unified Computing
Cloud Computing
DC Networking
Server Networking
Security
Storage Networking
Virtualization
Service Provider
13
15
Projektni zahtevi:
•
Postojanje redundanse na kičmi lokalne računarske mreže – kičma
treba biti realizovana sa dva komunikaciona uređaja i paralelnom
prenosnom strukturom
•
10 Gigabit Ethernet tehnologija u varijanti 10GBASE-SR X2 za vezu
između kičme i pristupnog sloja računarske mreže
•
Layer 3 switching tehnologija sa podrškom za QoS i security servise
•
mogućnost filtriranja saobraćaja na osnovu Layer 3 i Layer 4
informacija
•
CoS model (IEEE 802.1Q/802.1p) za implementacije QoS
•
svaki spratni koncentrator se vezuje na oba centralna komunikaciona
uređaja
•
mogućnost iskorišćenja višestrukih veza ka čvorovima istog ili nižeg
hijerarhijskog nivoa
•
mogućnost distribucije informacija o pripadnosti korisnika različitim
VLAN-ovima
•
Colapsed backbone – sve funkcije distributivnog sloja se prenose na
kičmu lokalne računarske mreže
•
Jedno primarno čvorište
16
Mehanizmi za raspodelu opterećenja, zaštitu od ispada spojnih puteva
i povećanja brzine protoka na kičmi lokalne računarske mreže:
•
•
•
•
•
Podela korisnika na VLAN-ove
STP (Spanning Tree Protocol) – optimizacija Port Costa na svim
portovima preko kojih se povezuju switch-evi pristupnog sloja sa
kičmom lokalne računarske mreže. Isključiti STP na svim portovima na
koje se priključuju računari i serveri. Cilj – brža konvergencija.
MSTP (Multiple Spanning Tree Protocol) – omogućava maksimalno
iskorišćenje spojnih puteva između pristupnog switch-a i čvorišta. Za
željeni skup VLAN-ova forsira se izbor odgovarajućeg root switch-a, i na
taj način utičemo na formiranje STP stabla.
HSRP (Hot Standby Routing Protocol) – za željeni skup VLAN-ova
forsira se izbor odgovarajućeg active router-a (gateway-a).
Gigabit EtherChannel – omogućava grupisanje minimalno 2 a
maksimalno 8 Gigabit Ethernet linkova u jedan link većeg kapaciteta.
Legenda:
Layer 2 Switch
REALIZACIJA KIČME
LOKALNE RAČUNARSKE
MREŽE
Si
Si
Si
mL3sw-1
mL3sw-2
VS-C6506E-S720-10G
VS-C6506E-S720-10G
Layer 3 Switch
Korisnicki uredaji
10 Gbps Etherent
17
Projektni zahtevi:
•
mogućnost grupisanja korisnika u izolovane segmente
•
mogućnost kontrolisanja propusnog opsega na nivou korisnika
•
mogućnost klasifikacije i promene prioriteta saobraćaja
•
redundansa na nivou opreme i kablovske infrastrukture nije
obavezna
•
redundansa na nivou opreme i veze ka kičmi lokalne računarske
mreže je obavezna
•
Gigabit Ethernet tehnologija u varijanti 10/100/1000 BaseT na
pristupnom delu
•
10 Gigabit Ethernet tehnologija za vezu spratnih koncentratora
sa kičmom lokalne računarske mreže
•
Spratni koncentratori treba da omoguće napajanje za IP telefone
•
Voice VLAN za IP telefone
•
Šest sekundarnih čvorišta
18
WS-C3750E-48PD-S
WS-C3750E-48PD-S
Legenda:
Switch pristupnog
sloja
REALIZACIJA
PRISTUPNOG
SLOJA
Si
Layer 3 Switch
Korisnicki uredaji
Si
Si
Korisnicki racunar
IP Telefon
10 Gbps Etherent
Switch pristupnog
sloja
NAČIN
POVEZIVANJA
WS-C3750E-48PD-S
SWITCH-evi
PRISTUPNOG
SLOJA
19
Projektni zahtevi:
•
•
Kreirati sledeće VLAN-ove na AP-ovima:
•
Voice VLAN – VLAN za komunikaciju Wireless IP telefona
•
Data VLAN – jedan ili više VLAN-ova za prenos podataka
•
VLAN za upravljanje i međusobnu komunikaciju AP-ova (roaming
funkcionalnosti)
Kontrola pristupa wireless mreži preko RADIUS servera:
•
Open Key Authentication metod za autentifikaciju
•
IEEE 802.1x protokol kao okvir za kontrolu pristupa
•
EAP protokol za autentifikaciju korisnika i dinamičku razmenu
ključeva za kriptovanje podataka
•
pripadnost VLAN-u
•
Podrška za G.711 i G.729 codec-e na wireless IP telefonima
•
Spratnu pokrivenost treba da obezbede po 3 AP-a
•
Obezbediti funkciju roaming-a
20
Koncept realizacije Wireless LAN infrastrukture
21
Projektni zahtevi:
•
veza sa Internetom posredstvom jednog Internet servis provajdera
(za uvođenje redundanse i visoke pouzdanosti potrebna i veza ka
drugom ISP-u)
•
statičko rutiranje
•
dinamičko i statičko transliranje privatnih adresa na javne adrese
dobijene od ISP-a
•
Internet firewall realizovan u failover konfiguraciji
•
postojanje DMZ zone
•
kontrola saobraćaja pomoću security nivoa na interfejsima i access
lista
•
VPN (Virtual Private Network) servis
•
Akceleratorske kartice za ubrzavanje enkripcije saobraćaja
•
Antivirusna zaštita:
•
Detekcija virus-a, spyware-a, spam-a
•
Phising
•
web content filtering
•
inspekcija http, ftp; smtp, pop3 saobraćaja
•
antispam podrška na nivou upita u MX record
•
.....
22
23
Projektni zahtevi:
•
Aplikativno rešenje
•
Skalabilan i visoko pouzdan telefonski sistem
•
Jednostavna integracija dodatnih aplikativnih rešenja
omogućiti implementaciju naprednih telefonskih sevisa
•
Podrška za 1000 IP telefona
•
Postavljanje korisnika u unapred definisane korisničke grupe
•
Podrška za TAPI, JTAPI, CTI i XML protokole/interfejse
•
Podrška za SIP, H.3232, MGCP, SCCP signalizacione protokole
•
Hardverska platforma mora imati:
•
•
•
koja
će
redundantno napajanje (hot swappable)
redundantne SCSI diskove (hot swappable)
hardverski RAID kontroler koji omogućava mirroring hard disk uređaja
•
Podrška za različite voice codec-e
•
Podrška za kontrolu propusnog opsega (Call Admission Control)
•
Podrška za inteligentno usmeravanje poziva (Automated Alternate
Routing)
•
Mogućnost vođenja detaljnih zapisa o pozivima (Call Detail Record)
24
Mehanizmi za garantovanje kvaliteta govornog i video signala:
•
•
•
•
•
•
Cilj: kašnjenje ≤ 200ms; varijacija kašnjenja ≤ 30ms; gubitak paketa
≤ 1%
IP telefon mora imati mogućnost obeležavanja paketa radi njihove
kvalifikacije
Switch-evi u pristupnom sloju treba da imaju mogućnost postavljanja
ranije obeleženih paketa u različite redove čekanja (queue), kao i
mogućnost promene prioriteta paketa
Switch-evi u pristupnom sloju treba da imaju podršku za
implementaciju različitih algoritama koji će servisirati različite redove
čekanja
Postojanje minimalno dva queue – jedan za glas i video, drugi za
ostali tip saobraćaja
Podrška za IGMP protokol (IGMP snooping)
Obeležavanje različitih tipova saobraćaja
25
Arhitektura sistema za procesiranje poziva
Korisnici: 1-500
Intra Cluster
Communication
CPA_A
CPA_B
Korisnici: 501-1000
CPA_B
CPA_A
Primarna registracija
Multi-site model IP telefonije sa centralizovanim procesiranjem
poziva
Sekundarna registracija
Centralna lokacija
Udaljene lokacije
CPA cluster
IP WAN
Si
Si
PSTN
26
Komunikacija sa eksternim aplikativnim rešenjima
Call Processing Agent
Web Server
SCP
Internet
XML over
HTTP
CTI
(TAPI/JTAPI)
CTI Aplikacije
Komunikacija sa bazama korisnika
Pretraga po
korisniku
Traži korisnika
CPA cluster
LDAP
Rezultat pretrage
LDAP
Corporate Directory
LDAP
Corporate Directory
Specificna
setovanja
27
Projektni zahtevi:
•
•
•
•
•
•
Aplikativno rešenje
Korišćenjem jednog poštanskog sandučeta, standardnog e-mail klijenta,
omogućava se prijem glasovnih, fax i e-mail poruka
Mogućnost pristupa poštanskom sandučetu preko IP ili običnog analognog
telefona
Podrška za najmanje 200 korisnika, uz mogućnost proširenja do 1000
korisnika
Podrška za G.711 i G.729 voice codec-e
Integracija sa korporativnim e-mail i fax serverom
Sprega sa sistemom za procesiranje poziva
Unify Messaging
CPA cluster
VG_A
PSTN
IP LAN
VG_B
28
Prijem i slanje fax poruka posredstvom fax servera
Prijem fax poruka metodom store-and-forward
Fax
server
FO_MUX VG_A
T.30
1
E-mail
server
2
PSTN
IP LAN
3
FO_MUX VG_B
Korisnik
Slanje fax poruka metodom store-and-forward
Fax
server
FO_MUX VG_A
T.30
3
E-mail
2
PSTN
IP LAN
1
FO_MUX VG_B
Korisnik
29
Arhitekture fax server okruženja
Principska šema fax server okruženja
Principska šema fax server okruženja sa Microsoft Exchange serverom
30
Projektni zahtevi:
•
Omogućiti korisniku multimedijalne servise kao što su voice, web i
video
•
Maksimalno 120 istovremenih web i voice konferencija
•
Maksimalno 40 istovremenih video konferencija
•
Konferencije se mogu zakazati, rezervisati i po potrebi snimiti
•
Mogućnost audio konferencije za korisnike sa TDM centrala
•
Oprema za videokonferenciju raspoređena u 5 malih sala
31
Projektni zahtevi:
•
•
•
•
•
•
•
•
Integracija minimum 3 ISDN PRI linije
Visoka otpornost sistema na otkaze komunikacionih uređaja i spojnih
puteva ka PSTN
Raspodela opterećenja
Podrška za H.323 i MGCP protokole (SIP nije obavezan)
Prenos DTMF signala out-of-band
Podrška za G.711 i G.729a voice codec-e
Kontrola i poništavanje eha u skladu sa ITU-T G.168
Mogućnost
markiranja i klasifikacije paketa u skladu sa IEEE
802.1Q/802.1p
Arhitektura sistema za spregu sa javnom telefonskom mrežom
32
Projektni zahtevi:
•
•
•
•
•
•
Dva uređaja za spregu sa GSM mrežama
Uređaji se smeštaju u klaster
Minimalno 8 GSM kanala po uređaju
Podrška za H.323 protokol
Podrška za G.711 i G.729a voice codec-e
GSM SIM kartice svih GSM operatora od interesa
Logička šema sistema za spregu sa GSM mrežama
33
Projektni zahtevi:
•
•
•
•
Izvesti kabliranje telefonskim kablom od svakog interfonskog mesta do
reka glavne distribucije u zgradi
Na interfonska mesta postaviti telefonske aparate
Telefonske aparate povezati preko telefonskog kabla na predviđene FXS
portove voice gateway-a
Prilikom podizanja slušalice korisnik se automatski spaja na predviđeni lokal
u zgradi (recepcija, portirnica ili sl.)
Povezivanje interfona u IPT sistem
34
35
Zaštita Intranet segmenta
•
•
•
•
•
•
Koriste se Firewall Servisni Moduli (FWSM) koji se nalaze na centralnim L3
switch-evima
FWSM moduli rade u failover konfiguraciji
Svakom serverskom VLAN-u se dodeljuje jedan logički interfejs na FWSM
modulu
Jedan VLAN za komunikaciju između FWSM-a i MSFC-a
Na FWSM modulu kreirati Intranet context
Statičke rute
Realizacija zaštite Intranet segmenta
36
Zaštita komponenti IP telefonskog sistema
•
•
Na FWSM modulu kreirati IPT context
Primenti isti princip zaštite kao i kod Intranet segmenta
Logička šema sistema zaštite komponenti IPT sistema
37
Zaštita Internet segmenta
•
Firewall sistem treba da obezbedi filtriranje saobraćaja koji dolazi sa
Interneta
•
Zaštita serverskih komponenti IPT sistema od SYN flooding napada
•
IPS funkcionalnosti
•
Failover konfiguracija
•
Sitem treba da bude modularan
Antivirusna zaštita
•
Realizuje se na pristupnoj tački ka Internetu
•
Gateway koji štiti mrežu od pretnji spolja
•
Sistem treba da bude redundantan
VPN koncentracija
•
Terminacija VPN tunela na firewall sistemu za zaštitu Internet
segmenta
•
Definisati saobraćaj koji se kriptuje
38
Zaštita Internet segmenta i antivirusna zaštita
39
Zaštita pristupa administratorskim funkcijama uređaja
•
•
•
•
Kontrola bazirana na lokalno definisanim lozinkama
Kontrola uz pomoć centralizovanog AAA servera
Autentifikacija i autorizacija konzolnog i telnet pristupa na AAA serveru
Accounting informacije se beleže na AAA serveru
Zaštita pristupa administratorskim
funkcijama uređaja
•
•
•
•
Lokalno definisanim lozinkama
Korišćenjem centralizovanog AAA servera
Konzonlni i telnet pristup se autentifikuju i
autorizuju na centralnom AAA serveru
Accounting informacije se beleže na AAA
serveru
40
Projektni zahtevi:
•
Postaviti NMS (Network Management Station) u segment
lokalne računarske mreže u okviru koga se nalaze mrežni
administratori
•
SNMP protokol za komunikaciju NMS-a sa mrežnim uređajima
•
Na NMS se nalazi aplikacija za nadzor i upravljanje
•
Aplikacija treba da obezbedi:
•
prikaz mrežne topologije i autodetekciju uređaja na mreži
•
nadzor i upravljanje
serverima
•
nadzor i upravljanje mrežnim komunikacionim uređajima
•
nadzor mrežnih servisa
•
nadgledanje i kontrola saobraćaja na mreži, pristup podacima o
statusima uređaja i portova, iskorišćenju propusnog opsega, i sl.
•
kontrola događaja i statusa
•
prikupljanje statistika o sistemu za spregu sa javnom telefonskom
mrežom
•
nadgledanje i upravljanje sistemom za procesiranje poziva
•
mogućnost generisanja e-mail notifikacija o definisanim događajima
•
pristup NMS korišćenjem web interfejsa za nadzor i upravljanje
mrežom
korisničkim
radnim
stanicama
i
mrežnim
41
42
Projektni zahtevi:
•
Prikupljanje
protokolom
statusnih
informacija
sa
AP
uređaja
•
Generisanja alarma
•
Automatska konfiguracija velikog broja AP uređaja
•
Upravljanje softverima uređaja
•
Specifične funkcije kao što su:
SNMP
•
Wireless LAN IDS u saradnji sa Access Point uređajima koji skeniraju
radio spektar
•
Nadgledanje
uređajima
•
Nadgledanje radio spektra i generisanje alarma u slučaju pada
performansi WLAN mreže
•
Detekcija interferencija
interferencije
•
U slučaju ispada jednog Access Point uređaja, automatska
rekalkulacija izlaznih snaga susednih Access Point uređaja u cilju
ostvarivanja optimalnog radio pokrivanja
•
Otkrivanje lažnog Access Point uređaja, otkrivanje port-a na switch-u
i fizičkog položaja lažnog Access Point uređaja
politika
sigurnosti
u
radio
postavljenih
spektru
i
na
Access
otkrivanje
Point
lokacije
43
Cisco 5508 Wireless Controller
44
Cisco Wireless Control System
45
Cisco Wireless Control System
46
47
48
Obratiti pažnju na verziju software-a na Cisco 5508 Wireless
Controller-u:
•
•
Problem: sa verzijom software-a 6.0.188.0 Cisco 5508 Wireless
Controller ne može da nađe LWAAP-ove koji su povezani na mrežu.
Rešenje: potrebno je upgrade-ovati software na neku noviju verziju
(mi smo upgrade-ovali na verziju 6.0.199.0).
Obratiti pažnju na izabrani Country Code na Wireless Controller-u:
•
•
Problem: Wireless IP telefoni neće da se povežu na mrežu ako je za
Country Code izabrana Srbija.
Rešenje: izabrati Country Code neke od zemalja koje imaju uređene
standarde (USA, Nemačka...).
Mogućnost kontrole standardnog (standalone) AP-a preko Wireless
Controllera
•
•
Problem: Wireless Controller ne prepoznaje standardni (standalone)
AP u mreži.
Rešenje: sa Cisco-ovog sajta skinuti Autonomous to Lightweight
Mode Upgrade Image za odgovarajuću seriju i model AP-a i
Migration Tool (verzije TFTP servera). Uz pomoć TFTP servera
moguće je upload-ovati potrebni image na standalone AP.
50
Mogućnost pristupa LWAAP-u sa default-nom konfiguracijom:
•
•
Problem: LWAAP se nalazi na nepristupačnom delu (npr. u
spuštenom plafonu), a mi hoćemo da mu pristupimo i dodelimo
željenu IP adresu.
Rešenje: po default-u LWAAP je konfigurisan da dobija adresu od
DHCP-a. Sve što treba da uradimo jeste da LWAAP povežemo na
mrežu u odgovarajući VLAN u okviru koga ćemo podići DHCP sa
jednom adresom. Nakon dobijanja adrese od DHCP-a pristupamo
LWAAP-u i dodeljujemo mu željenu IP adresu.
Mogućnost konfigurisanja LWAAP-a preko CLI-a:
•
•
Problem: CLI LWAAP-a je prilično siromašan, i mnoga podešavanja
nam nisu dostupna.
Rešenje: Da bi smo preko CLI-a imali sva podešavanja, potrebno je
da se LWAAP poveže (kroz mrežu) sa Wireless Controller-om, nakon
čega ćemo dobiti sve CLI funkcionalnosti kao i kod standalone AP-a.
Mogućnost nadgledanja linkova u mreži preko LMS-a:
•
•
Problem: LMS neće da iscrta linkove između dva uređaja
Rešenje: Da bi u okviru LMS-a na šemi LAN mreže imali iscrtan link
između dva uređaja (sa svim svojim parametrima), na uređajima
mora biti pušten CDP protokol.
51
Mogućnost SSH pristupa uređaju preko LMS interfejsa:
•
•
Problem: koji od klijenata za SSH pristup uređaju izabrati (putty,
SecureCRT, Hyper Terminal...)
Rešenje: Kada govorimo o LMS-u i mogućnosti SSH pristupa
uređaju preko LMS interfejsa, najbolje se pokazao putty, to jest
njegova integracija sa LMS-om omogućava SSH pristup uređaju.
Kod integracija ostalih SSH klijenata postoji softverski problem.
Failover konfiguracija na ASA-i:
•
•
Problem: prilikom pada interfejsa na aktivnoj ASA-i, ne dolazi do
failovera, to jest ASA koja je bila u standby ne postaje aktivna.
Rešenje: Da bi failover na ASA-i ispravno funkcionisao, prilikom
njegovog konfigurisanja treba slediti Cisco-ove preporuke, to jest
failover link između dve ASA-e ide preko switch-a, dok state link
direktno povezuje dve ASA-e.
52
Download

Prezentacija Telefonija