Berichten

Nieuwe AOS software biedt nieuwe functionaliteiten voor diverse OmniSwitch modellen

tech-update

Met de introductie van AOS 8.3.1.R01 GA release voor de OmniSwitch 10K, 9900, 6900, 6865 en 6860 modellen, is het aantal AOS versies binnen het switch portfolio van Alcatel-Lucent Enterprise teruggebracht naar twee.

Naast de ondersteuning van de nieuwe OmniSwitch 6865 hardened ethernet switch en de nieuwe OmniSwitch 9900 modulaire LAN switch, wordt nu ook de Advanced Routing licentie standaard meegeleverd voor de OmniSwitch 6860 en 6865 modellen.

Nieuwe funtionaliteiten
Met deze nieuwe software release zijn onder andere de volgende functionaliteiten beschikbaar gekomen:

Veranderingen in de Access Guardian CLI syntax

De 8.3.1 release verbind de CLI syntax van de 7.x en 8.x om een nieuwe, gestroomlijnde CLI syntax te bieden voor Access Guardian commando’s. Voorheen was er vaak een strikte een-op-een relatie met de onderliggende technologie die gebruikt wordt om aan de access zijde VLAN port associaties (VPAs) of virtual ports (VPs) aan te maken. Dit veroorzaakte veel duplicaten op het moment dat er een nieuwe onderliggende technologie werd geïntroduceerd (bijvoorbeeld wanneer er nieuwe typen UNP ports en profielen werden toegevoegd voor nieuwe type diensten).

De nieuwe CLI syntax heeft geen directe relatie met de onderliggende technologie informatie, waardoor het toevoegen van nieuwe technologieën eenvoudiger is. Ook het verplaatsen van gebruikers aan de access zijde van het netwerk kan gemakkelijker.

De 8.3.1 implementatie van de nieuwe Access Guardian CLI syntax biedt de volgende gestroomlijnde functionaliteit:

  • Twee Universal Network Profile (UNP) port typen: bridge en access.
  • Port templates die gebruikt worden om vooraf gedefinieerde UNP port configuratie toe te passen op bridge en access ports.
  • Eén type UNP profiel met instelbare attributen. Dit maakt ook de CLI syntax eenvoudiger die gebruikt wordt om toegevoegde Access Guardian functionaliteiten die een profielnaam nodig hebben te configureren (zoals bij het configureren van UNP classification rules).
  • Twee types profiel mapping: VLAN of service. Onafhankelijke mapping van VLAN of service of profiel bepaald of de profiel attributen toegepast worden op het ontvangen verkeer op UNP bidge ports (VLAN-mapped profielen) of UNP access ports (service-mapped profielen).

Private VLANs

Private VLAN is een concept om data-isolatie op laag 2 te bieden tussen apparaten op hetzelfde VLAN. Deze isolatie verbetert de veiligheid en vereenvoudigt systeemconfiguratie.

Een private VLAN maakt het mogelijk om secundaire VLANs binnen het primaire VLAN aan te maken. Gewoonlijk vertegenwoordigt een VLAN een enkel broadcast domein. Het PVLAN verdeeld een VLAN (primair) onder in sub-VLANS (secundair). Het enkele broadcast domein wordt onderverdeeld in kleinere broadcast sub-domeinen terwijl bestaande laag 3 configuratie bewaard blijft. Bij het configureren van een PVLAN wordt het gewone VLAN een primaire VLAN genoemd en de sub-VLANs worden secundaire VLANs genoemd.

Transparent Bridging op NNI port

De Transparent Bridging verbetering associeert NNI ports met alle VLANs (1-4094), zelfs als deze niet op de switch zijn aangemaakt. Voorheen kon AOS dit ondersteunen door alle mogelijke VLANs aan te maken (1-4094) en deze met de NNI ports te associëren. De Transparent Bridging verbetering biedt het voordeel de administratieve inspanning van het configureren van VLAN 1 tot en met 4094 en de bijbehorende VPAs te verminderen. Transparent bridging associeert alle VLANs van 1 tot en met 4094 op de specifieke NNI port en spanning tree groep 1. Deze functionaliteit is gewoonlijk gelimiteerd tot een “ring” topologie waarbij er maar twee NNI ports/LAGs per switch zijn.

FIPS Encryptie

Federal Information Processing Standards (FIPS) is een manier van werken die voldoet aan de veiligheidsvereisten voor cryptografische modules. Als FIPS modus op een OmniSwitch geactiveerd is, gebruikt de OmniSwitch FIPS 140-2 compliant encryptie op de verschillende management interfaces zoals SFTP, SSH en SSL. Zoals het National Institute of Standards and Technology (NIST) heeft bepaald, moeten op FIPS 140-2 standaard gebaseerde, sterke cryptografische algoritmen ondersteunt worden om FIPS compliant te zijn. Deze sterke cryptografische algoritmen verzekeren veilige communicatie met het apparaat om interoperabele, hoogwaardige op cryptografie gebaseerde beveiliging voor IP netwerken te bieden. Door passende beveiligingsprotocollen, cryptografische algoritmen en sleutels te gebruiken, wordt een veilige manier van communiceren geboden die hiermee elke vorm van hijacking/hacking of een aanval op het apparaat voorkomt.

FIPS modus functionaliteiten:

  • FIPS werkt in OPenSSL modus waardoor enkel hoogst veilige en sterke cryptografische algoritmes toegestaan zijn.
  • Switch management protocollen zoals SFTP, SSH en SSL gebruiken de FIPS 140-2 compliant encryptie algoritmen.
  • OpenSSH en de Web server die OpenSSL als de onderliggende laag voor veilige communicatie gebruiken, werken ook in de FIPS modus.
  • De FIPS modus wordt alleen geactiveerd/gedeactiveerd door een herstart van de switch.

Common Criteria

De Common Criteria for Information Technology Security Evaluation (CC), en de bijbehorende Common Methodology for Information Technology Security Evaluation (CEM), zijn de technische basis voor een internationale overeenkomst: de Common Criteria Recognition Arrangement (CCRA). Deze zorgt ervoor dat:

  • producten kunnen worden geëvalueerd door competente en onafhankelijke in licentie gegeven laboratoria, om de uitvoering van specifieke veiligheidseigenschappen tot op zekere hoogte of ter verzekering te bepalen.
  • ondersteunende documenten worden gebruikt in het Common Criteria certificatieproces om te bepalen hoe de criteria en evaluatiemethoden toegepast worden als bepaalde technologieën gecertificeerd worden.
  • certificering van de veiligheidseigenschappen van een geëvalueerd product uitgegeven kunnen worden door een aantal Certificate Authorizing Schemes, waarbij deze certificering gebaseerd is op het resultaat van hun evaluatie.

NIS vereisten

ASA Enhanced mode maakt het mogelijk om versterkte veiligheidsbeperkingen op de OmniSwitch te configureren. Deze versterkte switch toegangsmodus voegt nieuwe functionaliteiten toe aan de switch autenticatie. Deze toepassing biedt de volgende functionaliteiten:

  • Verbeterde wachtwoord- en lockoutinstellingen voor de gebruikers.
  • Beperkt toegang tot de switch tot alleen bepaalde IP adressen (geconfigureerd als management station) en blokkeert deze IP adressen permanent als de vooraf bepaalde drempelwaarde van ongeldige authenticatiepogingen overschreden wordt.
  • Biedt een mogelijkheid om privileges voor alle toegangstypen te bieden, richt IP diensten dynamisch op AAA authenticatie configuratie uit.
  • Beperkt één sessie per gebruiker.
  • Biedt de mogelijkheid om wachtwoorden geheim te houden door het weergeven van wachtwoorden tijdens het invoeren te verbieden.
  • Mogelijkheid om wachtwoorden van gebruikers met SHA-224/256 (SHA-2) of SHA-2+AES encryptie te configureren.
  • SSH/SSL Pub Key ge-hashed met SHA-2.
  • Apart gebruikerswachtwoord voor SNMPv3 frame authenticatie/encryptie.
  • Ondersteunt zowel DSA 1024 en RSA 2048 public key algoritmen voor SSH private en SSH public keys.
  • Biedt de mogelijkheid om de integriteit van de images in een bepaalde map na te rekenen aan de hand van de meegeleverde SHA-2 (SHA256 of 512) sleutel.
  • Verwerkt functionele self-test commando’s om vitale hardware en software processen te bekijken.
  • Biedt ondersteuning aan TLS 1.2 versie voor TLS verbindingen.
  • Geldige ASA inloggegevens vereist voor het inzien van de SWLOG inhoud.

 

Meer informatie over alle ondersteunde nieuwe hardware en details over de functionaliteiten van deze nieuwe AOS release kunt u vinden in de release notes op onze support pagina. Hier vindt u ook alle nieuwe manuals, datasheets en firmware bestanden →