Archiwa kategorii: Technologie

Podłączanie zasobów iSCSI

Dzisiejszy wpis dotyczy dość zaawansowanej technologii i przeznaczony jest dla administratorów IT.
Macierze iSCSI coraz częściej pojawiają się wśród klientów SMB. Zazwyczaj wyposażone są w dwie lub więcej karty sieciowe i większość konfigurujących próbuje zagregować łącza aby uzyskać większe przepustowości.
Dlatego zarówno po stronie macierzy jak i serwera zestawiany jest LACP 802.1ad (EtherChannel) zapewniający redundancję połączeń i zwiększenie przepustowości.
Ale czy na pewno ?
Macierz niestety pozostaje na maksymalnym poziomie przepustowości wynoszącym 125 MB/s
Dlaczego ?
LACP zapewnia nam równomierne rozłożenie sesji na wiele portów. I tu jest słowo klucz, podłączenie do macierzy ISCSI z IP serwera – to jedna sesja. A zatem tylko i wyłącznie jedna karta sieciowa na raz będzie przesyłać ruch do i z macierzy.

Rozwiązaniem jest technologia MultiPath I/O  dostępna na serwerach Windows 2008-2016.
Po stronie serwera rezygnujemy z LACP, a każdej karcie sieciowej przypisujemy inny adres IP w obrębie maski.
Teraz w iSCSI Initiator dodajemy połączenie, a w zakładce zaawansowane określamy konkretne IP.

Teraz należy dodać funkcję MultiPath I/O, zrestartować serwer i dodać nasze urządzenie w Panelu sterowania->MPIO

Następnie w iSCSI Initiator dodajemy drugie identyczne połączenie, ale tym razem wybieramy następną kartę sieciową w polu Initiator IP. Czynność tą należy powtórzyć dla pozostałych kart. Jeśli wszystko udało się poprawnie wykonać, możemy cieszyć się redundancją i jednocześnie zwiększoną przepustowością danych przesyłanych z i do naszej macierzy.

Gdy brakuje kabla…

Ostatnio zmierzyliśmy się z nietypowym wdrożeniem u klienta. Nie można było ułożyć kabli ethernetowych, a wymaganiem było uzyskanie dwóch linków o prędkości 1Gb/s

Rozwiązaniem okazały się adaptery PoweLine PL 1000 firmy Netgear, które pozwoliły wykorzystać istniejącą instalację elektryczną w paśmie do 86MHz i zapewnić wymaganą funkcjonalność. Dwa adaptery tworzą link, trzy do ośmiu wirtualny switch. Producent nie zaleca więcej niż 8 sztuk w jednej lokalizacji. Nie należy także umieszczać adapterów w listwach antyprzepięciowych, stabilizujących lub UPSach. Tego typu urządzenia mogą obniżyć transfer lub całkowicie go uniemożliwić.

pl1000-plugUrządzenia oferują kryptografię celem zabezpieczenia transmisji. Typowe zużycie prądu dla jednego adaptera to 0,5W, maksymalnie 3,5W. W testach wydajności na bliskie odległości  otrzymaliśmy wyniki zbliżone do połowy prędkości kabla gigabitethernet. Na większe odległości prędkość spada do wydajności sieci 100Mb/s. To i tak bardzo dobry wynik dla wielu zastosowań.

Wdrożenie Cisco ESA

SPAM jest niestety naszą smutną codziennością. Przywykliśmy do wirusów wysyłanych jako załączniki, ale niestety pojawia się coraz więcej bardzo wyrafinowanych ataków, które mogą uśpić czujność nawet świadomego użytkownika poczty. Więcej o zagrożeniach ze strony e-maili pisałem w tym artykule. Istnieją rozwiązania, które sprzętowo filtrują pocztę przed jej dostarczeniem. Ich kluczowym problemem było przepuszczenie zawirusowanych maili, które były zaszyfrowane, lub sygnatury antywirusa jeszcze nie rozpoznawały szkodliwego kodu. Ale pojawiło się w końcu skuteczne rozwiązanie.

Jako nieliczni w Polsce mamy za sobą wdrożenie systemu
Cisco Email Security Appliance (Cisco ESA)
Jest to jeden z najbardziej zaawansowanych systemów do filtrowania poczty e-mail. Występuje jako sprzętowy appliance lub maszyna wirtualna pod kontrolą środowiska VMware.

Cisco ESA Appliance

Jak inne tego typu rozwiązania bardzo skutecznie wykrywa wirusy i SPAM przy pomocy wbudowanych silników i bazy reputacyjnej. Jednak posiada także bardzo ciekawy zestaw rozwiązań minimalizujący problemy opisane powyżej. To funkcje Virus Outbreak i Advanced Malware Protection. Urządzenia Cisco w szkielecie sieci wykrywają anomalie (np. nagły wzrost ilości maili o tym samym załączniku) i raportują do odpowiedniego centrum. ESA dostaje informację o „wybuchu epidemii” i przetrzymuje maile pasujące do wzorca w kwarantannie, tak aby otrzymać zaktualizowane sygnatury antywirusowe.

Cisco ESA

Drugi mechanizm polega na przesyłaniu „odcisku palca” każdego załącznika (SHA256) do weryfikacji w odpowiedniej bazie reputacyjnej. Pozwala to w wielu przypadkach wychwycić malware jeszcze przed poprawną weryfikacją antywirusową, a także wyłapać pliki zaszyfrowane, których silnik antywirusowy nie potrafi zidentyfikować.

Cisco ESA

Dodatkowo rozwiązanie ma szereg ciekawych opcji:

  • baza reputacyjna linków www – pozwalająca ostrzec użytkownika przed niebezpiecznym linkiem podanym w mailu
  • funkcja Data Loss Prevention pozwalająca wychwycić wyciek potencjalnie istotnych danych firmowych na zewnątrz.
  • szyfrowanie maili niezależnie od rozwiązań pocztowych odbiorcy
  • podpisywane maili metodą DKIM, co gwarantuje odbiorcy autentyczność treści i nadawcy maila.
  • kwarantanna SPAMu – maile nie będące ewidentnym spamem są przetrzymywane w kwarantannie, użytkownik ma możliwość decyzji, czy mail usunąć czy dostarczyć. Może także użyć białej i czarnej listy na przyszłość.
  • identyfikacja tzw.  graymail – maili od sieci społecznosciowych, reklam od znanych producentów, lub innych wysyłek masowych. Może to ułatwić odbiorcom stworzenie uniwersalnych reguł w programie pocztowym.

Cisco ESA

Jak widać na powyższym obrazku ponad 90% przychodzących maili to SPAM lub zagrożenie.

W razie pytań zachęcam do kontaktu – mamy rozwiązania także dla mikro, małych i średnich firm.

Mariusz Kozłowski

Nowe złącza dla dysków SSD

Technologia pędzi do przodu, dyski SSD zyskały nowe łącze, które pozwala włożenie dysku bezpośrednio w slot płyty głównej. Złącze to nazywa się M.2 (pierwsza nazwa Next Generation Form Factor – NGFF).  Dyski te nie wymagają żadnych kabli, a zasilanie biorą bezpośrednio z płyty głównej. Standard przewiduje różne długości płytki od 22 do 110 mm.

Dysk wykorzystuje do transmisji magistralę PCI Express i osiąga większą przepustowość niż złącza SATA lub mSATA. Dzięki dostępnej przejściówce USB 3.0 – M.2 możemy uzyskać ultraszybki pendrive o olbrzymiej pojemności np. 512GB

Monitorowanie temperatury

Ubiegła końcówka lata nie była łatwa dla sprzętu serwerowego. Mieliśmy kilka przypadków awarii klimatyzatorów, co skutkowało przestojem i czasami naprawą lub wymianą sprzętu.

Dlatego teraz można na spokojnie przygotować się do następnych upałów. Bardzo dobrym pomysłem jest monitoring temperatury pomieszczenia serwerowego. Powiadomienie mailowe lub SMS pozwoli w porę zareagować i usunąć usterkę klimatyzacji. W najgorszym przypadku można bezpiecznie wyłączyć serwery i uchronić je przed przegrzaniem.

Często do monitorowania temperatury w serwerowniach klientów wykorzystujemy karty zarządzające APC dedykowane do UPSów. Dzięki temu mamy komplet informacji o wilgotności, temperaturze i stanie zasilania w serwerowni. Odpowiednio ustawione alarmy pozwolą spokojnie czekać na następne lato.

Ultra mały komputer – Intel Compute Stick

Wygląda jak pendrive, ale to pełnoprawny komputer. Najnowsze dziecko Intela – Compute Stick. Pozwala zamienić telewizor lub monitor z wejściem HDMI w zestaw komputerowy. Komputer posiada następujące parametry:

  • procesor czterordzeniowy Intel Atom Z3735F 1,33GHz (1,83GHz boost)
  • 2 GB RAM DDR3L 1333Mhz
  • 32GB przestrzeni dyskowej
  • port USB 2.0
  • czytnik kart micro SD
  • Wi-Fi 802.11 b/g/n
  • Bluetooth 4.0
  • HDMI 1.4a
  • Windows 8.1intel compute stick

Przy bardzo niskim zużyciu energii to bardzo dobre rozwiązanie do digital signage lub jako element kina domowego. Może też znaleźć zastosowanie w serwerowni jako kontroler centrali telefonicznej, czy systemu zdalnego dostępu.
Przy bardzo atrakcyjnej cenie może konkurować z rozwiązaniami Raspberry Pi.
Komputer, który mieści się w kieszeni…

ASA 5525

To było naprawdę wielkie wyzwanie. Sprzęt klasy enterprise – Cisco ASA 5525 z FirePower. Klient ma około 150 oddziałów, czyli zapewne ponad 1000 pracowników. IPSEC VPN do oddziałów,  VPN AnyConnect dla urządzeń mobilnych i notebooków plus cały ruch w centrali (7 różnych podsieci). Musieliśmy przenieść konfigurację ze starego urządzenia i uruchomić na nowym. Czas przestoju ? Nie dłuższy niż 5 min. Przygotowywaliśmy się przez 2 dni. Ale ostatecznie udało się. Docelowo uruchomiliśmy dwa firewalle w konfiguracji failover active – standby.
Awaria jednego urządzenia, lub nawet pojedynczego interfejsu powoduje zmianę aktywnego urządzenia w czasie poniżej 2 sekund. Co jest praktycznie niezauważalne dla pracowników.
Dodatkowo cały ruch jest analizowany poprzez firewall nowej generacji czyli FirePower. Twórcami rozwiązania była firma SourceFire – obecnie kupiona przez Cisco.ASA 5525
Firewall NG oferuje niesamowite rozwiązania pozwalające na rozróżnienie ruchu według niespotkanych wcześniej kryteriów. Możemy rozpoznać ruch mediów społecznościowych, skype, torrent lub kilku tysięcy innych aplikacji. Dodatkowo możemy zarządzać ruchem według lokalizacji (np. blokujemy ruch przychodzący z Afryki). W przypadku witryn www możemy zablokować konkretny typ treści np. hazard lub przemoc. A wszystko  w powiązaniu z użytkownikami (np. active directory) – każdy użytkownik lub grupa może mieć inne uprawnienia. Oczywiście standardowo mamy do dyspozycji sygnatury zagrożeń i analizę zawartości przesyłanych plików.
Krótko mówiąc urządzenie z chirurgiczną precyzją kontroluje ruch w sieci.

Wyposażyliśmy pracownię komputerową w szkole podstawowej

We współpracy z naszym klientem wyposażyliśmy pracownię komputerową w szkole podstawowej w Białyninie (woj. łódzkie ).

Od dziś uczniowie mogą korzystać  z 11 zestawów komputerowych HP 260G1  z monitorami LED 19.5″ V201

HP 260 G1Te mini desktopy mogą być ustawione zarówno w pionie jak i w poziomie. W obu przypadkach zajmują bardzo mało miejsca na biurku. Dodatkowo istnieje opcja zamocowania urządzenia za monitorem.  Mimo małych rozmiarów (17.5 x 17.7 x 3.4 cm ) są pełnoprawnymi stanowiskami do nauki lub pracy. Wyposażone w procesor i3, 4GB RAM, USB3.0, zintegrowaną kartę graficzną Intela i kartę dźwiękową stanowią pełnoprawną alternatywę do swoich większych braci.HP260G1Komputer zgodnie z obecnym trendem nie posiada już napędu optycznego – wszystko wszak mamy już we wszechobecnej chmurze…

Dzięki złączu display port możemy cieszyć się dużymi rozdzielczościami, ale jest także port VGA dla monitorów budżetowych. W komplecie oczywiście znajduje się klawiatura i mysz.

Szkolne egzemplarze zostały dodatkowo wyposażone w opcjonalną trzyletnią gwarancje on-site.

Dzieciaki – życzymy Wam przyjemnej nauki i dobrej zabawy 😀

Zespół Delta bis