- Reportec

5
Direction Reportec - Volume II n.5 febbraio-marzo 2004 bimestrale • Spedizione in A.P. - 45% - art. 2 comma 20/B legge 662/96 - Milano
DOSSIER DI SOLUZIONI SERVIZI E TECNOLOGIE ICT
Security
• Nessuno si muova, arriva la
Computer Forensic
• Identity management e mobilità
• Prevenire le intrusioni osservando
le applicazioni
NetworkiNg
• Cresce l’esigenza ingegneristica
nelle reti di nuova generazione
• L’azienda si estende nell’aria
• Due infrastrutture a braccetto
per una rete wireless comune
Server e Storage
• Lo storage NAS per le PMI
• Il clustering si fa in quattro per il
disaster recovery
• Un “accesso diretto” alla
virtualizzazione dei server
• Lo storage su disco in equilibrio
tra prestazioni e capacità
• Le nuove basi dell’IT
commuNicatioN
• Un mercato 3G in cerca di
direzioni
• Alla ricerca di un “posto caldo”
• IP-PABX: le funzionalità degli
apparati di nuova generazione
Indice
2
컄 La business continuity verso piattaforme standard . . . . . . . .3
왘 IL REPORT: IT Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
왘 Avaya rende sicura l’IP Telephony . . . . . . . . . . . . . . . . . . . . . . .6
왘 Nessuno si muova, arriva la Computer Forensic . . . . . . . . . .8
왘 Enterasys Networks rende le reti
intrinsecamente sicure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
왘 Identity management e mobilità . . . . . . . . . . . . . . . . . . . . . . .12
왘 Servizi e tecnologia la ricetta
di Internet Security Systems . . . . . . . . . . . . . . . . . . . . . . . . . . .14
왘 Prevenire le intrusioni osservando le applicazioni . . . . . . . .16
왘 Cresce l’esigenza ingegneristica
nelle reti di nuova generazione . . . . . . . . . . . . . . . . . . . . . . . .18
왘 I router 3Com si presentano con una base comune . . . . . . .20
왘 Allied Telesyn punta su ricerca e sviluppo . . . . . . . . . . . . . . .22
왘 D-Link riduce i costi senza penalizzare le prestazioni . . . .24
왘 L’azienda si estende nell’aria . . . . . . . . . . . . . . . . . . . . . . . . . .26
왘 Le soluzioni HP ProCurve verso la sicurezza 802.1X . . . . . .28
왘 Italtel nell’arena della sicurezza gestita . . . . . . . . . . . . . . . . . .30
왘 Due infrastrutture a braccetto
per una rete wireless comune . . . . . . . . . . . . . . . . . . . . . . . . . .32
왘 Tecnologie Nortel e ingegneria Gfi Ois
per le reti enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
왘 Si uniscono le reti di Avaya ed Extreme
Il software di gestione Hp va alle aziende “agili” . . . . . . . . .36
컄 L’arena pericolosa del 64 bit . . . . . . . . . . . . . . . . . . . . . . . . . . .37
왘 Lo storage NAS per le PMI . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
왘 Dell annuncia una nuova famiglia CX per lo storage . . . . . .40
왘 Il clustering si fa in quattro per il disaster recovery . . . . . . .42
왘 Fujitsu Siemens Computers
virtualizza lo storage su tape . . . . . . . . . . . . . . . . . . . . . . . . . .44
왘 Un “accesso diretto” alla virtualizzazione dei server . . . . . .46
왘 HP lancia nuove soluzioni NAS
per le piccole e medie imprese . . . . . . . . . . . . . . . . . . . . . . . . .48
왘 Lo storage su disco in equilibrio tra prestazioni e capacità .50
왘 HP prosegue sulla strada
della convergenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
왘 IBM si rafforza nei blade e nei server a 4 vie . . . . . . . . . . . . .54
왘 Le nuove basi dell’IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
왘 Microsoft certifica l’iSCSI di Adaptec
Il FICON Brocade certificato per mainframe Ibm . . . . . . . . .57
왘 Un mercato 3G in cerca di direzioni . . . . . . . . . . . . . . . . . . . .58
왘 Alla ricerca di un “posto caldo” . . . . . . . . . . . . . . . . . . . . . . .60
왘 IP-PABX: le funzionalità degli apparati
di nuova generazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
왘 Roadshow Alcatel sull’IP Telephony
Cisco compra Latitude per la media conferencing . . . . . . . .64
컄 Il fascino del passato nei terminali del futuro . . . . . . . . . . . .65
Direction Reportec - Volume II numero 5; bimestrale febbraio-marzo 2004; Editore: Reportec srl, via Gian Galeazzo 2 20136 Milano; Amministratore Unico Gabriella Gabet; Direttore Responsabile: Gaetano Di Blasio; Redazione: via A. Lazzati,
6 - 20154 Milano; [email protected]; fax 0234532428; Stampa: GRIFFE srl, via Frapolli 21 - 20133 Milano (sede
legale); via G.B. Brocchi 11 - 20131 Milano (sede operativa); Iscrizione al tribunale di Milano n° 212 del 31 marzo
2003; Tiratura 10.000 copie; Tutti i diritti sono riservati; Tutti i marchi sono registrati e di proprietà delle relative società.
La business continuity
verso piattaforme standard
T
ermini come consolidamento,convergenza, openess, eccetera sono oramai entrati
nel lessico comune di un responsabile ICT.
Quello che certe volte manca per la loro traduzione in pratica è la reale disponibilità di
infrastrutture. O meglio, le infrastrutture che
rispecchiano questi assunti ci sono ma sono
spesso realizzate “in house” e affermate come
tali da società che sviluppano la piattaforma
stessa e che quindi lasciano lo spazio a legittimi dubbi da parte dell’utilizzatore sulla reale e
completa apertura, anche quando si tratta di
produttori di livello internazionale.
Per superare questa criticità, che frena l’adozione di nuove piattaforme IT (in base all’assunto che chi non è convinto o non conosce
non decide), non stupisce che tra i produttori
si stiano realizzando delle collaborazioni intersettoriali, volte allo sviluppo e al test di soluzioni ICT di nuova generazione. Un esempio è
rappresentato da Dell, EMC, Esat BT e Nortel
Networks, che stanno sviluppando congiuntamente una infrastruttura per il “business continuity proof-of-concept testing”, che ha l’obiettivo di permettere alle società loro clienti
di verificare il livello di performance effettivo
delle proprie reti e, solo dopo, procedere alla
scelta della soluzione IT adatta per le applicazioni aziendali maggiormente critiche.
Quello che appare interessante è che l’obiettivo non è solo quello di realizzare strumenti
che valutino interazione tra applicazioni, capacità della rete di sostenere il traffico, livello di
occupazione delle risorse, eccetera, che strumenti come ad esempio l’Open View di HP
fanno già sia per la parte di communication
che per l’IT. Infatti, la struttura in via di realizzazione sarà in grado, nell’intento delle società citate, di simulare situazioni di disaster
recovery per verificare le effettive capacità di
back-up e di ripristino dei dati stessi. Ad esempio, il centro operativo potrà essere utilizzato
per verificare nel concreto come i dati di un
sistema possano essere sottoposti a back-up e
trasferiti su un sistema gemello in pochi minuti dal momento di un eventuale disastro.
L’attività congiunta di società che hanno un
ruolo di primo piano nel settore del networking e dell’IT è indicativa di come ci sia resi
oramai conto che problemi connessi al disaster recovery debbano avere un approccio
globale e che investire al fine di garantire la
sopravvivenza della rete se poi i server non
funzionano è un inutile spreco di risorse.
Altrettanto significativo dell’evoluzione che le
aziende, soprattutto IT, stanno avendo nell’approccio alle piattaforme, è il fatto che le soluzioni adottate nell’infrastruttura siano basate
su componenti standard. Al limite, quello che
può lasciare perplessi gli utilizzatori è come
mai solo adesso approdi nell’IT un approccio
basato su standard che nel mondo del networking è la norma da decenni. A livello applicativo i server, le soluzioni SAN e la rete di
connessione ottica hanno l’obiettivo di supportare una varietà di applicazioni tra cui
Microsoft Exchange, Microsoft SQL Server e
Oracle 9iDatabase.
L’insieme dei nomi e dei relativi settori di
competenza è quindi significativo e non fanno
che confermare come le informazioni e l’avere accesso ai dati in qualsiasi circostanza siano
sempre più ritenute fondamentali così come
sempre più fondamentali risultano essere le
soluzione di disaster recovery ed i relativi
piani di business continuity.
Non a caso però solo ora si parla di soluzioni
di disaster recovery su larga scala geografica.
In meno di tre anni, la larghezza di banda, che
è tradizionalmente la spesa più elevata in questi sistemi, è scesa in molti paesi europei di
oltre l’80%. Quello che sino a poco fa non era
quindi utilizzabile a causa degli alti costi divenv
ta quindi possibile.
Giuseppe Saccardi
dida da scrivere
3
IL REPORT: IT Security
Sul CD allegato il report dedicato alle soluzioni e ai servizi per la
sicurezza aziendale, completo di un’analisi delle proposte dei vendor
S
i rinnova l’appuntamento con i report
tecnologici in formato elettronico. In
allegato a questo numero di febbraiomarzo 2004 di Direction Reportec, si trova,
infatti, la nuova edizione del report dedicato
alla sicurezza informatica e delle reti.
A solo un anno di distanza dalla prima pubblicazione sono molti i cambiamenti relativi a
questo settore, verso cui si registra un interesse crescente. Nonostante il contesto economico abbia rallentato se non bloccato gli
investimenti in ICT delle imprese nel mondo e
in Italia, proprio nell’ambito della security si è
registrata una netta crescita.
L’aspetto più importante, peraltro, non riguarda i numeri del mercato, sui quali si esprimono le varie società di ricerca, quanto il complesso di elementi che riguardano la sicurezza
a partire dalla cultura della stessa in azienda.
Ormai è chiaro che i sistemi più diffusi, quali
firewall e antivirus non sono più sufficienti a
garantire una protezione adeguata alle infrastrutture aziendali. Lo hanno dimostrato, in
particolare, due attacchi che sono occorsi
proprio lo scorso anno: SQL Slammer e Blaster. Il primo a febbraio e il secondo in agosto
hanno avuto un impatto devastante su reti e
sistemi sparsi per il mondo.
Quantunque l’approccio alla sicurezza debba
essere positivo e rivolto a enfatizzare il ruolo
abilitante che la sicurezza può svolgere per il
business, la paura che le minacce generano
hanno indubitabilmente dei meriti in termini
di sensibilizzazione alle problematiche della
materia.
D’altro canto, è possibile trovare sempre più
riscontri circa la crescita dell’utilizzo di Internet: non ultimo, i dati ISTAT, che dimostrano
l’aumento, in Italia, del numero di pc e di fami-
4
Security
glie collegate alla rete delle reti rispetto l’anno scorso. L’incremento, poi, è percentualmente più elevato se si guarda alla larga banda.
Da questo punto di vista, inoltre, si aprono
interessanti prospettive relativamente al lancio di nuovi servizi a valore aggiunto e, in
generale, a una crescita del tasso di utilizzo o
del valore attribuito a esso da parte dell’utente finale.
Internet e sicurezza sono un binomio talmente stretto che un incremento nella prima
determina un aumento della seconda, come
pure una maggior protezione favorisce l’utilizzo della rete delle reti e dei suoi servizi. D’altro canto, anche se molte delle minacce arrivano da Internet perché gli “attacker” sfruttano questo mezzo per diffondere i loro attacchi, esistono anche molti altri contesti aziendali nei quali la sicurezza è fondamentale a
prescindere dalle connessioni a Internet.
Uno degli ambiti che pure è cresciuto molto
nell’ultimo anno è quello dello storage. La crescita esponenziale delle informazioni, soprattutto di quelle in formato digitale, è inarrestabile e ha portato a un aumento notevole dei
sistemi di memorizzazione installati in azienda.
Accanto a problematiche di gestione degli
stessi, si pongono importanti questioni circa la
loro disponibilità, che, in altre parole, implica
quella delle informazioni stesse. Disaster recovery e backup sono diventati parte integrante
dei sistemi di sicurezza, anche perché sottintendono comunque gli elementi chiave di questi ultimi, cioè la salvaguardia di confidenzialità,
integrità, autenticità delle informazioni.
Del resto, l’informazione o, meglio la conoscenza rappresenta il bene aziendale più prezioso, addirittura è questa conoscenza, che
l’impresa è in grado di tradurre in business, il
valore dell’impresa stessa. Il trattamento delle
informazioni è, nell’era moderna, quasi totalmente affidato alle tecnologie informatiche,
che, pertanto devono essere sicure e garantire la protezione di queste informazioni. Questo è un imperativo per l’affermazione dell’eBusiness, laddove con questo termine si intende l’impresa che affida le proprie attività e
tutti gli strumenti mission critical alle infrastrutture informatiche. Addirittura, oggi si
parla dell’era dell’informazione, per mettere in
risalto l’importanza crescente del patrimonio
della conoscenza come reale valore di un’impresa. Un concetto sul quale si può facilmente
essere tutti d’accordo, anche perché non è
una novità. Lo spionaggio industriale non è
stato inventato con l’avvento dei computer,
eppure cos’è se non furto di informazioni e
know how? Sono cambiati però gli strumenti,
mentre il paradigma dell’e-business, che vuole
un’impresa affidare all’IT tutte le attività e tutti
i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know how che, in
precedenza, si poteva raggiungere solo violando archivi e casseforti.
Il concetto di eBusiness, per certi versi, è superato, in quanto non si tratta più di una scelta
ma di un vero e proprio adeguamento agli
standard di mercato e della competizione. In
altre parole, non è più concepile, per un impresa, operare senza utilizzare massicciamente
l’ICT per le attività cosiddette core business.
Peraltro, è già una realtà, soprattutto negli
Stati Uniti, l’evoluzione dell’eBusiness, cioè
l’extended enterprise, o azienda estesa. Si
tratta semplicemente dell’esaltazione della
catena del valore in cui opera ciascuna impresa. Tutte le aziende, infatti, sono inserite in un
contesto in cui operano anche i loro fornitori, clienti e partner. Da sempre, i collegamenti
all’interno di tale ambito hanno favorito lo sviluppo degli affari, con la soddisfazione di tutti.
Le nuove architetture hardware e software e
le infrastrutture di business communication
hanno permesso una sempre più rapida integrazione tra questi attori del mercato. Oggi i
concetti di intranet
ed extranet si sono
affermati in tutti i settori industriali e non,
ma l’estensione dell’azienda si attua
anche con l’integrazione
applicativa,
attraverso lo sfruttamento di nuove tecnologie middleware e
software,
tramite
interfacce di tipo
portale, il massiccio
utilizzo di Internet e
del Web e, non ultima, la possibilità di accedere a tutto questo
attraverso interfacce mobili.
Il collante di questo complesso di elementi è
la sicurezza, che permette di garantire la business continuity e la vericidità delle transazioni
di commercio elettronico, delle relazioni tra
partner, dell’integrità delle informazioni e così
via. In una espressione: della fiducia nell’ICT da
parte dell’utilizzatore.
Queste le problematiche che il responsabile
dei sistemi informativi, spesso entrato di diritto nel board direzionale della società, si trova
a dover affrontare. La scelta non è semplice,
soprattutto perché la complessità dei sistemi
ha dimostrato l’importanza di un approccio
integrato, che contempla varie soluzioni e tecnologie.
Convegni, seminari e studi (questi ultimi
soventemente realizzati in ambito internazionale) non sempre costituiscono un reale strumento decisionale, in grado di tenere conto
singole specificità locali, come la disponibilità
di soluzioni, di fornitori e personale di supporto sul territorio, nonché la legislazione
corrente.
Queti elementi costituiscono le parti fondamentali del Report che si rivolge ai responsabili dei sistemi informativi e ai responsabili
della sicurezza ICT in azienda, fornendo loro
uno strumento di supporto alle decisioni in
materia di sicurezza.
G.D.B.
Security
5
Avaya rende sicura
l’IP Telephony
Media Server, Media Gateway e IP phone hanno un’architettura
che contrasta le minacce al sistema telefonico
L
e intercettazioni telefoniche sono da
sempre un classico dei film di spionaggio. L’evoluzione tecnologica che ha
portato allo sviluppo dell’IP Telephony non
rende le conversazioni immuni da questo
rischio. Anzi, proprio l’utilizzo di una rete convergente e basata su standard apre il mondo
della voce a nuove minacce. Avaya ritiene che
i vantaggi di una rete convergente giustifichino
l’incremento dei rischi. Anche perché, tradizionalmente impegnata nella telefonia, la società
è certa di aver concepito una soluzione di IP
Telephony dotata di strumenti di sicurezza
integrati, che proteggono le telecomunicazioni
aziendali da tali minacce.
Attualmente, secondo la visione della multinazionale di origine statunitense, la maggior
parte delle imprese è in una fase di transizione, nel bel mezzo di una migrazione dalle reti
tradizionali a quelle convergenti, con alcuni
pionieri che si stanno già spingendo verso le
comunicazioni convergenti, al cui centro si
trovano le funzionalità e i servizi che devono
essere messi a disposizione delle capacità e
potenzialità dell’utilizzatore finale. Secondo
Avaya, dunque, telefonia IP e sicurezza devono
essere strutturate e garantite per le reti convergenti attuali ed essere pronte per le converged communication.
• Le peculiarità
delle reti convergenti
L’approccio della società parte dal presupposto che a convergere devono essere anche le
soluzioni di sicurezza. Per le reti tradizionali,
sia dati sia voce, sono stati sviluppati sistemi di
sicurezza che devono, quindi, essere uniti in
6
Security
un’architettura unica e completa, la cui
responsabilità, peraltro, deve essere delegata
alle figure competenti per ciascuna area, in
modo da garantire una suddivisione dei compiti e, soprattutto, una definizione delle policy
coerente con gli obiettivi aziendali/dipartimentali.
Da un punto di vista architetturale, inoltre, le
reti convergenti permettono di configurare
soluzioni, come failover automatico su risorse
remote e funzioni di quality of service per
assegnare priorità al traffico voce, in modo da
definire piani di business continuity e disaster
recovery. Avaya, oltre a fornire dispositivi di
networking dotati di tali capacità, mette a disposizione degli utilizzatori una serie di best
practice, per una corretta ed efficiente implementazione di tali soluzioni.
• Un sistema per la sicurezza
Un’infrastruttura di trasporto IP, secondo la
visione Avaya, deve quindi essere ampia e
robusta e protetta da un sistema completo di
sicurezza, al cui interno non possono mancare: firewall, VPN compatibili IPSec, intrusion
detection system e tool per la verifica della
consistenza dei file. Questi sono necessari
specificatamente per proteggere le componenti aggiuntive per l’IP Telephony, rispetto
un’infrastruttura dati, che per Avaya sono i
Media Server, i Media Gateway e i terminali
telefonici.
Il firewall, a detta dei responsabili dell’azienda,
deve consentire, oltre alla definizione di una
DMZ, anche quella di una zona segmentata
per i dispositivi di accesso remoto, che opportunamente non vanno mantenuti all’interno
della rete, e comunque idealmente deve separare gli elementi critici della telefonia dalla
LAN.
Inoltre, la protezione fornita dalle reti VPN,
nelle comunicazioni tra sedi aziendali o provenienti da pc di utenti mobili o remoti, sempre
secondo i dettami della società, non è sufficiente se non complementata dalla crittografia, in quanto la trasmissione può sempre essere intercettata, a meno di non fidarsi ciecamente del proprio carrier.
Avaya, in particolare in termini di standard
protettivi, dichiara elevate prestazioni per i
propri gateway VPN, forniti di encryption
3DES e AES. Più precisamente, il costruttore
garantisce la gestione di un massimo di
300mila sessioni firewall contemporanee, con
throughtput di firewalling pari a 600 Mbps,
supporto AES fino a 500 Mbps, capacità massima di 8000 utenti remoti e supporto di fino a
1000 tunnel site to site. A questo si aggiunge
supporto PPPoE DSL e proxy H.323, gestione
delle code basata su classi, funzioni relay e server DHCP.
A detta dei responsabili di Avaya, inoltre, la
loro soluzione VPN si avvale delle caratteristiche di semplicità d’installazione e utilizzo sia
del client IPSec, giunto alla release 4.0 disponibile anche per palmari, sia del software di
gestione.
Infine, un sistema di intrusion detection è utile
per la protezione interna alla rete, in particolare con riferimento al rischio di frodi telefoniche, mentre il controllo della consistenza è
necessario per verificare l’autenticità della
comunicazione.
• L’architettura Avaya
per l’IP Telephony sicura
I pacchetti VOIP sono ovviamente pacchetti IP
e, come tali, soggetti al rischio di sniffing, che
permette di intercettare e registrare una
comunicazione. A questo proposito, Avaya ha
implementato la funzionalità Media Encryption sui propri dispositivi di IP Telephony, compresi i terminali. Perciò, senza dover impiegare
gateway aggiuntivi, le comunicazioni tra due IP
Phone, tra due media gateway o tra un IP
phone e un media gateway sono automaticamente criptate e protette dalle intercettazioni. Questa codifica, inoltre, si aggiunge a quella
delle VPN.
Un altro rischio riguarda la possibilità che il
server che gestisce le chiamate e la telefonia
sia oggetto di un attacco, per esempio di
Denial of Service (Nimda a suo tempo ne
bloccò alcuni). In generale, una buona pratica
di sicurezza prevede l’hardening del sistema
operativo e il continuo aggiornamento delle
patch, in modo che non possano essere sfruttate eventuali vulnerabilità.
Per questo Avaya ha progettato i propri Media
Server in modo che siano
isolati, cioè non connessi
alla LAN sullo stesso
segmento degli utilizzatori finali né collegati a reti esterne (PSTN
o Internet).
Secondo l’architettura
Avaya, infatti, i media server vengono collegati da un lato a un media
gateway (sarà poi questo a connettersi alla
PSTN) e dall’altro alla rete aziendale attraverso un firewall. In questo modo, a detta dei
responsabili della società, è virtualmente
impossibile raggiungere il server con codice
maligno e il rischio è basso anche se non è
stata installata l’ultima patch. L’accesso al dispositivo è possibile solo dalla console di
amministrazione (anch’essa tipicamente posta
prima del firewall) attraverso una connessione
IPSec VPN con challenge response password.
Inoltre, tutti i media server sono basati su una
versione “hardened” di Linux.
Infine, Avaya ha integrato sui propri Media Server S8300, S8500 e S8700 la tecnologia di file
consistency check di Tripwire, proteggendo
contro il rischio di sostituzione dei file.
A queste soluzioni, si aggiungono l’affidabilità
dell’infrastruttura dichiarata dal costruttore
pari al 99,999% e varie caratteristiche di
ridondanza e fault tolerance.
G.D.B.
Un Media Gateway e due
IP Phone di Avaya
Security
7
Nessuno si muova,
arriva la Computer Forensic
L’utilizzo di nuove metodologie di indagine consente di raccogliere prove
di attività illegali condotte attraverso i sistemi informatici
L’
evoluzione tecnologica e dei sistemi
di comunicazione ci ha abituati a
confrontarci continuamente con
nuove parole, linguaggi e professioni. Uno dei
termini che più recentemente si è affacciato
sul panorama IT è Computer Forensic, che
definisce la disciplina dedicata all’identificazione e conservazione delle informazioni presenti su sistemi di elaborazione e computer, allo
scopo di mettere in evidenza prove associate
a indagini di tipo giudiziario. Questo processo
di acquisizione e di analisi metodica dei dati
digitali richiede una serie di strumenti opportuni in grado di estrarre i dati, autenticarli e
preservarli, poiché queste informazioni sono
destinate a diventare elementi probatori. Sebbene si tenda a parlarne come di un nuovo
settore all’interno dell’IT Security, in realtà la
Computer Forensic non rappresenta nulla di
nuovo. Tuttavia, l’uso sempre più pervasivo di
sistemi informatici per svolgere attività ascrivibili a reati e la continua crescita di questo
tipo di crimini, ha portato alla ribalta questa
disciplina, mettendo in evidenza l’esigenza di
organizzare una serie di strumenti e tecniche
in grado di sostenere denunce in sede legale.
Inoltre rappresenta una professione che
potrebbe interessare un numero non trascurabile di addetti, anche in considerazione della
carenza di figure qualificate di questo tipo
presso enti quali le forze dell'ordine, con una
crescente richiesta di consulenti esterni.
Gli scenari in cui la Computer Forensic può
assumere un ruolo importante sono svariati.
Comprendono il caso in cui un impiegato non
aderisca alle policy aziendali sull’uso di Internet o la riservatezza delle informazioni, l’indi-
8
Security
viduazione di infiltrazioni nella rete da parte di
un hacker, l’uso di un computer aziendale per
attività illegali, la perdita di dati business critical presenti su una workstation andata in
crash o anche l’investigazione da parte di
società assicurative su possibili frodi.
Anche chi comprende il valore di un’analisi di
questo tipo, spesso non ha la consapevolezza
delle azioni da compiere, in casi quali quelli
descritti, per proteggere l’integrità del processo di indagine. Una delle operazioni essenziali
al fine di evitare che l'indagine sia vanificata da
cavilli legali riguarda una corretta preservazione dei dati e delle prove acquisite poiché alcuni degli elementi di prova quali, per esempio, i
file di log o i dati presenti in RAM possono
essere facilmente persi con azioni poco accorte. In particolare, la prima raccomandazione è
di non riavviare mai il sistema incriminato perché, ogni volta che viene effettuato il boot
della macchina, questa scrive diverse centinaia
di file e potrebbe sovrascrivere proprio i dati
cruciali per l’investigazione.
La situazione più tipica, invece, è ancora quella in cui l’esperto viene chiamato quando si è
già provato di tutto interferendo, pertanto, in
modo pesante sul sistema e rischiando di
minare l'indagine in partenza.
• Gli ambiti di azione
Sono tre i principali ambiti in cui viene adottata un’indagine basata sull’utilizzo di tecniche
di Computer Forensic: il recupero di prove in
formato digitale, il recovery di dati e l’individuazione di intrusioni nella rete.
Nel primo caso è possibile effettuare un’indagine per verificare l’ottemperanza alle policy
aziendali nell’utilizzo di pc e sistemi. Analisi di
questo tipo possono essere condotte facilmente al di fuori delle ore di ufficio, in modo
da non disturbare la normale attività lavorativa ed evitare di rendere nota l’indagine in
corso. È possibile, per esempio, effettuare
copie “bit a bit” dei dati, creando repliche perfette del sistema sospetto. Altri casi possibili
possono coinvolgere compagnie assicurative
impegnate a individuare frodi ai loro danni
oppure la raccolta di prove in investigazioni
criminali, in cui l’analisi dei dati presenti sui
computer può spesso rappresentare un sistema particolarmente efficiente per ricollegare,
nella giusta successione temporale, il verificarsi di una serie di eventi od operazioni.
Queste tecniche vengono usate anche per
recuperare dati persi. Sebbene siano ampiamente disponibili semplici tool in grado di
compiere queste operazioni, va ricordato che,
nel caso in cui questi software vengano installati successivamente alla perdita dei dati, questa azione è potenzialmente in grado di sovrascrivere proprio le informazioni che si sta cercando di recuperare, ed è quindi necessaria
una particolare accortezza. Come già detto, in
questi casi va rispettata la regola principale
della Computer Forensic che è di non utilizzare il sistema oggetto dell’indagine.
Gli stessi strumenti utilizzati per recuperare i
dati possono essere adottati anche per assicurarsi che le informazioni presenti siano state
definitivamente distrutte, al di là di ogni possibile recupero. Ciò diventa particolarmente
importante in relazione al mantenimento di
dati personali che rientrano negli obblighi di
mantenimento della privacy oppure di informazioni coperte da segreto industriale.
Infine, nei casi in cui si verifica un’intrusione
all’interno della rete aziendale, le tecniche di
Computer Forensic permettono di raccogliere una serie di informazioni “post mortem” in
grado di contribuire a una corretta analisi dell’accaduto, di individuare la sorgente dell’attacco o gli elementi che hanno concorso al
suo verificarsi e di fornire informazioni utili a
prevenire nuove minacce alla sicurezza.
• Le competenze e i tool
dell’esperto
Questa tipo di attività richiede profonde
conoscenze informatiche, esperienza e, inoltre, un’attenzione quasi maniacale nella raccolta e gestione delle prove.
L’esperto in Computer Forensic deve disporre di un’approfondita conoscenza dei sistemi
operativi, dei principali file system (FAT,
FAT32, NTFS, VFAT, Veritas, Reiserfs e così via)
e delle proprietà che caratterizzano i principali formati file. A ciò si vanno aggiunte competenze nell’ambito del networking e dei vari
protocolli di comunicazione e applicativi (FTP,
HTTP, SMTP).
I tool specifici di un esperto in Computer
Forensic sono strumenti di monitoraggio e di
analisi, necessariamente analoghi a quelli utilizzati dagli hacker. Comprendono editor esadecimali, debugger Asm, tool di ricerca, sniffer,
sistemi per l’analisi delle intrusioni, tool per
l'analisi dei file system, file viewer, gestori di
archivi compressi e tool per la copia bit a bit
del file system sia per Unix sia per Windows.
È, infatti, sempre preferibile operare su copie
off-line dei dati anziché sui file originali.
Per quanto riguarda la dotazione hardware,
una caratteristica fondamentale del sistema da
utilizzare per lo svolgimento di un’indagine è
la massima capacità di collegamento con i
diversi tipi di media esterni (porte di collegamento, supporti rimovibili, connessioni di
rete).
Inoltre è utile la presenza di ampia memoria e
spazio disco oltre che di un sistema di backup
di ampia capacità.
R.F.
Security
9
Enterasys Networks rende le reti
intrinsecamente sicure
La società statunitense estende le soluzioni Secure Networks,
uno dei pilastri della strategia Business Driven Networks
S
olo se la rete è al centro della strategia
di sicurezza, è possibile fare in modo
che ogni punto d’accesso alle risorse
della stessa possa essere protetto. È con questo approccio che Enterasys Networks ha sviluppato il concetto e le tecnologie di Secure
Networks.
Una “rete sicura” che, come viene definita
dalla società statunitense, significa: una soluzione olistica che integra la sicurezza in tutta
Networks della società statunitense.
Anche la sicurezza, dunque, deve essere messa
al servizio delle esigenze di business. Anzi,
nella visione di Enterasys, oltre a esserci ancora bisogno di soluzioni tradizionali, come firewall e intrusion detection system, per esempio per la protezione perimetrale, è altresì
necessario fornire tutti i nodi cruciali della
rete di capacità di identificazione, automazione e risposta. Solo in questo modo, infatti,
tutte le componenti di Secure Networks
insieme possono creare un’infrastruttura che,
oltre a proteggere, abilita l’azienda a sviluppare nuove attività e a far crescere le operazioni mission critical.
Secondo i responsabili della società, inoltre, in
questo modo tali componenti condividono
l’interfaccia di gestione e le policy di sicurezza, aumentando, da un lato, il livello di protezione e riducendo, dall’altro, i costi operativi di
installazione e monitoraggio.
• Gli ingredienti per le reti sicure
l’infrastruttura aziendale, garantendo protezione dalla periferia al core.
La soluzione Secure Networks rappresenta,
sempre secondo le definizioni Enterasys e
insieme all’Open Convergence (cioè una rete
multiservice aperta ad applicazioni e servizi di
terze parti) e all’On Demand Networking
(caratterizzato da una rete flessibile e personalizzabile, in grado di fornire alta disponibilità
e semplicità di management), uno dei tre pilastri su cui si fonda la strategia Business Driven
10
Security
Tutti i dispositivi di rete introdotti recentemente da Enterasys e quelli futuri integrano le
soluzioni di sicurezza e sono progettati e
costruiti sull’architettura Secure Networks.
Questa si basa sui seguenti “ingredienti”: un’infrastruttura resistente e dotata di Quality of
Service; capacità di identificazione di utenti,
applicazioni ed eventi; automatismi di controllo e di risposta a eventi e minacce.
L’affidabilità della rete e dei servizi che essa
deve erogare agli utilizzatori riduce l’esposizione agli attacchi di Denial of Service, anche
grazie al controllo degli accessi che impone
l’autenticazione in tutti i punti dell’infrastrut-
tura. A servizi e applicazioni mission critical,
inoltre, viene poi assegnato un livello di priorità adeguato, in modo da massimizzare la disponibilità.
Avvalendosi dell’intelligenza dell’architettura
User Personalized Networking (UPN) di
Enterasys, Secure Networks si basa sulla
gestione dell’identità, consentendo l’applicazione dinamica di politiche di rete e di sicurezza per ogni utente della rete, indipendentemente dalla sua ubicazione. L’identity management consente di allineare utenti e servizi
richiesti in funzione del ruolo aziendale. In
questo modo è possibile rendere più efficiente l’utilizzo delle risorse e sfruttare il modello
di autenticazione della rete. A detta dei
responsabili Enterasys, dunque, è possibile
garantire agli utenti il servizio richiesto imponendo contemporaneamente loro di rispettare le policy aziendali. Tramite queste ultime ai
servizi vengono assegnate priorità, mentre
degli stessi non sarà più possibile abusare.
Un esempio d’integrazione dell’architettura
UPN con le soluzioni di sicurezza è rappresentato dalla soluzione di SSO (Single Sign
On), che consente a un utente di autenticarsi
con username e password una sola volta per
utilizzare tutte le risorse cui ha diritto di
accesso. Quando necessario, sarà il server
SSO a occuparsi di garantire a queste ultime
l’identità dell’utente, semplificando parallelamente l’accesso per l’utilizzatore e l’identity
management all’amministratore. Enterasys ha
applicato questa soluzione a diverse forme di
autenticazione, comprese smart card, token o
sistemi biometrici.
Per esempio, la soluzione UPN SSO può essere utilizzata per accedere contemporaneamente alle risorse di rete e al sistema SAP, per
il quale ha ottenuto la certificazione Integration and Certification Center (ICC) da parte
della società tedesca.
Queste caratteristiche, inoltre, sono garantite
anche dall’automazione di alcune funzioni di
controllo. L’amministrazione centralizzata è
anche vantaggiosa in quanto implica un singolo punto di configurazione di policy, sicurezza
e inventario. I tool di management messi a disposizione da Enterasys comprendono anche
capacità di QoS, limitazione della banda,
gestione delle minacce e servizi di localizzazione e inventario. Servizi che vengono erogati a prescindere da quale sia il punto da cui un
utente accede alla rete.
La capacità di risposta e di adattamento ai
cambiamenti del business è l’ultimo elemento
chiave di Secure Networks. Questo è reso
possibile non solo dall’amministrazione centralizzata già ricordata, ma anche dalla flessibilità con cui possono essere introdotte nuove
applicazioni e servizi e dalla velocità di risposta agli eventi e alle minacce.
• Una sicurezza pervasiva
La società statunitense ha già rilasciato svariati
componenti della soluzione Secure Networks,
tra cui, recentemente, gli switch Matrix E1, la
nuova serie di security router XSR-3000/4000,
Access Point e schede radio RoamAbout R2
wireless LAN (802.11a,b,g) e i nuovi switch
Matrix N7 e Matrix N3. Nei prossimi mesi,
saranno annunciati nuovi potenziamenti ai prodotti di gestione di rete Dragon IDS e NetSight Atlas di Enterasys, che andranno a completare la gamma Secure Networks.
Questi ultimi, comunque, sono già in grado di
supportare la soluzione Secure Networks e
recentemente hanno già dimostrato, a detta
dei responsabili Enterasys, la propria potenza,
quando hanno protetto gli utilizzatori dai
worm Blaster e Welchia. In particolare, i sistemi IDS Dragon hanno segnalato gli exploit di
tali attacchi agli amministratori, che hanno
potuto utilizzare NetSight Atlas Policy Manager, un sistema dell’architettura UPN, per
implementare policy dettagliate al fine di prevenire la diffusione dei worm e di altre minacce all’interno delle loro organizzazioni.
I tecnici di Enterasys stanno lavorando attivamente con i clienti, nell’ambito dei Global
Technical Assistance Center, per fornire informazioni accurate e tempestive sulle ultime
minacce, al fine di favorire le strategie di prevenzione e contenimento.
G.D.B.
Security
11
Identity management e mobilità
L’architettura per la gestione dell’identità, abilita sui dispositivi mobili un
sistema di autenticazione che facilita l’accesso a servizi evoluti
L’
autenticazione e l’autorizzazione
costituiscono due presupposti fondamentali alla base dell’erogazione di
ogni servizio digitale. Parlando di servizi mobili appare ancora più essenziale la loro importanza e, dunque, la necessità di definire e gestire in modo opportuno e sicuro l’identità associata a ogni utente.
Per mettere a punto un sistema unificato di
gestione dell’identità, nel Settembre 2001 una
serie di vendor ha dato via al progetto Liberty
Alliance, il cui obiettivo è sviluppare standard
aperti per servizi basati sull’identità e per servizi di network identity management organizzati
con un modello federato. Questa alleanza raggruppa attualmente oltre 150 membri e si propone di promuovere l’interoperabilità e l’adozione delle specifiche da essa messe a punto.
In un sistema di gestione dell’identità di tipo
federato l’utente dispone di un account presso un identity provider che provvede a fornire il servizio di autenticazione a uno o più service provider. In altre parole, se il fornitore di
servizio e quello dell’identità hanno un accor-
do, l’utente può collegare il suo account presso il service provider con quello dell’identity
provider. In questo modo, una volta che l’utente è stato autenticato dall’identity provider,
è in grado di accedere ai tutti i servizi forniti
dai service provider federati, restando all’interno del medesimo dominio di autenticazione. Con questo sistema, a ogni sessione di
autenticazione, l’unico dato che viene trasmesso è il codice identificativo dell’utente,
che viene scambiato tra Identity e service provider, mentre non vengono trasmessi dati personali dell’utente.
Nell’ambito dei servizi mobili il ruolo di identity provider può ricadere in modo naturale
sugli operatori mobili, sui grandi portali o su
istituzioni finanziarie o governative. In particolare gli operatori mobili hanno la possibilità di
autenticare gli utenti in modo trasparente
attraverso l’uso del loro numero telefonico.
• Prospettive e soluzioni
in ambito mobile
La diffusione della tecnologia wireless, la disponibilità di nuovi dispositivi trasportabili e miniaturizzati, caratterizzati da schermi a colori e
prestazioni elevate, lascia prevedere un prossimo sviluppo di servizi basati sul “mobile browsing” e, di conseguenza, di sistemi di profilazione dell’utente agevoli e sicuri.
Un sistema di identity management può essere
1) L’utente richiede il servizio attraverso un client abilitato Liberty
2) Il sistema Proxy inoltra la richiesta al Service Provider
3) Il Service Provider richiede all’utente di autenticarsi
4) Il sistema Proxy reindirizza la richiesta di autenticazione all’Identity Provider
5) L’Identity Provider fornisce le informazioni di autenticazione in base a username e
password o al numero di telefono
6) Il sistema Proxy reindirizza l’informazione di autenticazione verso il Service Provider
7) Il Service Provider fornisce il servizio personalizzato richiesto
8) Il sistema Proxy inoltra il servizio all’utente
12
Security
utilizzato su dispositivi mobili utilizzando un
tradizionale client “browser based”. In questo
caso il service provider che eroga il servizio
non riesce però ad avere la visibilità del fornitore di identità utilizzato dal client e deve
richiedere il suo inserimento in modo manuale
oppure la sua scelta all’interno di una lista. Nel
caso, per esempio, in
1) L’utente richiede un servizio che prevede un suo attributo specifico (per
cui l’accesso ai servizi esempio l’informazione sulla sua localizzazione) da un client abilitato
avvenga all’interno Liberty
dell’intranet aziendale 2) Il sistema Proxy inoltra la richiesta al Service Provider
3) Il Service Provider richiede al Discovery Service l’indirizzo dello
e sia l’azienda stessa specifico attributo dell’utente (localizzazione)
l’identity
provider, 4) Il Discovery Service risponde con l’indirizzo del Web Service Provider
questa soluzione rap- 5) Il Service Provider richiede l’attributo al Web Service Provider
6) Il Web Service Provider fornisce l’attributo in funzione delle preferenze
presenta una scelta dell’utente
efficiente.
7) Il Service Provider fornisce il servizio personalizzato richiesto
8)
Il sistema Proxy inoltra il servizio all’utente
Se si considera la
possibilità di erogazione di servizi verso un mercato consumer que, parzialmente nel dispositivo e parzialallargato, è possibile utilizzare altre soluzioni. mente nella rete e quindi questi due profili
Per esempio, nel caso in cui venga utilizzata devono essere sincronizzati. È solo nel netun’architettura compatibile con le specifiche work, infatti, che possono essere inclusi dati
messe a punto dalla Liberty Alliance, l’utente relativi alla presenza o alla localizzazione.
può utilizzare un Liberty Enabled Client. In Nei due schemi riportati vengono presentati
queste condizioni il sistema riconosce che la due esempi architetturali relativi all’implemenrichiesta di accesso al servizio proviene da un tazione di un sistema di identity management
client abilitato e il service provider è in grado basato sulle specifiche Liberty, all’interno di un
di richiedere l’identità direttamente al client dominio mobile.
che, a sua volta, reindirizza la richiesta all’op- Nel primo caso viene considerato un operaportuno identity provider.
tore che svolga il compito di identity provider
Il software client compatibile può essere e abbia implementato un HTTP Proxy abilitaimplementato direttamente all’interno del dis- to Liberty e un service provider che supporti
positivo mobile oppure all’interno di un ele- le specifiche Liberty nei suoi servizi. L’utente
mento della rete quale un HTTP Proxy o un che accede all’URL apre una sessione con il
gateway WAP. Chiaramente quest’ultima gateway che richiede il servizio. Il service promodalità permette di implementare il servizio vider riconosce che il gateway è abilitato
di identity management in modo più agevole e Liberty e richiede l’autenticazione all’identity
veloce, ma in tal caso non è possibile utilizza- provider che può autenticare l’utente per
re le connessioni sicure TLS (TLS è la più mezzo del suo numero di telefono.
recente versione di SSL) o mantenere lo stes- Il secondo esempio illustra il modo con cui
so profilo nei servizi di prossimità a cui si un’architettura di identity management articoaccede, per esempio, attraverso una connes- lata attorno a quattro elementi fondamentali
sione bluetooth. È anche possibile che l’uso di (un fornitore di servizio, di identità, di Web
un browser tradizionale non sia in grado di service e un servizio di discovery) possa essetrattare URL che diventano troppo lunghi a re implementata per realizzare un framework
causa dei molteplici reindirizzamenti.
per i Web service in grado di riconoscere le
Il profilo dell’utente deve risiedere, comun- informazioni legate all’identità.
R.F.
Security
13
Servizi e tecnologia la ricetta
di Internet Security Systems
Sfruttando i suoi punti di forza, la società indirizza i bisogni
delle imprese, la cui percezione della sicurezza è in aumento
I
Stefano Volpi, country
manager di Internet
Security Systems in Italia
14
Security
l mercato è sempre più recettivo, anche
perché ormai le aziende percepiscono la
sicurezza come un processo fondamentale
e sono consapevoli della necessità di un progetto complessivo che la indirizzi. Ad affermarlo è Stefano Volpi, country manager di ISS
in Italia, forte dei risultati ottenuti da Internet
Security Systems nell’anno appena chiuso, sia a
livello locale sia mondiale.
“Ci sono molti segnali di vitalità – ha dichiarato il dirigente -, che indicano un risveglio, in
particolare a livello europeo, dove in paesi
come Germania e Inghilterra sono ripresi gli
investimenti. In Italia, abbiamo raggiunto un
fatturato di 6 milioni di euro, con un incremento del 25% circa rispetto l’anno precedente, mentre a livello
globale abbiamo preannunciato i risultati dell’ultimo trimestre, allineati con le più rosee
previsioni di 66 milioni
di dollari”.
Ambiziosi gli obiettivi
per il prossimo anno:
“Quest’anno puntiamo
a raddoppiare il fatturato sui servizi, soprattutto quelli gestiti (pari
a 400mila euro l’anno
scorso – ndr), e ad
aumentare le vendite
di prodotti del 30%”,
ha rivelato Volpi, che ha
annunciato il lancio del servizio di gestione
remota delle appliance Proventia. Del resto, il
manager si è sempre dichiarato ottimista,
riscontrando una continua crescita dell’utilizzo di Internet e ben sapendo che questo deve
essere abbinato all’adozione di soluzioni di
sicurezza. “Le minacce sono reali e il nostro
team di esperti X-Force ha rilevato come stia
aumentando la capacità e la rapidità degli
attacker di sfruttare le vulnerabilità dei sistemi”, ha spiegato Volpi, che ha aggiunto:
“Soprattutto sono reali i danni causati dall’impatto degli ultimi attacchi di natura ibrida. Per
esempio, secondo un’indagine del Computer
Security Institute sono andati in fumo oltre 70
milioni di dollari per il furto di informazioni
proprietarie e oltre 65 milioni per Denial of
Service, solo per citare due tipologie di eventi, su un campione di oltre 250 aziende”.
• Architetture
per tutte le
esigenze
Ovviamente il danno
e, quindi, il rischio,
dipendono dai valori in
gioco. Non a caso,
infatti, come ha affermato lo stesso responsabile di ISS, le grandi
banche e i carrier di
telecomunicazione per
prime hanno costruito
un sistema di sicurezza
articolato, selezionando le tecnologie e le
soluzioni migliori in
ogni segmento del mercato, seguendo un
approccio di tipo best of breed. “Del resto,
hanno i mezzi, la struttura e i consulenti per
permettersi un’architettura del genere – ha
dichiarato Volpi -. Ma anche le medie e grandi
imprese del mondo dell’industria stanno
implementando sistemi integrati e importanti
segnali giungono anche dalla Pubblica Amministrazione centrale e locale”.
A perseguire la logica del best of breed sono
i clienti che ISS chiama “elite”, tra cui annovera 90 delle prime 100 aziende italiane. Le
molte altre aziende che costituiscono il tessuto economico del nostro Paese, hanno bisogno di prodotti soprattutto più semplici da
gestire, fino al punto di poterli dare in gestione remota a un service provider. “La nostra
famiglia di appliance Proventia soddisfa le esigenze di entrambe le tipologie di aziende. Alle
prime, infatti, permette di semplificare l’architettura e alle seconde fornisce una soluzione
one box preconfigurata che può appunto
essere gestita da remoto”, ha commentato il
manager. I nuovi dispositivi, in effetti, hanno
ottenuto un successo superiore alle aspettative della stessa ISS presso i grandi clienti, che li
sfruttano per ottimizzare l’infrastruttura delle
sedi remote, proprio grazie alle caratteristiche
ricordate.
• Spalle robuste dietro il prodotto
“Non basta avere prodotti validi – ha affermato però Volpi -. In una relazione con il cliente,
questi contano al massimo per il 40%, il resto
è capacità di supporto. ISS dispone di un’esperienza consolidata in oltre dieci anni di attività che l’hanno portata a essere il leader nei
Managed Security Service. Da altrettanto
tempo, importanti aziende confermano la fiducia nelle nostre soluzioni e servizi, così come
le principali società di ricerche di mercato
esprimono opinioni favorevoli sulle nostre
strategie”.
L’esperienza di ISS è maturata a partire dai
servizi di gestione, che più di altri consentono
di acquisire quella visione complessiva della
sicurezza, necessaria per supportare l’utilizzatore sin dalla fase di progettazione e di Vulnerability Assessment. Non a caso, questi sono i
due servizi su cui ISS punta maggiormente,
Con Cobion verso la Security Convergence
Il successo di Proventia sta guidando le strategie della società statunitense sulla strada della “Security Convergence”, cioè dell’integrazione di soluzioni diverse in un unico sistema di protezione unificata. Un nuovo tassello, in questa direzione, è stato acquisito da ISS con Cobion, una società tedesca specializzata nei sistemi di content filtering e anti spamming.
Le tecnologie di Cobion, costata 26 milioni di euro, saranno vendute sia in
soluzioni stand alone sia integrate all’interno appunto di Proventia a partire dalla seconda metà dell’anno, stando alle previsioni della società statunitense. L’interesse di ISS, in particolare, è rivolto alla tecnologia di analisi intelligente dei contenuti, fondata su un database di contenuti Web,
che contiene un catalogo di circa 20 milioni di siti Web, e su un robusto
motore di ricerca, che comprende oltre mille CPU e dodici punti di distribuzione del database nel mondo.
Una mossa dettata anche dalle previsioni di mercato, che vogliono quello
della content security come un segmento in rapida espansione che
dovrebbe, per esempio secondo IDC, superare un valore di 1,5 miliardi di
dollari nel 2006.
insieme a quello di project certification, con
quest’ultimo ISS fornisce “un servizio di validazione – come ha chiarito il manager – per
garantire la soluzione e il ritorno della stessa”.
La garanzia sul livello di protezione, invece, la
fornisce X-Force, il team di ricerca e sviluppo
che, oltre a fungere anche da security advisor
per tutti i clienti di ISS e non solo, attua una
strategia di approccio preventivo, studiando i
possibili attacchi partendo dalle vulnerabilità
e, quindi, anticipando i tempi di sviluppo degli
exploit da parte delle comunità di hacker. È
grazie a X-Force che ISS ha potuto realizzare
la tecnologia di virtual patching, per esempio,
grazie alla quale l’utilizzatore vede ridurre il
rischio connesso con una vulnerabilità anche
se non ha ancora installato la relativa patch.
Per supportare i clienti, inoltre, è necessario
disporre di un’adeguata struttura di supporto.
“ISS conta in Italia circa 30 addetti, nelle sedi
di Milano, Roma e Padova, per la fornitura di
servizi – ha precisato Volpi -. Poi abbiamo oltre
25 partner che ci seguono da quattro anni e
che qualifichiamo con un programma diverso
dal solito. Vengono tenute sessioni di training
ogni trimestre. Sono gratuite, ma i nostri partner sono obbligati a seguirle per conservare la
certificazione”.
G.D.B.
Security
15
Prevenire le intrusioni
osservando le applicazioni
L’anomaly detection basata sul comportamento a livello di server e
desktop è un’alternativa per la protezione da attacchi anche sconosciuti
G
oog guys in, bad guys out. È in sintesi
l’obiettivo di un buon sistema di sicurezza perimetrale, secondo l’usuale
dizione inglese. Di fatto si tratta di controllare
gli accessi in modo da essere certi di concedere l’uso delle risorse aziendali a chi è autorizzato a farlo e di impedirlo a tutti gli altri. Di
fatto, tale obiettivo si può raggiungere solo
con un approccio integrato, in quanto l’evoluzione delle minacce non consente di fidarsi
esclusivamente della tradizionale sicurezza
perimetrale.
L’architettura per la sicurezza, quindi, si complica al crescere del rischio informatico cui l’azienda è esposta. Anche per semplificare la
gestione di una tale architettura ma, soprattutto, con l’obiettivo di aumentare il grado di
protezione fornita dalla stessa, stanno fiorendo sul mercato le soluzioni di intrusion prevention (IPS).
Appartenti alla categoria delle soluzioni per
“mantenere fuori i cattivi ragazzi”, i sistemi IPS
nascono anche come evoluzione degli IDS
(Intrusion Detection System). Sul numero 4 di
Direction, sono state descritte le caratteristiche degli IPS di tipo inline, che fanno parte
proprio di questo insieme. Esiste, però, un’altra classe di sistemi di prevenzione delle intrusioni, che devono il proprio sviluppo ai limiti,
più che ai pregi, degli IDS.
• Una questione di signature
Secondo alcuni studi, il ritmo con cui si registrano nuove vulnerabilità ogni anno rende
impossibile la scrittura di signature accurate
per gli IDS. Per esempio, il CERT segnalava
circa 171 nuove vulnerabilità a metà degli anni
16
Security
’90, mentre il numero di buchi nei sistemi
segnalati dalla stessa organizzazione nel 2000
superava il migliaio e l’anno successivo raddoppiava. A questo timore si aggiunge la constazione che sempre più pressante si fa il
ritmo con cui gli hacker riescono a scrivere,
dal canto loro, gli exploit per tali vulnerabilità.
Indubbiamente, sono poche le aziende che,
anche in termini di risorse umane, detengono
l’esperienza per gestire questo livello di difficoltà crescente o per scrivere signature efficace in tempi rapidi.
A prescindere da queste considerazioni, il rilevamento delle intrusioni è comunque di tipo
reattivo, in quanto la signature è comunque la
reazione alla pubblicazione di vulnerabilità,
quando non, come in molti casi, la risposta a
un attacco. Secondo i puristi della prevenzione, invece, è necessario che l’IPS sia in grado
di rilevare un tentativo di intrusione senza
aver bisogno di verificare una signature. Per
questo sono nate soluzioni di rilevamento
delle anomalie, basate sull’analisi del comportamento delle applicazioni.
Tale approccio parte dall’osservazione che
tutti gli attacchi, indipendentemente dal tipo e
natura, presentano una sequenza di azioni
riconoscibile. Rilevando questi comportamenti anomali è possibile identificare un tentativo
di intrusione anche di tipo non noto.
Peraltro, se è vero che si sposta il controllo su
un altro piano, è importante osservare che
anche in questo caso i vendor sono chiamati a
notevoli sforzi di sviluppo. Non saranno previsti continui aggiornamenti delle signature,
infatti, ma l’introduzione di una nuova applicazione o l’upgrade di applicazioni in uso modi-
ficano il comportamento delle stesse. Il sistema IPS deve essere aggiornato di conseguenza
o essere in grado di capire i nuovi comportamenti. Anche in questo caso, quindi, è necessario che il produttore della soluzione disponga
delle risorse necessarie per seguire la complessità implicita dietro il gran numero di
applicazioni mission critical presenti sul mercato.
• Anomaly detection
per la prevenzione
Secondo la teoria più diffusa, gli attacchi
seguono tutti una progressione logica che può
essere schematizzata nelle seguenti fasi (le 5
P): la perlustrazione, durante la quale vengono
scandagliati i sistemi, in generale tramite l’utilizzo di sonde, alla ricerca di vulnerabilità; la
penetrazione, in cui un exploit viene trasferito
al target vulnerabile precedentemente individuato, in modo che venga eseguito il codice
necessario all’attacco; la persistenza, quando
l’exploit tenta di rendersi persistente sul sistema, in modo da essere disponibile per successivi attacchi, anche se il sistema stesso venisse
riavviato; la propagazione, che l’attacker attua
tipicamente cercando altre vulnerabilità sui
sistemi connessi a quello già attaccato con
successo; la paralisi, quando viene lanciato l’attacco vero e proprio, cancellando file, causando errori di sistema, bloccando i sistemi con
denial of service e così via.
Le prime due fasi possono cambiare anche
sostanzialmente da un attacco con un altro. In
particolare, la tecnica di penetrazione è proprio quella che cambia più in fretta e, non a
caso, quella in cui entrano in gioco i sistemi
IDS e IPS basati su signature.
Le ultime tre fasi, invece, sono decisamente
più ripetitive e stabilizzate. In effetti, mentre
cambia il modo con cui provocare danni, questi sono comunque sempre gli stessi e numericamente limitati a poche “attività maligne”,
quali modificare il sistema operativo, aggiungere un nuovo account utente, aprire una connessione in uscita dalla rete, cancellare file e
poco altro.
• Una prevenzione
ancora poco matura
Le soluzioni di anomaly detection, spesso
ancora oggetto di studio a livello universitario,
vengono principalmente criticate per un elevato tasso di falsi positivi. Anche se alcune
soluzioni sono state arricchite con motori di
correlazione potenti, che riducono il numero
di errori, non ci sono ancora prodotti per i
quali è consigliabile applicare, se non per casi
limite, meccanismi automatici di blocking.
Il loro funzionamento appare complementare
a quello di un IPS signature based, quando
questo viene posizionato sulla rete. L’anomaly
detection, infatti, non è attuabile sulla rete,
dove invece è più adeguata una stateful inspection o un’analisi proxy server dei pacchetti.
Tali sistemi, pertanto, trovano la loro collocazione ideale su host e desktop, per quanto a
quest’ultimo livello esistono poche soluzioni,
perlopiù abbinate a personal firewall. Come,
per esempio, Cisco Security Agent. Altre soluzioni di host intrusion prevention basate sull’analisi del comportamento delle applicazioni
sono Entercept di Network Associates, che,
però, supporta ancora un limitato insieme di
applicativi, eTrust Access Control di Computer Associates, il cui punto di forsza è, peraltro, l’integrazione nella suite eTrust del produttore statunitense, o NetScreen, che ha ultimato l’integrazione dei prodotti acquisiti con
OneSecure.
G.D.B.
I sistemi di intrusion
prevention basati
sull’anomaly detection
sono idealmente
posizionati su host e
desktop, ma per una
massima protezione è
opportuno utilizzare
anche IPS basati su
signature e posti sulla
rete.
Security
17
Cresce l’esigenza ingegneristica
nelle reti di nuova generazione
Si consolidano le architetture di networking che integrano funzionalità
per ambienti locali e geografici
G
li switch di ultima generazione, sia in
modo nativo che mediante moduli
add-on, stanno facendo svanire la
classica separazione che per quasi un ventennio ha caratterizzato il mondo locale e quello
geografico, il cui elemento di congiunzione è
stato costituito da dispositivi router che agivano da vero e proprio punto di confine tra le
due realtà, diverse in termini di apparati e di
modalità di progetto della rete.
Gli apparati delle architetture recentemente
rese disponibili sul mercato, che ora si configurano come veri e propri nodi di rete a largo
spettro, consegnano alla storia un tale approccio, che nel tempo ha finito con l'essere caratterizzato da una scarsa flessibilità applicativa,
moltiplicazione delle scorte di apparati da
acquisire, difficoltà nella gestione a livello di
successive release, eccetera.
I vantaggi sono molti, soprattutto perché la
disponibilità di dispositivi che sia per il livello
di core di una rete che per quella di accesso
inglobano funzioni di livello 3 e 4 permette di
definire la rete nel suo insieme, con una visone end-to end delle applicazioni erogate e
degli utenti connessi, con la possibilità di gestire in modo razionale classi di utenti, privilegi
di accesso, banda disponibile, e così via. Questa evoluzione, che peraltro si inquadra nel
processo evolutivo verso reti convergenti, non
è però l'unica. Una netta differenziazione sta
però emergendo, come conseguenza (almeno)
di due fattori. Il primo connesso ad una visione più globale delle reti aziendali, in uno scenario in cui entra in gioco l'intero mondo ICT.
L'altro connesso alla crescente presenza della
mobilità e di internet nel ciclo produttivo di
18
NetworkiNg
una azienda, che porta a dare un crescente
importanza al problema sicurezza e a come
garantire una rete da estranei o, in senso lato,
da un suo utilizzo improprio.
• Tecnologia integrata
ma funzioni complesse
Le architetture di rete di nuova generazione si
avviano quindi a costituire l'elemento base su
cui realizzare una serie di nuove applicazioni
volte a facilitare la fruizione di servizi, a migliorare l'interazione tra il fruitore e l'ente privato o pubblico erogante, ma questo è opportuno avvenga necessariamente all'interno di un
framework che garantisca la sicurezza e riservatezza dei servizi stessi, oltre che una assoluta (o quasi) continuità di servizio ottenuta
mediante apparati che permettano di realizzare soluzioni ridondate e di un progetto che le
sfrutti adeguatamente.
L'insieme di queste esigenze, che vengono
considerate elemento portante di un progetto volto a realizzare una nuova infrastruttura
di rete, presenta caratteristiche specifiche che
sino ad ora non erano di competenza del
"Networking". Tra questi, quelli che costituiscono un esempio della pluralità di aspetti che
vanno considerati sono:
• la sicurezza;
• la continuità operativa;
• la gestione dell'archiviazione in modo protetto dei dati in ambito locale e geografico
(sia con SAN o NAS) ;
• la realizzazione e gestione di flussi multimediali e in primis video per erogare servizi di
formazione remota o di videoconferenza tra
sedi distaccate;
Ovviamente l'ideale in fase progettuale è di
disporre di una piattaforma che, all'interno dei
dispositivi che la costituiscano, dispongano di
tutte le funzioni atte a fra fronte a queste esigenze. Non sempre questo è però possibile o,
se lo è, un utilizzo estensivo ai diversi livelli di
rete (backbone, accesso, eccetera) potrebbe
presentare un limite di investimento difficilmente sopportabile. Vista comunque la complessità di soluzioni che abbracciano l'intero
panorama delle esigenze di rete e di applicazioni interne ed esterne ad una azienda, anche
nel caso si utilizzino dispositivi ottenuti da fornitori diversi o tecnologicamente disomogenei (ad esempio appartenenti a linee di prodotto diverse) quello che appare essenziale è
una visione progettuale integrata sin dalle
prime fasi di un progetto. Tradotto in pratica,
un assiemaggio di soluzioni realizzato in fasi
successive senza una iniziale pianificazione e
test delle soluzioni (e dell'interoperabilità) è
molto probabile che si traduca in successive
disottimizzazioni e disservizi una volta che la
rete entra in esercizio o viene integrata con le
nove funzionalità.
Va osservato infatti che i vantaggi che è possibile ottenere dalle nuove tecnologie, dalle reti
di interconnessioni a livello metropolitano o
urbano operanti a 10 Megabit o a velocità
superiori, si estrinsecano appieno solo se il
contesto generale, che comunque è funzionalmente molto ricco ma altrettanto complesso,
può essere gestito e fruito in modo flessibile a
tutti i sui livelli di rete.
Avere una infrastruttura potenzialmente ricca
ma difficile da gestire o da far evolvere fa perdere di significato ad un investimento tecnologico e porta di sovente a un risultato diverso da quello ipotizzato o propagandato dai
fornitori.
• Valutare le problematiche
progettuali e ingegneristiche
Le considerazioni sin qui fatte portano direttamente all'aspetto ingegneristico. Che con
una modalità di presenza dei fornitori sempre
più basato sull'indiretta e sul coinvolgimento
di terzi per ciò che riguarda fornitura e progetto, sta diventando un aspetto non secondario nel processo che porta alla scelta di una
tecnologia tra quelle disponibili.
La complessità funzionale si abbina infatti ad
una pari complessità progettuale perché
video, voce e dati, con il relativo corollario di
caratteristiche funzionali, di qualità, di sicurezza e di esigenze progettuali specifiche, richiedono una conoscenza e, ancor più, una esperienza progettuale specifica che generalmente
in azienda non è disponibile e che lo è solo in
aziende di ingegneria che abbiano una esperienza multisettoriale. Che non si improvvisa,
ma che si matura in anni di lavoro in field con
realizzazioni concrete e una solida base di
conoscenze tecnologiche multisettoriale, dai
dati alla fonia, dalla sicurezza ai sistemi informatici, sino alle procedure per gestire le scorte o le problematiche di disaster recovery in
ambienti IT o nella gestione di Data Center.
Solo in un quadro progettuale corretto la disponibilità di tecnologie adeguate e di funzioni
quali l'alta velocità, la virtualizzazione della
rete in VPN e VLAN nonché l'integrazione con
i sistemi informativi permette di realizzare una
infrastruttura tarata per le diverse componenti afferenti ad un sistema di trasporto, la fonia,
i dati e la crescente (come servizio e utilizzazione di banda trasmissiva) componente
video.
G.S.
Una rosa dei venti sempre
più complessa
nell’ingegneria delle reti
19
NetworkiNg
I router 3Com si presentano
con una base comune
Frutto della joint venture con Huawei, i nuovi dispositivi dispongono
di una vasta gamma di funzionalità e un design razionale
L
a società nordamericana 3Com prosegue nello sviluppo di soluzioni ottimizzate per i mercati verticali, seguendo
una strategia che la porta sempre più a contatto con gli utenti finali, pur mantenendo un
modello di vendita che opera tramite canale
indiretto.
Anche pensando ai partner di quest’ultimo,
peraltro, la società statunitense ha portato sul
mercato una gamma completa di nuovi router
dal design molto razionale. Infatti, la caratteristica più innovativa dei nuovi prodotti è rappresentata dal fatto che il software è lo stesso per tutti i prodotti mentre la dotazione
hardware è tale da poter fare a meno di
upgrade successivi all’acquisto per potenziare
le performance.
Soprattutto per il canale di vendita è una semplificazione notevole, oltre che un risparmio,
in quanto significa molti meno sforzi per le
certificazioni e la formazione.
Ma anche per l’inserimento dei dispositivi
all’interno di progetti più ampi. Infatti, i nuovi
router WAN si integrano nelle soluzioni per
l’education, la sanità, la Pubblica Amministrazione e il retail banking, consentendo a 3Com,
stando alle dichiarazioni dei responsabili della
società, di fornire una soluzione completa e
competitiva.
Per soddisfare tutte le esigenze, le funzionalità
del software unico sono state calibrate ai massimi livelli. Lo ha affermato Giulio Galetti,
technical director di 3Com Italia, che ha più
precisamente specificato: “Anche il prodotto
entry level viene fornito con funzioni avanzate
integrate, come il firewall e il supporto del
BGP4”.
20
NetworkiNg
In particolare, le caratteristiche software
comprendono, tra le altre, supporto alle funzionalità di routing di protocolli come IP/IPX,
RIPv1/v2, OSPF, BGP-4, PPP, Frame Relay, linee
affittate e supporto X.25. La gestione dei pacchetti è attuabile tramite VLAN 802.1Q, multicast, QoS, crittografia, NAT, firewall e filtraggio dei pacchetti stessi.
Come accennato, questa ingegnerizzazione si
spinge anche a livello hardware, permettendo
di ottenere semplificazioni anche per quanto
riguarda la produzione.
Sempre Galetti ha spiegato: “Tutte le caratteristiche di base, come flash memory, RAM e
così via sono pure comuni a tutti i modelli e
portate a livelli che raddoppiano gli attuali
standard di mercato. Non resta che scegliere
le interfacce e, in questo modo, con pochi
codici prodotto si possono soddisfare le esigenze di tutte le imprese”.
L’unica componente opzionale è una scheda di
accelerazione della crittografia per le operazioni di firewalling e di VPN. “In pratica – ha
dichiarato il manager italiano -, è un po’ come
il coprocessore matematico che si applicava
alle CPU nei primi pc: è utile se si devono
gestire oltre 100 tunnel VPN, ma il supporto
degli stessi è garantito comunque su tutti i
router”.
• La serie 3000 per PMI e
uffici remoti
Attualmente la gamma prevede due serie di
dispositivi, 3Com Router 3000, 5000. nel
corso del 2004 verranno introdotte sul mercato le famiglie 6000 e 8000. Di queste ultime,
peraltro, sono già stati mostrati alcuni proto-
tipi che testimoniano le ambizioni di 3Com. Il
top della gamma, in particolare, sarà dotato di
17 slot e prestazioni elevate di classe enterprise, stando alle anticipazioni forniteci dalla
casa nordamericana.
La serie 3Com Router 3000, costituita da
apparati destinati al mercato CPE
(Customer Premises Equipment), intanto, è composta
da tre modelli.
3Com Router 3012 è
dotato di una porta Ethernet 10/100Base-T, due porte
seriali sincrono/asincrono, una
porta di console e una porta
seriale ausiliaria.
Il modello 3013 ha le
stesse caratteristiche del precedente, ma invece delle due porte seriali ne presenta una
seriale sincrono/asincrono e una ISDN BRI
S/T. Infine, il modello siglato 3016 è dotato di
una porta 10/100Base-T, una porta ISDN PRI,
una porta di console e una porta seriale ausiliaria. Per quest’ultimo, successivamente,
dovrebbe essere messa a disposizione una
porta ADSL.
Il modello 3Com Router 3013 è particolarmente adatto, stando alle dichiarazioni dei
responsabili della società, al mercato italiano. Il
dispositivo, infatti, è nato per soddisfare le esigenze di connettività WAN e accesso a Internet di piccole e medie imprese e uffici remoti.
Grazie a una porta Ethernet 10/100 integrata,
64 MB di memoria, una porta ISDN BRI S/T e
una porta seriale sincrona/asincrona ad alta
velocità (fino a 2Mbps), 3Com Router 3013
permette di realizzare due connessioni Internet WAN o crittografate VPN indipendenti e
di utilizzare una di queste come connessione
di backup al link primario. Una porta ausiliaria
integrata assicura il collegamento asincrono
per il backup tramite modem.
• Una famiglia di prodotti
per il mid-range
Salendo verso la parte alta della gamma di
prodotti, si trova la serie 3Com Router 5000,
che è stata progettata per soddisfare i bisogni
di uffici di medie dimensioni e sedi distaccate
di grandi aziende.
La serie parte da un dispositivo entry level,
denominato 3Com Router 5009, che dispone
di una porta Ethernet 10/100BaseTX, due
porte seriali e 3 slot, di cui uno di tipo
MIM (Multi-function Interface Module) e due di
tipo SIC (Smart
Interface Card).
A
questo
fanno seguito
tre
modelli
con un fattore di
forma che li rende
adatti per essere
montati su rack standard. Il 5231 è fornito di 2 porte di rete
10/100BaseTX, una porta seriale asincrona e 3
slot MIM. 3Com Router 5640, invece, è semplicemente dotato di 4 slot MIM, mentre al
top della serie si posiziona il modello 5680,
dotato di 8 slot MIM per garantire, come spiegano i tecnici della società, ampia flessibilità di
progettazione.
Per gli slot sono disponibili diversi moduli di
interfaccia, tra questi quelli più recenti sono:
un nuovo modulo SIC per 3Com Router
5009, con 2 porte ISDN BRI U fisse in grado
di supportare 2 canali portanti B-Channel da
64 Kbps; un modulo MIM seriale a 4 porte,
che fornisce supporto per le interfacce V.35 e
V. 24 e l'interfaccia fisica internazionale X.21;
un modulo MIM E1/CE1/PRI a 4 porte, che ha
la funzione principale di trasmettere e ricevere stream di dati E1 e garantire, inoltre, l'accesso a E1 canalizzato, implementando la funzione ISDN PRI in modo che sia possibile utilizzare una sola scheda per molteplici scopi; un
MIM E3 a una porta, capace di supportare il
modo E3 canalizzato o il modo T3 a 34.368
Mbps.
Secondo dati di targa del costruttore, anche le
prestazioni sono di tutto rispetto. Questo grazie all’impiego di processori Motorola di ultima generazione.
G.D.B.
La serie 3Com
Router 3000
21
NetworkiNg
Allied Telesyn punta
su ricerca e sviluppo
I più recenti successi, in particolare nel settore della banda larga, sono
frutto del centro R&D europeo che ha sede a Milano
C
Francesco Salamida,
R&D Director Allied
Telesyn Emea
22
NetworkiNg
hissà fino a che punto il processo evolutivo, che avrebbe portato Allied
Telesyn da società technology driven
specializzata nei media transceiver a sviluppatrice di tecnologia innovativa nel networking
convergente e nel broadband, era già disegnato nella mente di Francesco Stramezzi, allora
country manager italiano e oggi responsabile
Emea del gruppo e president di Allied Telesyn
International.
Era il febbraio del 1997 quando il manager
prospettava la migrazione del portafoglio prodotti aziendale verso sistemi e tecnologie a
più alto valore aggiunto. Solo tre anni dopo,
nel febbraio del 2000, Stramezzi affidava a
Francesco Salamida la direzione del centro di
ricerca e sviluppo di Milano, che oggi è competence center Ati a livello mondiale per lo
sviluppo e l’integrazione delle tecnologie
broadband xDSL e Fibre to the Home (FTTH)
e VOIP.
“Il centro di ricerca – ci ha spiegato Salamida
– è nato per fornire un supporto di engineering alla struttura europea che, fino allora, era
essenzialmente concentrata sulla vendita di
prodotti concepiti e ingegnerizzati in Giappone o negli Stati Uniti”. L’obiettivo, in altre
parole, era cominciare a sviluppare prodotti
innovativi e soluzioni complesse che “pur
basate interamente su standard, devono essere calate nelle realtà locali”, come ha precisato il direttore del centro.
Una strategia che ha pagato, visti i risultati della
società in Europa, e che è stato pienamente
sposato da Takayoshi Oshima, il fondatore e
presidente di Allied, dal quale dipendono direttamente tutte le strutture di ricerca e sviluppo
del gruppo. Oltre alla struttura di Milano e a
quella storica in Giappone, queste comprendono il centro di Raleigh, nella Carolina del Nord,
e quello di Christchurch in Nuova Zelanda e
assorbono circa un quarto delle risorse di
Allied Telesyn, a dimostrazione dell’impegno
della società nella ricerca e sviluppo.
Ogni centro ha competenze precise, per cui
non solo non ci sono sovrapposizioni, ma si
sfruttano sinergie. Per esempio, “il laboratorio
di Milano fornisce le direttive per l’adeguamento delle specifiche di progettazione agli
altri gruppi, in modo che nello sviluppo si possano considerare le peculiari esigenze delle
varie realtà locali”.
• Un impegno crescente
verso l’innovazione
Attualmente, il laboratorio milanese comprende tre gruppi di lavoro principali: sviluppo software, testing di prodotto e soluzioni e sviluppo hardware e occupa trenta persone circa,
ma è ancora in espansione. In particolare, Ati
sta cercando un’altra decina di persone per
investire nelle aree più nuove: quelle delle soluzioni e dell’hardware. La prima è stata creata
per fornire uno strumento di supporto che, da
un lato, favorisse la vendita, per esempio collaudando sistemi in contesti reali che simulano
quelli presenti presso un cliente, e, dall’altro,
permettesse di acquisire esperienza e informazioni per lo sviluppo di nuovi prodotti.
Nello svolgere l’attività di engineering, del
resto, il gruppo di Salamida ha osservato “la
mancanza di alcuni elementi di base, fondamentali per l’offerta di Allied Telesyn”, come
ha spiegato lo stesso manager. Da qui si è
cominciato a lavorare in ambiti come la VOIP
e altre tecnologie per le reti convergenti e
multiservizio e per la larga banda, continuando
a crescere fino ad acquisire la capacità di
poter realizzare una soluzione “dall’idea al
prodotto finito e diventare centro di competenza a livello globale su queste tecnologie”,
ha affermato il direttore del centro di Milano,
che ha aggiunto: “Il broadband sta condizionando pesantemente lo sviluppo del networking. Ati è una delle poche società oggi in
grado di fornire una soluzione a banda larga
end to end, dalla MAN al terminale d’accesso
presso l’utente finale”.
• Reti MAN
al servizio del cittadino
Proprio le tecnologie FTTH e il residential
gateway ideato dal centro di Salamida hanno
ottenuto importanti successi sui mercati
internazionali: dalla rete metropolitana di
Naganuma nell’isola di Hokkaido in Giappone
agli apparati di accesso alla rete di SureWest
in California, fino al progetto Utopia, per il
quale Ati è uno dei due fornitori selezionati.
Utopia prevede la realizzazione di una delle
più grandi reti FTTH, che dovrebbe coprire in
fibra ottica ben 18 città degli Stati Uniti, solo
per cominciare (www.dynamiccity.com).
Anche in Italia, peraltro, la società sta ottenendo importanti risultati nell’ambito delle
MAN e della banda larga. In particolare, ha
completato una rete nel Nord Est del Paese
realizzata interamente con prodotti Ati dal
backbone all’edge, in collaborazione con un
importante system integrator.
Salamida ci ha rivelato che molte delle idee
sviluppate nel centro arrivano dai clienti. In
particolare, dai provider, con cui Allied è a
stretto contatto e che sono quelli che devono
poi gestire il residential gateway e anche sfruttarlo per erogare nuovi servizi a valore
aggiunto. Un ambito in cui il laboratorio diretto dal manager italiano è attivo è quello dell’home automation. “Pensiamo – ha dichiarato
Salamida - per esempio, all’utility che potrebbe collegare il contatore al gateway per la let-
tura telematica dei consumi. Oppure alla telesorveglianza, alla gestione remota degli allarmi
e così via”.
Lo sviluppo dei nuovi prodotti rimane però
fedele alla strategia di adozione degli standard,
che Allied Telesyn ha sempre perseguito, fino a
entrare nell’FTTH Forum. La promozione
degli standard, peraltro, viene attuata anche
nella sperimentazione dei servizi con i carrier
nel mondo. I tecnici del centro di Milano, in
particolare, hanno partecipato ai test condotti insieme a NTT per sviluppare il SIP Server,
un sistema che impiega le specifiche SIP per la
segnalazione in ambito VOIP.
G.D.B.
Un Residential Gateway tuttofare
I Residential Gateway sono dispositivi di accesso per reti a banda larga
interamente ideati e sviluppati nel centro di ricerca e sviluppo europeo,
che ha sede a Milano. Francesco Salamida, direttore del centro, ci ha spiegato che, dopo la prima fortunata serie RG200, è stato compiuto un ulteriore salto di qualità: “La serie RG600 è anche frutto di una serie di accordi con potenziali clienti, che ci hanno permesso di lavorare a stretto contatto con il mercato e con le esigenze degli operatori che devono installare tali apparati a casa dell’utente finale”.
Proprio perché si adattasse a essere inserito in un contesto domestico, per
esempio montato a muro, il gateway RG600 è stato progettato con un
design elegante, ergonomico e funzionale, che, a detta del manager italiano, salvaguardasse la terminazione della fibra ottica e, al contempo,
permettesse un comodo accesso per la manutenzione.
Tali dispositivi sono parte della soluzione end to end triple play di Allied
Telesyn e permettono ai service provider di portare presso l’utente finale
accesso a Internet a larga banda, distribuzione di video streaming, video
on demand e VOIP a costi, a detta di Ati, contenuti. Per fruire contemporaneamente di ogni servizio e di ogni possibile combinazione di servizi,
sono state integrate nei residential gateway specifiche funzionalità, che
consentano di separare il traffico Internet dagli streaming video. In questo modo, si può ricevere, su porte diverse, più trasmissioni multicast (più
film o canali televisivi in contemporanea) senza limitare la capacità di utilizzare i canali VOIP, piuttosto che l’accesso a Internet.
Per facilitare il management, Allied ha previsto la funzionalità Zero Touch
Configurator (ZTC), che permette la configurazione o riconfigurazione
dell’apparato senza l’intervento di un operatore in loco e garantisce anche un interessante livello di sicurezza, in quanto
prevede che ogni apparato collegato
alla rete sia sottoposto a una procedura di autenticazione.
Il residential gateway AT-RG600
23
NetworkiNg
D-Link riduce i costi senza
penalizzare le prestazioni
La società propone una gamma articolata di switch unmanaged
per la connessione Fast e Gigabit Ethernet mediante cavi in rame
L
a diffusione di applicazioni multimediali, di videoconferenza e telefonia IP ha
contribuito ad alimentare l’esigenza di
soluzioni di rete in grado di supportare una
grande ampiezza di banda. Queste necessità si
fanno sentire sempre più anche nelle realtà di
dimensioni medio-piccole, che si devono confrontare con budget limitati e che si indirizzano naturalmente verso la tecnologica Ethernet, la cui evoluzione ha permesso di combinare prestazioni adeguate e costi contenuti.
Nell’ambito di una gamma più ampia di soluzioni di connessione per le diverse esigenze di
rete, D-Link propone una serie di switch
unmanaged disponibili con diverse configurazioni, prestazioni e numero di porte.
• Switch Gigabit unmanged
DGS-1016T e DGS-1024T
Lo Smart Switch Gigabit
Ethernet DGS-1224T
24
NetworkiNg
Per la connessione a server dipartimentali e
workstation D-Link propone switch che rendono disponibile la connettività Gigabit Ethernet mediante cavi in rame, senza dover necessariamente ricorrere a costosi collegamenti in
fibra ottica.
Lo switch DGS-1016T è fornito di 16 porte
Gigabit Ethernet autosensing 10/100/1000
Mbps e si indirizza a gruppi di lavoro e
ambienti Small and Medium Business (SMB)
con esigenze sofisticate.
Lo switch DGS-1024T è adatto, invece, ad
ambienti dipartimentali e dispone di 22 porte
dedicate per la connessione in rame Gigabit
Ethernet; è dotato, inoltre, di altri
2 slot mini GBIC su cui è possibile installare transceiver
1000 Base-SX o transceiver
1000 Base-LX per collegamenti in fibra ottica, a
media/lunga distanza, al backbone. L’uso delle 2
porte mini GBIC disabilita l’uso delle corrispondenti 2 porte 10/100/1000 Mbps con connettore RJ45.
Entrambi gli switch supportano lo standard
Nway di auto-negoziazione della velocità su
tutte le porte, la modalità di trasmissione
full/half duplex e l’auto-adattamento di cavi
MDI/MDIX che elimina totalmente l’utilizzo di
cavi incrociati o di porte di uplink.
Questi apparati prevedono, inoltre, il controllo di flusso IEEE 802.3x in modalità full-duplex
a 2000 Mbps, per ridurre al minimo la perdita
di pacchetti durante la trasmissione sulla rete.
Se connesso a una scheda di rete, che a sua
volta supporta questa funzionalità, lo switch
invia dei segnali al computer per notificare il
sovraccarico del buffer nei momenti di picco;
a fronte di questi segnali, il computer interrompe la trasmissione fino a quando lo switch
non è nuovamente in grado di accettare i dati.
• I nuovi Smart Switch
DGS-1216T e DGS-1224T
D-Link ha, inoltre, annunciato il rilascio di una
gamma di switch “intelligenti” adatta per l’implementazione di switching Gigabit Ethernet
all’interno di realtà SMB. I primi modelli dalla
gamma sono gli Smart Switch “rack-mountable” siglati DGS-1216T e DGS-1224T, rispettivamente a 16 e 24 porte Gigabit 10/100/1000
Base-T per connessione con cavo in rame e
con due porte combo Mini
GBIC che consentono
di
alloggiare
moduli transceiver
per connessioni in fibra ottica, a
corta, media o lunga distanza, al
backbone.
Gli Smart Switch D-Link consentono
una semplice gestione centralizzata attraverso il Web e incorporano funzioni quali
VLAN, port-trunking, QoS, port-mirroring e
settaggio delle porte per velocità, modalità
duplex o stato del controllo di flusso.
La funzione di port trunking permette di raggruppare le porte per fornire connessioni
switch-server o switch-switch caratterizzate
da una maggiore ampiezza di banda. Grazie al
supporto delle VLAN è, invece, possibile
estendere il dominio di trasmissione, segmentare il traffico di rete e migliorare le prestazioni, la sicurezza e la gestibilità.
La funzione QoS di controllo della priorità di
coda secondo le specifiche 802.1p consente di
assegnare un ordine di priorità ai pacchetti di
rete e permette di far girare applicazioni che
richiedono grande ampiezza di banda e sensibili al ritardo e di collegare allo switch video
server per funzioni di video conferenza.
Gli Smart Switch sono più semplici da gestire
rispetto agli switch gestibili e con un costo
solo leggermente superiore rispetto ai cosiddetti “dumb” switch. Dispongono di funzioni
di controllo remoto e di un’utilità di auto discovery che permette di trovare automaticamente tutti i Web Smart Switch D-Link presenti in rete e di impostare i settaggi nello
stesso tempo, anziché trovare e configurare gli
switch uno a uno. Tra le altre caratteristiche vi
sono il supporto per l’auto adattamento dei
cavi MDI/MDIX, il controllo di flusso 802.3x
• Le soluzioni per i piccoli uffici
Per migliorare le prestazioni all’interno di piccole aziende, uffici periferici e gruppi di lavoro
di piccole dimensioni, D-Link propone gli
switch Layer 2 Fast Ethernet a 10/100 Mbps
siglati DGS-1005D e DGS-100≠8D e dotati
rispettivamente di 5 e 8 porte.
Si tratta di dispositivi di dimensioni palmari e
costo contenuto che consentono di connettere una qualsiasi porta a un nodo a 10 Mbps o
100 Mbps per moltiplicare l’ampiezza di
banda, migliorare i
tempi di risposta e soddisfare i
carichi di lavoro. Supportano funzionalità
MDI/MDIX e la modalità full/half duplex per
ogni porta. Il DGS-1005D e DGS-1008D dispongono, rispettivamente, di un buffer di
memoria di 1 Mb e 256 Kb e di una tabella
indirizzi MAC da 2 e 8 Kb per dispositivo. Dispongono di una porta di uplink che permette
di mettere in cascata 2 switch per incrementare la densità di porte.
Lo switch DGS-1008D
• Le schede per il Gigabit su rame
D-Link mette a disposizione anche gli adattatori DGE-530T e DGE-550T che si indirizzano verso le esigenze di infrastrutture di rete
che richiedono elevata ampiezza di banda. Si
tratta di due schede Gigabit Ethernet PCI progettate per consentire la connessione diretta
tra un server (o un pc server) e uno switch
Gigabit, mediante un cavo in rame twistedpair, rappresentando un’alternativa economica
alle soluzioni Gigabit in fibra ottica.
Le due versioni si differenziano per il bus: la
DGE-530T dispone di un bus a 32 bit, mentre la DGE-550T prevede un bus a 64 bit
e 66 MHz di clock che riduce al minimo
il carico di lavoro sulla CPU del server.
Entrambi le schede supportano l’individuazione e la negoziazione automatica della velocità
di rete nella triplice modalità di trasmissione
10/100/1000 Mbps raggiungendo la velocità
massima di 2000 Mbps in modalità full-duplex.
Si prestano, pertanto, e essere utilizzate per
una migrazione progressiva delle reti Fast
Ethernet verso connessioni Gigabit, senza
richiedere la sostituzione degli adattatori. Per
le velocità di trasmissione di 10 e 100 Mbps
sono supportate connessioni full-duplex e
half-duplex, mentre per la velocità Gigabit
solo quelle full-duplex. Elevate prestazioni e
funzioni di sicurezza sono garantite da funzionalità avanzate quali il supporto di VLAN multiple, il controllo di flusso e le code con assegnazione di priorità.
R.F.
La scheda DGE-550T
25
NetworkiNg
L’azienda si estende nell’aria
Cresce il mercato delle WLAN, mentre si affacciano sul mercato soluzioni
innovative per gestire l’infrastruttura wireless e wired centralmente
L
a continua apertura dei sistemi informatici aziendali verso l’esterno, tesa a
garantire una maggiore cooperazione
con la propria catena del valore, porta le
imprese a investire in nuove tecnologie. In funzione di questo, crescono le installazioni di
reti locali senza fili e le dotazioni di infrastrutture wireless e mobile in azienda.
Anche le imprese italiane non sembrano sottrarsi a questa tendenza, almeno a giudicare
dai dati rilasciati da IDC, secondo la quale si
avrà un incremento medio annuo (CAGR) del
62,6% in termini di unità installate (access
point e schede) e del 17,9% in termini di revenue (a conferma del calo dei prezzi) tra il 2002
e il 2007. In termini di fatturato, sempre
secondo le previsioni IDC, dovrebbe passare
dai 31,6 milioni di dollari del 2002 ai 71,9
milioni del 2007, quando quello europeo
dovrebbe arrivare a 1,4 miliardi di dollari.
• Si fa presto a dire WLAN
Lo switch Summit300-48
e l’access point Altitude
300 di Extreme Networks
26
NetworkiNg
L’interesse delle imprese per le wireless LAN
è giustificato dalle promesse di semplificazione della struttura di accesso alla rete e di riduzione dei costi. Promesse che, come abbiamo
evidenziato nell’articolo “Si fa presto a dire
WLAN” pubblicato sullo scorso numero di
Direction, rischiano di andare
disattese se non si affronta l’introduzione delle wireless LAN
in azienda con un’adeguata strategia.
Erroneamente, infatti, si
ritiene che possa bastare il marchio Wi-Fi per ottenere un prodotto all’avanguardia e all’altezza
delle esigenze di classe enterprise. Di fatto, il
Wi-Fi assicura l’interoperabilità tra i dispositi-
vi che dispongono di questa certificazione, ma
nulla è garantito in termini di funzionalità. Lo
standard 802.11, nelle sue varie declinazioni,
fornisce, in effetti, tutto l’occorrente per una
moderna impresa, ma non tutte le implementazioni dei diversi vendor presenti sul mercato raggiungono gli stessi livelli prestazionali e
funzionali.
Di fatto, la maggior parte delle problematiche
che sono state messe in evidenza negli anni e
che hanno rallentato la diffusione delle WLAN
possono essere superate con gli adeguati strumenti e il relativo opportuno utilizzo degli
stessi. Per esempio, per quanto riguarda la
sicurezza si possono citare vari standard, quali
802.1X, WPA, TKIP, AES e l’802.11i di prossima
introduzione che li mette insieme praticamente tutti. Anche per il supporto del roaming
sono state messe a punto le necessarie tecnologie tanto al livello 2 quanto a quello 3.
Infine, per le prestazioni si stanno affacciando
sul mercato soluzioni ibride che consentono
di utilizzare contemporaneamente sistemi
802.11b, 802.11g e 802.11a, permettendo
velocità da 11 Mbps a 54 Mbps e oltre.
• Architetture wireless LAN
innovative
Tra le diverse soluzioni wireless LAN ce sono
alcune che spiccano per l’originalità architetturale con la quale vengono inserite nell’infrastruttura di rete aziendale, soprattutto per
quanto riguarda gli aspetti correlati alla gestione. Proprio quest’ultima rappresenta una delle
“incognite” attorno alla quale, insieme alla
sicurezza, i diversi vendor, praticamente tutti
quelli impegnati nel networking più qualche
outsider, stanno costruendo le differenze con
cui aggredire il mercato. Tra le soluzioni più
innovative introdotte di recente, si trovano
quelle molte simili di Extreme Networks e
Foundry Networks, due aziende in diretta
competizione su tutti i fronti. Entrambe hanno
annunciato uno switch di rete dotato di funzionalità di accesso wireless, grazie all’integrazione diretta di un access point sugli switch di
edge. Più in dettaglio, Extreme ha presentato
l’architettura Unified Access per reti wireless
e cablate, il cui primo elemento è lo switch
Ethernet Summit 300-48. Quest’ultimo è un
dispositivo capace di commutazione Layer 2/3
su 48 porte (cui si aggiungono 4 porte in rame
e mini-GBIC) e dotato di porte wireless Altitude 300, che supportano contemporaneamente accesso WLAN secondo gli standard
IEEE 802.11 a, b e g.
Le novità introdotte nei software di gestione
ExtremeWare ed EpiCenter consentono,a
detta dei responsabili della società, la gestione
end-to-end centralizzata di tutti gli utenti, unificando il management delle reti wireless e
wired. La soluzione, secondo i dati dichiarati
dal costruttore, fornisce alle porte wireless
servizi di sicurezza e cifratura quali AES, WES
e WPA. Oltre che con le porte wireless Extreme Altitude 300, questo switch è compatibile
a livello base anche con altri access point
wireless standard.
Foundry ha annunciato un’architettura integrata che si basa su tre elementi: l’access point
IronPoint 200 (anche questo di tipo multimode compatibile con tutti gli standard di velocità WLAN), una suite di gestione per IronPoint
basata su SNMP e un’opzione di aggiornamento WLAN per gli switch di edge FastIron basati sul chipset FastIron JetCore.
A detta di Foundry, l’access point è stato progettato in due versioni: una meglio indirizzata
alle piccole e medie imprese, che Foundry
chiama “full featured”, e una “intelligent”,
destinata alle grandi organizzazioni. L’architettura è però programmabile, per cui il passaggio dall’una all’altra può essere effettuato via
software in un secondo momento.
Il software di gestione IronView Network
Manager - IronPoint Edition fornisce capacità
di management centralizzato degli accessi
wireless integrato con l’amministrazione della
rete cablata. Questo anche grazie all’aggiornamento software dei FastIron Edge Switch, che
possono essere dotati di capacità WLAN, cui
estendono il supporto delle caratteristiche
802.1x, monitoraggio del traffico con sFlow,
QoS, rate limiting. Gli switch FES, inoltre,
secondo dati Foundry, dispongono di alimentazione ridondante, supporto IEEE 802.3af per
Power over Ethernet e possono potenziati
per operare a Layer 3.
Già nel 2002, peraltro, Symbol Technologies
aveva presentato una soluzione d’integrazione
wireless e wired, con un’architettura innovativa che divide la parte di accesso radio da quella di trasporto. La società statunitense è, al
momento in cui scriviamo, in procinto di rilanciare con nuovi prodotti la linea di Wireless
Switch.
Una menzione a parte merita,
invece, l’architettura presentata da Nortel Networks,
meglio indirizzata al settore delle WLAN pubbliche, ma adatta anche alle
esigenze di grandi organizzazioni. Il concetto
alla base della soluzione, secondo quanto
dichiarato dai responsabili della multinazionale canadese, è stato elaborato insieme al MIT
di Boston. In sintesi, viene creata una rete
magliata, in cui ogni access point si può collegare ad altri quattro. Le funzionalità di autodiscovery e auto-configuration permettono di
accelerare l’installazione e completano l’opera
di ottimizzazione dell’archittura. In base ai
risultati dei testi condotti da Nortel, in questo
modo è possibile ridurre i costi di installazione del 75% e quelli operativi del 70%, rispetto
a una soluzione tradizionale, quando si debbano coprire vaste aree. Lo switch WLAN Security Switch 2250, infine, permette di unificare
e centralizzare la gestione della rete e della
sicurezza degli access point, integrandoli nell’infrastruttura di rete aziendale.
G.D.B.
La famiglia di switch
FastIron Edge Switch
di Foundry Networks
27
NetworkiNg
Le soluzioni HP ProCurve
verso la sicurezza 802.1X
L’implementazione di Guest VLAN, mediante gli switch HP, consente di
proteggere la rete lasciando disponibili specifiche aree di accesso
L’
utilizzo sempre più pervasivo della
LAN Ethernet per ogni tipo di
comunicazione, amplifica la necessità
di proteggere efficacemente la rete da possibili attacchi.
Nell’ambito della propria strategia Adaptive
EDGE, indirizzata a spostare verso la periferia
della rete le funzioni di protezione, HP Procurve propone una gamma di switch caratterizzati da una serie di caratteristiche che contribuiscono a rafforzare la sicurezza dell'accesso alla rete. Tra queste vi sono il blocco del
MAC address, l’isolamento delle porte, l’Access Control List e, soprattutto, il supporto
dello standard 802.1X.
Sebbene si tenda a pensare a queste caratteristiche come funzionalità indipendenti, in realtà
richiedono risorse supplementari all'interno
della rete per implementare una soluzione completa di sicurezza. Coordinare questi requisiti
supplementari può rappresentare una barriera
o un impedimento del deployment, che diventa
ancor più complesso se si vogliono impostare
criteri personalizzati in base alla tipologia di
utente che si sta collegando alla rete.
• I problemi per il deploying
dell’802.1X
L’utilizzo di una soluzione di sicurezza basata
su 802.1X rappresenta un metodo efficace
per implementare accesso sicuro alla periferia.
Tuttavia, il deployment di una soluzione
802.1X richiede alcuni accorgimenti. Innanzitutto è necessario la disponibilità del software
richiedente 802.1X sui client (Microsoft, per
esempio, ha incluso il software 802.1X in Windows XP e in Windows 2000, ma non è pre-
28
NetworkiNg
sente sulle versioni precedenti).
Una volta che il software client 802.1X è stato
installato, la barriera seguente è rappresentata
dal server RADIUS. Non tutti utilizzano un
server RADIUS per gestire il database dei
loro end user: molti usano i domini NT Microsoft, gli schemi password UNIX, Kerberos o
LDAP. Inoltre, chi intende sfruttare un database preesistente può avere la necessità di un
bridge o un gateway tra il server RADIUS e il
proprio sistema e, in alcuni casi, questo ha un
impatto sul metodo di autenticazione sottostante utilizzato per autenticare il client tramite l’802.1X.
In un ambiente 802.1X il server RADIUS deve
poi supportare le transazioni di autenticazione usando il protocollo EAP (Extensible
Authentication Protocol) che supporta diversi metodi (EAP-MD5, EAP-TLS, EAP-TTLS,
PEAP e così via), non tutti pienamente standardizzati. Inoltre questi metodi richiedono
l’installazione di un certificato sul server
RADIUS e, di conseguenza, l’installazione e il
mantenimento di una Certification Authority.
Riassumendo è richiesta l’installazione dei software richiedente sui client, l’impostazione del
server RADIUS per supportare tutti i metodi
EAP necessari, bridge verso i database esistenti, la realizzazione di una CA e l’installazione
dei certificati e la loro gestione. Oltre alla complessità e al carico amministrativo, una barriera fondamentale per l’implementazione resta la
disponibilità del software client 802.1X che
supporti tutti i metodi EAP necessari.
• La soluzione HP ProCurve
La strategia HP ProCurve punta all’installazio-
ne di 802.1X su ogni client come soluzione
ottimale e a lungo termine per la sicurezza
dell’accesso, proponendo, nel frattempo, un
percorso di migrazione che sfrutta le funzioni
già disponibili attualmente sugli switch HP
ProCurve Networking.
Quando un client non-802.1X si connette a
uno switch HP ProCurve è possibile collegarlo di default a una Guest VLAN all’interno
della quale abbia piena disponibilità di accesso.
L’implementazione di una Guest VLAN consente di fornire differenti possibilità di configurazione per le diverse classi di utenti, sia
ospiti sia autorizzati.
Per consentire questo tipo di accesso non è
richiesto alcun software aggiuntivo sul client e
chiunque si connette alla rete può accedere a
un gruppo di servizi specifici installati appositamente.
Gli switch ProCurve supportano il protocollo
802.1X e possono essere usati per implementare una soluzione di questo tipo in base alla
seguente modalità:
• il client su cui gira il software richiedente
802.1X si autentica con lo switch ProCurve
quando si connette a una porta dello switch
abilitata all’802.1X;
• lo switch verifica le credenziali del client
comunicando con un server di autenticazione RADIUS;
• se le credenziali sono verificate, il server
RADIUS dice alo switch di sbloccare la porta
e consente l’accesso ala rete senza restrizioni;
• in caso contrario, il server RADIUS può
comunicare allo switch di bloccare completamente l’accesso oppure di configurare la
porta affinché il client venga ammesso come
membro di un VLAN particolare, così da
limitare o confinare il suo accesso all'interno della rete. Se, invece, l’802.1X non fosse
abilitato sulla porta, i client avrebbero completo accesso all’interno della rete.
All’interno di un ambiente wireless, il server
RADIUS restituisce gli attributi al wireless
access point, che gli permette di generare
chiavi cifrate e di inviarle al client senza alcuna
configurazione manuale. Questo rappresenta
un vantaggio significativo dell’uso di 802.1X in
un ambiente wireless.
Una volta autenticato, lo switch ProCurve
restituisce al server RADIUS le registrazioni
di accounting, che possono essere utilizzate
per scopi di fatturazione o tracciabilità. R.F.
Una soluzione 802.1X
realizzata utilizzando i
prodotti HP ProCurve
Wireless Access Point 420
Power over Ethernet con 802.1X
Il wireless access point 420 è un dispositivo WLAN single-radio studiato
per le esigenze delle piccole, medie e grandi aziende che supporta gli
standard 802.11b e 802.11g, oppure entrambe le tecnologie all'interno
di ambienti wireless misti, grazie alla selezione automatica del canale.
Questo access point prevede il supporto del Power over Ethernet 802.3af
ed è certificato Wi-Fi (Wireless Fidelity) per assicurare l'interoperabilità
con dispositivi di altri produttori; il dispositivo verrà aggiornato con le specifiche IEEE 802.11i in concomitanza con la ratifica del nuovo standard.
Progettato per rispondere alle esigenze di sicurezza e interoperabilità,
l’access point HP ProCurve 420 integra il controllo dell'accesso 802.1X
port-based per l’autenticazione sicura degli utenti e la protezione dell’accesso alla rete wireless. Il supporto EAP di 802.1X comprende i metodi
MD5, TLS, TTLS e PEAP. Per garantire un accesso sicuro alla rete prevede
l’accesso protetto al Wi-Fi, combinando l'autenticazione dell'utente
802.1X con il metodo crittografico Temporal Key Integrity Protocol (TKIP).
Tra le altre caratteristiche si segnala una migliore
gestione della crittografia con l'assegnazione e la
riprogrammazione dinamica della chiave WEP per
utente e per sessione e il tagging di fino a 64 VLAN
conformi allo standard 802.1Q.
29
NetworkiNg
Italtel nell’arena
della sicurezza gestita
La società di telecomunicazione si propone come leader nei servizi di
sicurezza gestita per le reti carrier e enterprise
I
taltel ha annunciato la sua discesa nell’arena dei servizi professionali e gestiti, decisione strategica per la società italiana di
telecomunicazione rafforzata anche dalla
acquisizione del ramo di azienda “security
operation center” di Securmatics. Per chiarire
obiettivi e strategie della società abbiamo
incontrato Maurizio Tondi, Responsabile Service Marketing & Engineering della Business
Unit Professional Services di Italtel.
S: Quali sono state le motivazioni che hanno portato Italtel ad investire in un settore di notevole
interesse per le aziende ma che non è tipico di un
produttore di Tlc?
T: Abbiamo un prodotto proprietario forte, la
linea di centrali multiservizi iMSS, e sino ad
ora abbiamo considerato la parte di assessment, di design, di progettazione, di conduzione di un progetto e i servizi post vendita
come parte integrante del prodotto. Ad un
certo punto abbiamo osservato che c’era lo
spazio per una proposizione più articolata che
valorizzasse un nuovo portafoglio di offerta di
servizi.
S: Quindi vi siete adeguati?
T: Diciamo che il management aziendale ha
valutato che una ulteriore caratterizzazione di
Italtel si potesse ottenere tramite un portafoglio allargato di Servizi Professionali, che da
una parte accompagnassero il ciclo di fornitura della soluzione Italtel e delle reti multiservizio, dall’altra parte contribuissero a realizzare questa famosa convergenza estendendosi
anche a componenti un poco più ICT.
Da questo sono derivati i servizi di audit e di
verifica delle infrastrutture preesistenti, ovvia-
30
NetworkiNg
mente assumendo che i grandi clienti siano già
in possesso dell’infrastruttura e che su questa
desiderano realizzare una evoluzione ed innovazione tecnologica.
S: Questo sempre con l’”intermediazione” del
vostro cliente, cioè il Carrier.
T: Noi lavoriamo per il Carrier, per il Service
Provider, quindi anche lo stesso Service Provider che si dota di una soluzione innovativa per
farlo ha bisogno di effettuare una verifica della
propria infrastruttura, un servizio che noi possiamo fornire. Se, ad esempio, il cliente deve
realizzare l’introduzione della sua rete non
direttamente in produzione ma in un’area circoscritta è possibile utilizzare i nostri testplant e fare le opportune verifiche di impatto
preventivo. I servizi disponibili sono stati sviluppati a partire da quelli che precedono il
deployment sino a quelli di installazione, test e
collaudo sia per il nostro prodotto, sia, visto
che realizziamo reti multiservizio, per componenti di internetworking IP, leggasi Cisco, con
cui abbiamo una consolidata partnership. Tutte
queste sono attività che non è che prima non
esistessero o Italtel non le fornisse, ma che
ora sono state razionalizzate ed arricchite e
che hanno quindi una maggiore enfasi perché
è il mercato che lo richiede.
S: E per quanto concerne servizi innovativi ?
T: A partire da quelli tradizionali siamo passati a
servizi che non sono più inerenti alla sola fase
progettuale ma che aggiungono valore nella
fase della post-vendita, che ovviamente è sempre più critica. Nel concreto, abbiamo sviluppato una serie di servizi che vanno dall’help desk
all’assistenza on site, all’assistenza remota, alla
gestione delle parti di ricambio, alla gestione
operativa presso il NOC (Network Operation
Center) del cliente nonché dell’intero processo di intervento e di manutenzione.
S: Con quale modello applicate queste esperienze
“native” o “acquisite”?
T: Il nostro modello di mercato prevede di
operare al supporto del business degli operatori nostri clienti, fornendo loro servizi che
indirizzano il “cuore” del sistema di gestione
della rete, ciò che sia chiama OSS/BSS (Operation Support System e Business Support
System) e che garantisce loro l’ “assurance”
dei servizi erogati. In tempi più recenti abbiamo incominciato a lavorare anche per i clienti
degli operatori, pur mantenendo l’operatore
come intermediario. In questo modo, oltre ai
servizi di connettività e di trasporto, riusciamo ad aggiungere alla linea di ricavi i servizi di
sicurezza gestita che costituiscono un elemento di differenziazione sul mercato e di fidelizzazione del cliente, in quanto la sicurezza è un
aspetto molto pervasivo che interessa realtà
mission critical.
S: Per quanto concerne la sicurezza, quali sono
stati gli elementi che vi hanno spinti in questa
direzione?
T: Su questo tema i driver che hanno portato
l’azienda a investire sono stati due, uno esterno ed uno interno. Quello esterno è il mercato, dove il settore della sicurezza è il settore
di massima attenzione e crescita. Se si analizzano le fonti, gli analisti prevedono che nel
2004 ci saranno circa 400 milioni di Euro investiti nel settore della sicurezza, compreso prodotti e software, di cui almeno 300 per i servizi. Di questi 300, che comprendono servizi
IT legati anche alla progettazione, la componente sicurezza gestita è rilevante. In un quadro in cui questo mercato cresce complessivamente del 14% la sicurezza gestita, come
filone, cresce del 18%. E’ questa osservazione
esterna che ci ha confortati nelle nostra decisione di essere presenti nel settore, anche se
in maniera selettiva.
S: E il secondo driver?
T: Consiste nel fatto che i clienti tendono
sempre più a percepire la sicurezza come un
loro bisogno primario. Ci siamo però posti il
problema di quale fosse il tipo di “sicurezza”
sostenibile come proposizione presso i nostri
clienti per una società come Italtel, leader nell’ambito della commutazione, della integrazione e delle reti multiservizio e abbiamo considerato che non poteva che essere la sicurezza connessa alla rete. In pratica, non siamo e
non vogliamo essere una azienda che si occupa di “tutta” la sicurezza ma vogliamo posizionarci come leader per ciò che concerne la
sicurezza connessa alla rete adottando quello
che Gartner Group chiama la “Security in the
cloud”.
S:Come avete organizzato il vostro “presidio” nella
sicurezza di rete?
T: Abbiamo diviso questo approccio alla sicurezza in due filoni. Il primo è di tipo progettuale. Abbiamo sviluppato servizi di assessment della sicurezza e di progettazione di
reti sicure, con componenti anche tradizionali, ad esempio la sicurezza di tipo perimetrale,
il vulnerability e il risk assessment, il deployment, le isole proxy, tutte cose molto legato
alla rete.
Il secondo filone è quello dei servizi di sicurezza gestita. Gli elementi su cui ci concentriamo maggiormente sono i managed firewall,
i managed intrusion detection system e i
managed antivirus, che lato cliente corrispondono agli elementi ritenuti più importanti e su
cui c’è maggiore attenzione dal punto di vista
del monitoraggio e della gestione. A questi si
aggiungono managed VPN, managed authentication e security intelligence. Va detto che sui
primi tre abbiamo già una suite di prodotti e
un SOC attivo in grado di gestirli e di permettere l’erogazione di servizi SLA.
S: Che obiettivi avete per ciò che concerne l’erogazione di questi Servizi?
T: Abbiamo già previsto di erogare questi servizi nel corso del 2004 . Prevediamo il picco
come accettazione da parte del cliente di questo modello nel corso del 2005. Secondo noi
il 2005 sarà l’anno dei “Managed Service Provider” ma già il 2004 potrà registrare importanti realizzazioni in questo settore.
G.S.
Maurizio Tondi,
Responsabile Service
Marketing & Engineering
della Business Unit
Professional Services di
Italtel
31
NetworkiNg
Due infrastrutture a braccetto
per una rete wireless comune
Con l’evoluzione del 3G si prospetta un periodo di coesistenza
tra WCDMA ed EDGE per l’erogazione di servizi multimediali
L
a migrazione verso la terza generazione di sistemi di comunicazione mobile
promette di rendere disponibili agli
utenti maggiori funzionalità e nuovi servizi e
apre, agli operatori, nuove opportunità per far
crescere la base di abbonati. Questa evoluzione si sta sviluppando in due modalità. Da una
parte l’affermazione del WCDMA come sistema di accesso wireless su uno spettro a banda
larga e, dall’altra, l’evoluzione attraverso
EDGE, basata sullo stesso spettro di frequenze che caratterizza l’attuale tecnologia GSM.
Le differenze tra i due sistemi sono molteplici, ma vi sono diversi aspetti comuni che
lasciano intravedere una possibile coesistenza
di queste due modalità.
I fornitori di servizi di comunicazione mobile
stanno valutando diversi possibili modi e
tempi per compiere questa transizione evolutiva. Ovviamente gli aspetti di maggiore interesse per gli operatori sono di mantenere la
fidelizzazione della propria base di clienti, cercando di sfruttare al massimo gli investimenti
fatti in passato e riutilizzando, per quanto possibile, le risorse di rete e gli asset già disponibili (tra cui le bande di frequenza).
• Il WCDMA
Il sistema WCDMA (Wideband Code Division
Multiple Access) rappresenta un’estensione a
larga banda della tecnologia CDMA ed è stato
sviluppato allo scopo di definire uno standard
a livello globale per l’erogazione in tempo
reale di servizi multimediali. Attraverso il supporto dell’ITU (International Telcommunication Union) è stato inizialmente assegnato a
questo sistema di telefonia di terza generazio-
32
NetworkiNg
ne lo spettro di frequenza a 2 GHZ. Il compito di definire le specifiche WCDMA è stato
quindi affidato al 3GPP (Third Generation
Partnership Project).
A differenza del sistema GSM, che utilizza la
tecnologia TDMA (Time Division Multiple
Access) sfruttando frequenze e “time slot”
per distinguere gli utenti all’interno di una
stessa cella, la rete di accesso WCDMA consente di servire simultaneamente gli utenti di
una cella negli stessi 5 MHz di banda nominale, utilizzando un sistema di distinzione basato
su codici univoci.
La tecnologia WCDMA viene utilizzata nello
standard UMTS (Universal Mobile Telecommunications System), che rende disponibile
per un utente mobile una velocità di trasmissione fino a 384 Kbps e fino a 2 Mbps per connessione tra dispositivi fermi l’uno rispetto
all’altro.
• GPRS ed EDGE
GPRS rappresenta un sottosistema dello standard GSM che consente di incrementare la
velocità di trasferimento introducendo il concetto di trasmissione a commutazione di pacchetto. GPRS è perciò in grado di fornire un
data rate di 115 Kbps e, teoricamente, di arrivare a 160 Kbps sul livello fisico.
EDGE rappresenta un “add-on” di GPRS, che
introduce nuove tecniche di modulazione e un
nuovo sistema di codifica del canale. Grazie a
queste tecniche è possibile trasmettere servizi e voce sia di tipo a commutazione di circuito, sia a commutazione di pacchetto. GPRS ed
EDGE hanno comportamento e protocolli differenti sul lato della stazione base del sistema,
ma sulla parte “core” della rete condividono il
medesimo protocollo per il trattamento dei
pacchetti e si comportano nello sesso modo.
Grazie all’impiego di questi nuovi metodi di
trasmissione a prova di errore e di un migliorato adattamento alla connessione, EDGE è in
grado di fornire un throughput fino a 384
Kbps e, in teoria, fino a 473 Kbps, utilizzando
lo spettro di frequenza esistente (800, 900,
1800, 1900 MHz). Inoltre, poiché lo stesso
“time slot” è in grado di supportare più utenti, sono richieste inferiori risorse radio per
supportare lo stesso livello di traffico, liberando capacità per altri servizi voce o dati. Per
queste ragioni EDGE fornisce una capacità tre
volte superiore rispetto a GPRS.
Il passo tecnologico successivo prevede una
serie di miglioramenti indirizzati alla fornitura
di servizi per il dominio a commutazione di
pacchetto e un migliore supporto per le classi QoS definite per l’UMTS. Tutto ciò si realizzerà nello standard GERAN (GSM / EDGE
Radio Access Network) che rientra nell’attività svolta dal 3GPP e si basa sulle tecniche di
trasmissione ad alta velocità di EDGE, combinate con l’interfaccia di collegamento radio di
GPRS. In funzione di quanto detto EDGE può,
quindi, essere considerato come un elemento
fondamentale verso la realizzazione di una
rete unificata GSM/WCDMA con un core
network comune e differenti metodi di accesso che risultino trasparenti per l’utente finale.
• Verso una rete unificata
La realizzazione di una soluzione di comunicazione mobile unificata richiede un network in
grado di combinare le risorse GSM e WCDM
e l’utilizzo di terminali multimodali che possano gestire voce e dati su entrambi gli spettri di
frequenza.
Da un punto di vista generale, un’architettura
di rete per l’accesso a radiofrequenza comprende un nodo che gestisce la trasmissione e
la ricezione radio da e verso i terminali e un
nodo che controlla tutte le funzioni della rete
di accesso e connette la rete radio alla parte
“core” del network. I nodi di controllo GSM e
WCDMA sono connessi con la parte centrale della rete rispettivamente tramite le interfacce standardizzate A e Iu, mentre verso i
nodi di trasmissione mediante le interfacce
Iub e Abis.
Un elemento fondamentale per combinare le
due reti di accesso GSM e WCDM è quello di
definire un sistema per il controllo del traffico
che sia in grado di gestire tutto lo spettro di
frequenze allocato dai due sistemi come una
singola unità. Questa funzionalità di controllo
del traffico va realizzata attraverso interfacce
standard per la comunicazione intersistema.
I servizi in una rete comune potranno dunque
essere forniti in una o nell’altra modalità di
accesso, in funzione della disponibilità di risorse o della richiesta di servizio.
D'altronde c’è da aspettarsi che l’utente sia
poco interessato alla tipologia di rete utilizzata, fintanto che il servizio non subisce un
degrado evidente.
Oltre a poter condividere la stessa parte di
“core network” e i terminali mobili (multimodali), le due infrastrutture potranno condividere anche elementi quali i siti delle stazioni
radio base per la copertura del servizio in
aree urbane, la rete di servizio, il sistema di
amministrazione dei clienti, il sistema di supporto operativo e quello di gestione del network.
R.F.
Lo schema di
un’architettura comune
GSM/WCDMA
33
NetworkiNg
Tecnologie Nortel e ingegneria
Gfi Ois per le reti enterprise
Il gruppo Electrolux ha realizzato una rete aziendale di nuova generazione
per collegare 4 stabilimenti e 3500 postazioni di lavoro.
L
Rete logica
della sede di Porcia
34
NetworkiNg
e disponibilità di piattaforme tecnologiche di nuova generazione, dotate di
funzionalità di ridondanza e di continuità operativa, pongono le basi per la migrazione verso reti aziendali di nuova generazione e
costituiscono una solida piattaforma su cui
pianificare sia l'IT aziendale che il consolidamento di server e storage. Non meno importanti le possibilità che si aprono per la convergenza di applicazioni dati, voce e video. La
condizione sine qua non per ottenere il massimo dei benefici richiede però che alla tecnologia di rete si accompagni una profonda capacità progettuale, la conoscenza dei protocolli
di rete e IT, delle problematiche di sicurezza,
di esigenze applicative, di migrazione e di supporto ingegneristico. Un esempio di realizzazione che coniuga tecnologie e aspetti progettuali in un ambiente che spazia dalla realtà
locale a quella geografica, lo si trova nella realizzazione fatta da Gfi OiS presso il gruppo
Electrolux (società tra i leader mondiali del
settore dell'elettrodomestico), che ha avviato
una riorganizzazione dell’infrastruttura IT del-
l'ambiente di office che coinvolgerà progressivamente l'ambiente di fabbrica, sino ad analizzare la possibilità di realizzare una vera e propria rete di interconnessione "metropolitana
like" dei suoi impianti industriali.
• Il perché del progetto
La base di partenza è stata costituita da circa
3500 postazioni di lavoro, distribuite in 4 stabilimenti, connesse in token ring e da sistemi
di cablaggio con anelli in fibra o in rame CAT5
già esistenti. La soluzione di rete, pur con l'utilizzo di Switch TR ha finito con il mostrare
limiti nella capacità trasmissiva e nel livello di
affidabilità complessiva. Due le scelte fatte
dalla società per eliminare questi problemi.
In termini di piattaforme ha adottato la tecnologia di commutazione Passport 8000 di Nortel Networks, ritenuta la più adatta per far
fronte ad una serie di esigenze applicative specifiche. In particolare la continuità operativa,
che doveva avere le caratteristiche tipiche del
99,999% di una rete pubblica, soprattutto per
basarvi le attività di consolidamento di server
e storage e piani di disaster recovery.
Va osservato che negli 8000 sono confluite le
esperienze che Nortel ha maturato nelle reti
pubbliche come la ridondanza di tutte le parti
critiche della macchina (alimentatori, ventole,
processori, schede di linea) e la disponibilità
del protocollo di giunzione SMLT, che permette di suddividere in modo dinamico il traffico
su più connessioni di rete e reinstradare automaticamente il traffico in caso di failure.
In particolare, presso lo stabilimento di Porcia
(il maggiore in termini di estensione e numero di postazioni) il progetto ha portato alla
realizzazione di due aree CED separate funzionanti in modalità disaster recovery, interconnesse con l'utilizzo delle fibre e dei cablaggi esistenti e "cluster" di switch 8000. Il risultato è che anche se uno o due apparati del
cluster vengono posti off-line per malfunzionamento o manutenzione, i servizi IT continuano ad essere erogati in modo trasparente
per le applicazioni e gli utilizzatori. Un approccio simile lo si ha anche nella periferia della
rete, dove la connessione tra switch 8000 di
core e switch stackable prevede l'utilizzo di
fibre che, a partire da uno stack, connettono
due diversi switch 8000, con velocità Fast o
Gigabit Ethernet. In caso di malfunzionamento
di uno switch dello stack o del core si ha la
commutazione automatica delle sessioni sugli
altri apparati di rete. Il progetto ha previsto
anche la possibilità di caduta di un link facendo sì che il link rimasto attivo sia in grado di
supportare l'intero traffico afferente.
In pratica, si ha normalmente una capacità di
banda doppia e un sistema che non presenta
singoli punti di guasto che possano inficiare
l'operatività del sistema IT.
Nel complesso quindi, si è in presenza di una
architettura di rete fortemente ridondata sia
in periferia che nel core e in grado, con l'organizzazione basata su due CED interconnessi da fibre ottiche a velocità Gigabit, di disporre di percorsi ridondati a partire dai server
sino a livello di desk top, con il protocollo di
multitrunking che gestisce automaticamente il
reinstradamento delle sessioni. Sempre a livello di rete è poi gestita la realizzazione di Lan
virtuali e i diversi tipi di traffico in base a livelli di priorità prestabiliti.
• Una prospettiva metropolitana
Uno degli aspetti che ha portato all'adozione
della linea di switch Passport 8000 deriva dalla
possibilità di utilizzarli per realizzare delle reti
MAN, con l'interconnessione delle sedi regionali tramite portanti ottiche ad altissima capacità. In una prima fase di questa evoluzione
viene infatti ipotizzata la connessione di 4
delle sedi esistenti nell'area. Quello realizzato
Passport 8000: Switch per il backbone enterprise
La linea 8000 è uno egli elementi di punta della strategia di Nortel Networks nel settore delle reti della fascia enterprise. E' costituita da apparati che dispongono di funzionalità adatte sia per il backbone di una rete
enterprise che di reti MAN. Presentano un grado elevato di resilienza,
derivante sia dalla tecnica costruttiva sia dal disporre della funzione
SMLT, che mette a disposizione un trunk di fail-over per applicazioni business critical dati o voce su IP. Gli Switch possono anche gestire la priorità e classificare il traffico su 8 diversi livelli di servizio. Negli switch è possibile inserire dei moduli specializzati per applicazioni di livello 4-7. Può
equipaggiare schede Ethernet 10/100/1000/10000 e ATM. Integra soluzioni di sicurezza basate su ASIC e la funzione SSL.
è comunque un primo passo di una evoluzione che prevede diverse fasi.
Se una MAN è per il futuro, quello che è già
stato fatto è la realizzazione di una infrastruttura di rete locale altamente resiliente che
permette di aumentare la disponibilità e le
performance del servizio suddividendo i server di rete sulle due aree CED. Non mancano
poi esperienze di telefonia su IP, anche se una
vera e propria convergenza fonia dati richiederà ulteriori analisi.
G.S.
Attività di progettazione e ingegneria di Gfi OiS
Progettazione e installazione della rete è stato compito di Gfi OiS in stretta collaborazione con il network team di Electrolux IT Solutions.
Gfi OiS è una società attiva in Italia da oltre 40 anni nel campo della progettazione e realizzazione di soluzioni informatiche e servizi ad alto valore aggiunto per PA Centrale e Locale, Finanza, Industria e Servizi, Telecomunicazioni. Dall'Agosto 2000 fa parte di Gfi Informatique, gruppo francese che conta oltre 7000 dipendenti distribuiti in 11 paesi Europei, in
Nord-Africa ed in Canada.
Un punto di svolta nel campo della progettazione di reti trasmissive lo ha
però fatto nel Gennaio 2003, con l'acquisizione di Gfi Technology, che poi
non è altro che la Atel Internetworking, società con una consolidata esperienza nella progettazione e nella realizzazione di reti dati e in soluzioni
per la sicurezza. E' proprio la Business Unit Networking, diretta da Alberto Bugini, che ha progettato e realizzato, assieme al network team di Electrolux IT Solutions, coordinato da Marco Moscardi, la soluzione di rete
adottata. La BU Networking, in sintonia con il team Electrolux, non solo
ha disegnato la soluzione, ma ha realizzato anche le fasi di migrazione
dalla rete token a quella Gigabit Ethernet, migrazione effettuata implementando una vera e propria rete parallela e realizzando il passaggio
degli utenti da una all'altra senza causare interruzioni del servizio. Un
progetto che sta completando le ultime fasi e che complessivamente ha
coperto un arco temporale di sei mesi.
35
NetworkiNg
Si uniscono le reti di Avaya ed Extreme
A
vaya ed Extreme Networks hanno
annunciato un accordo per lo sviluppo e
la commercializzazione di soluzioni convergenti, che integrano la tecnologia di IP Telephony della prima con i dispositivi di rete della
seconda.
Dietro le quinte dell’intesa, una strategia di
sviluppo congiunto che prosegue da oltre un
anno e che ha portato a disegnare un portafoglio di prodotti di rete complementare.
Grazie a ciò, risulta semplificato l’approccio
sancito dall’accordo tale per cui Extreme
potrà vendere anche le soluzioni di fascia
bassa targate Avaya, mentre quest’ultima,
attraverso la propria struttura Avaya Global
Services, potrà fornire ai propri clienti gli
switch high end di Extreme.
Le due aziende hanno annunciato l’intenzione
di mantenere una ricerca e sviluppo congiunta, soprattutto per la realizzazione di nuove
tecnologie di management, provisioning, QoS
e sicurezza. Poiché l’accordo comprende
anche un’opzione concessa ad Avaya per l’acquisto di 2,6 milioni di azioni di Extreme, non
manca chi si é chiesto se l’intesa non sia, per
caso, il preludio a un matrimonio tra le due
società.
Avaya Global Services fornirà per i prodotti
Extreme lo stesso supporto che mette a disposizione dei propri.
Del resto, la divisione servizi della società statunitense da tempo agisce secondo una strategia di indipendenza dal mercato, riscuotendo
un discreto successo e aumentando il proprio
peso all’interno del bilancio societario.
La recente acquisizione di Expanets da parte
di Avaya conferma l’investimento che la casa
statunitense nel settore dei servizi.
Expanets, infatti, è un system integrator nordamericano specializzato nella fornitura di rete
e servizi di comunicazione convergente a piccole e medie imprese.
Il software di gestione Hp va alle aziende “agili”
A
ttraverso una gamma di soluzioni che
ruota attorno alla piattaforma modulare
OpenView, Hp propone da anni un approccio
gestionale come elemento strategico di business. Rispetto a un mercato italiano di fascia
più bassa, che appare ancora indolente nell’adozione di soluzioni di questo tipo, Maria Letizia Mariani, responsabile italiana del software
Hp, ribadisce una visione ottimista, sorretta da
buoni risultati.
«I nostri risultati a livello italiano sono molto
significativi e la nostra percezione è che i temi
di azienda agile e adattabile siano davvero al
centro dell’attenzione, perché il mercato
obbliga le società a ripensare il business e l’inerzia viene battuta dalla necessità di evolvere
per sopravvivere».
La proposta Hp non è dunque indirizzata a una
tipologia aziendale, ma verso realtà che dimostrano un’attitudine a sposare la sua vision.
«Lavoriamo bene con aziende che percepisco-
36
NetworkiNg
no il valore della nostra visione di “adaptive
enterprise” che non richiede la presenza di
centinaia di server, ma flessibilità».
La dimensione dell’aziende si fa sentire di più
nella modalità di implementazione.
«Con le aziende di fascia media, la cosa più
importante per noi è un approccio basato su
progetti pilota, con un lavoro di analisi e
costruendo il progetto in un contesto globale».
Il futuro si prospetta improntato verso un’infrastruttura sempre più intelligente.
«I prossimi temi nell’evoluzione del software
di gestione ruoteranno attorno all’inserimento di maggiore intelligenza e integrazione, predisponendo un’infrastruttura in grado di raccogliere in modo automatizzato più elementi
e di correlarli tra loro. Tutto ciò si basa sul
presupposto che l’IT sia erogato in termini di
servizi e che la tecnologia abilitante sia quella
dei Web Service».
L’arena pericolosa del 64 bit
L’
investimento per sviluppare un nuovo
processore può esser stimato in una
cifra non inferiore a tre miliardi di dollari.
Appare dunque evidente che le aziende che si
possono permettere di sostenere investimenti di questa proporzione sono pochissime e
meno ancora sono quelle che dispongono
delle competenze per farlo. Se consideriamo il
mercato delle CPU, l’elenco dei vendor si
riduce essenzialmente a quattro: Intel, Ibm,
Amd e Sun. Il business delle CPU è certamente di proporzioni enormi, ma altrettanto grandi sono i rischi che porta con sé. La necessità
di rientrare da investimenti così ingenti si confronta, infatti, con una continua riduzione del
ciclo di vita dei microprocessori, indotta da
evoluzioni tecnologiche, congiunture economiche e politiche di mercato. “Sbagliare” un
nuovo processore può significare un tracollo
finanziario quasi irreparabile e, attualmente,
l’arena in cui si stanno giocando partite pericolose ha un solo nome: 64 bit.
Fatta eccezione per AMD, che ha deciso di indirizzarsi verso il 64 bit adottando uno sviluppo
dell’architettura x86, tutti gli altri produttori
hanno scelto la strada di sviluppare nuove soluzioni architetturali per la tecnologia a 64 bit.
Intel, con lo sviluppo contemporaneo di Itanium
e Itanium2, ha introdotto il sistema EPIC che
delega al compilatore il compito di trovare le
condizioni per ottimizzare l’esecuzione del
codice. Le due versioni, tuttavia, seppur con la
stessa ideologia, sono finite per avere un’architettura differente e Itanium2 si è dimostrata
come la vera soluzioni a carattere commerciale.
La decisione di AMD, d’altra parte, è solo parzialmente filosofica, poiché la società non disponeva di risorse confrontabili con quelle di
Intel e ha quindi optato per sportare la competizione su un altro percorso.
Va considerato, a questo punto, quali sono gli
effettivi vantaggi di una CPU a 64 bit. Uno
degli aspetti più interessanti è quello di potersi avvantaggiare di database server a 64 bit in
grado di indirizzare più di 4 GB di memoria,
che aprono l’allettante prospettiva di riuscire
a mettere interamente nella RAM i database
“seri” con dimensioni superiori a 4 GB.
I vantaggi di Itanium si spendono meglio sulle
applicazioni a 64 bit, mentre nell’ambito dei
server low end e delle workstation su cui girano applicazioni a 32 bit, la soluzione AMD
potrebbe avvantaggiarsi. Resta, quindi, da vedere come evolverà lo sviluppo applicativo e se
Microsft deciderà (cosa invero poco probabile) di rendere disponibile in tempi relativamente brevi un sistema operativo a 64 bit.
Val la pena anche citare la fantomatica tecnologia Yamhill, che Intel starebbe mettendo a
punto come risposta diretta all’architettura
AMD x86-64, ma cha non ha mai trovato conferme ufficiali.
Nella competizione rientrano, ovviamente,
anche i tradizionali player del mercato RISC,
ovvero Ibm e Sun Microsystems, che devono
preoccuparsi meno di questioni legate all’evoluzione del sistema operativo. La famiglia di
processori Ibm PowerPC rappresenta probabilmente il principale competitor di Itanium 2
e non va sottovalutata la penetrazione della
versione “ridotta” PPC 970 disponibile sui
sistemi Apple e ora adottata anche sui blade
server Ibm. Nel frattempo Sun prosegue nello
sviluppo della CPU UltraSPARC con una
roadmap già definita per la versione 5 e che
punta al prossimo rilascio della versione IV
con la nuova tecnologia multithread. L’accordo con AMD per il rilascio nel 2004 di una
famiglia di server SunFire basati su Opteron
apre la strada a una collaborazione che vivacizza una competizione ancora tutta aperta.
Sembra adatto concludere con l’architettura
Alpha, ormai defunta per omissione di supv
porto.
Riccardo Florio
dida da scrivere
37
Lo storage NAS per le PMI
L’interesse per soluzioni di storage della famiglia NAS cresce
sia presso i fornitori che presso gli utilizzatori
L’
adozione di soluzioni storage da
parte delle PMI può essere indotta
da due fattori. Il primo è il fattore
costo, che è andato rapidamente decrescendo
nell’ultimo biennio sino a richiedere ora, per
le NAS di entry level (ma comunque con
caratteristiche sofisticate e capacità di storage
elevata), un investimento di poche migliaia di
euro.
Il secondo è l’entrata in campo di Microsoft,
che ha di recente rilasciato una versione
aggiornata del suo Windows Powered NAS
con il nuovo nome di Windows Storage Server 2003. Il suo entrare in gioco permette di
rafforzare la strategia dei produttori per ciò
che concerne l’adozione di piattaforme hardware e software standard, che è poi la strada
per garantire le PMI sul piano della compatibilità delle soluzioni dei diversi produttori nonchè sul piano della omogeneità gestionale del
panorama IT e delle relative applicazioni presenti in azienda.
Sino ad ora, a livello di PMI, l’alternativa spaziava dall’adozione di una SAN (soluzione non
proprio economica) a quella DAS (soluzione
molto vincolante). Un nuovo approccio è rappresentato invece proprio da una NAS, che
fornisce un modo più flessibile e semplice per
gestire le risorse di storage, non solo perché
si adatta maggiormente alle esigenze odierne
della realtà aziendale distribuita su scala territoriale ma anche perché ingloba tutta una
serie di vantaggi quali, ad esempio:
• Tempi ridotti per allocare e gestire lo spazio su disco.
• Possibilità di condividere lo storage tra
workstation con sistemi operativi diversi.
• Installazione in tempi ridotti, anche di pochi
minuti.
38
Server e Storage
• Gestione flessibile realizzabile anche a livello di rete IP tramite browser Internet standard.
Distribuibilità delle unità NAS a livello di rete
IP locale e geografica tramite interfacce standard. In pratica quindi, una soluzione NAS è un
dispositivo di storage a cui si possono collegare quasi tutti i tipi di sistemi client, client che
possono accedere allo spazio condiviso (costituito dall’insieme dei dispositivi NAS, locali o
remoti) tramite una connessione LAN o
WAN. Una caratteristica, che proprio per le
PMI assume un ruolo importante, è che le
soluzioni NAS sono usualmente preinstallate,
e vengono definite spesso come "Plug & Play"
proprio perchè non occorre installare né uno
specifico sistema operativo né aggiungere driver supplementari per i componenti hardware
necessari ad accedere allo storage. Una volta
connesso e configurato per la LAN il dispositivo NAS, la cosa che rimane da fare è quella
di autorizzare l'accesso agli utenti mediante
l'interfaccia di gestione, generalmente disponibile anche in versione Web.
• I mattoni di una soluzione NAS
Le soluzioni NAS possono essere ricondotte
ad una architettura comune costituita da un
insieme di elementi base. Uno di quelli fondamentali è il sistema operativo, perché le sue
caratteristiche hanno un impatto diretto sulla
semplicità di installazione e di integrazione di
una soluzione NAS nell'ambiente IT. In effetti ,
è evidente che Microsoft, nella sua entrata nell’arena con il suo sistema operativo Windows
Storage Server 2003, intende proprio far leva
sulla amplissima diffusione a livello di PMI dei
suoi sistemi operativi per l’ambiente Office.
Un secondo elemento è la gestione. In gene-
rale , e con l’adozione di sistemi operativi
standard, una NAS, dopo essere stata installata, può essere gestita da qualsiasi browser
Web e richiede la stessa manutenzione, ad
esempio, di un server Windows.
Un ulteriore elemento è costituito dalla connettività e dal suo grado di apertura, e cioè
della flessibilità che presenta per una sua
inserzione in rete in funzione delle diverse
tipologie di protocollo di trasporto presenti in
azienda. Proprio per facilitare una installazione il più possibile automatica, sempre più frequenti sono soluzioni NAS caratterizzate dalla
disponibilità di serie di numerosi protocolli di
rete, che possono andare da quelli che consentono l'accesso da client Windows (CIFS), a
NetWare (NCP) o a Linux/Unix (NFS).
• Come una NAS protegge i dati
aziendali in una PMI
Le NAS permettono di proteggere i dati in
molti modi. Vediamone alcuni tra i più importanti e innovativi.
SnapShot: è una tecnologia che consente di
effettuare una copia dei dati in qualsiasi
momento e, per questo, viene definita anche
copia "point-in-time". A sua volta e successivamente questa copia può essere duplicata e
memorizzata su un altro dispositivo NAS o su
una unità nastro mediante altre applicazione
di backup, e questo lasciando inalterati i dati
iniziali. L’interesse per questa tecnologia deriva dai risparmi che si ottengono per quanto
riguarda la memoria necessaria. Ad esempio,
un volume da 200 GByte che subisce un 5% di
modifiche al giorno richiede un volume di
snapshot di soli 10 GByte.
Replica dei dati: è una tecnologia che crea
un'immagine duplicata completa dei dati presenti su un dispositivo NAS. Una volta eseguita la replica, nelle fasi di allineamento successive sono sincronizzate solo le modifiche ai
dati tra i dispositivi NAS. In pratica, è una soluzione che trova spazio dove si devono proteggere dei dati che però devono essere
immediatamente accessibili in caso di malfunzionamento di uno dei diversi siti interessati
alla replica. Backup su nastro: è una applicazione che consiste nel trasferire i dati su una
unità nastro collegata direttamente al dispositivo NAS.
Antivirus: è un insieme di modalità di protezione basate su software antivirus che impediscono l’alterazione dolosa dei dati contenuti
In sostanza, una NAS dispone al suo interno di
tutta una serie di strumenti che sino ad ora
erano tipici di sistemi molto più costosi, mentre si adatta particolarmente bene alle PMI
proiettate in ambito geografico e con sedi distribuite tra cui si vogliono mettere in comune
i dati, sia ai fini applicativi che per quanto concerne la funzione di backup. Non sorprende
quindi il crescere dell’interesse da parte delle
aziende.
G.S.
Caratteristiche principali
di soluzioni SAN e NAS
Un glossario per lo storage
DAS (Direct Attached Storage): Implementazione di dispositivi storage
dedicati a ciascun server.
SCSI (Small Computer System Interface): Protocollo utilizzato per comunicare con dispositivi di interfaccia SCSI. Utilizzato anche dalla tecnologia
Fibre Channel per comunicare con i dischi rigidi.
SnapShot: La capacità di duplicazione dei dati all'interno di un server,
di un dispositivo NAS o RAID Array con occupazione minima di spazio su
disco.
Replica dei dati: La capacità di replicare i dati su un altro sistema o
sito tramite LAN o WAN.
CIFS, NFS, NCP, MAC, HTTP e HP: protocolli che consentono di inviare informazioni tramite una rete.
Fibre Channel: è una topologia di rete e un protocollo di trasporto utilizzato per inviare informazioni a livello di blocco di dati tra server e storage utilizzando fibre ottiche.
RAID/ADG: RAID (Redundant Array of Inexpensive Disks) consiste nel
raggruppare più dischi come se fossero un'unità fisica e nel fornire ridondanza all'interno di quel gruppo di dischi(ad esempio con il mirroring di
dati. ADG (Advanced Data Guarding) è la capacità di riunire (riferito in
letteratura come stripping) due bit di parità tra più dischi con il risultato
di poter far fronte al guasto di due dischi all'interno di un insieme RAID.
39
Server e Storage
Dell annuncia una nuova
famiglia CX per lo storage
Dell rafforza la sua presenza nello storage con una nuova famiglia di
prodotti adatti per soluzioni eterogenee e per applicazioni mission critical
L’
Il modello CX300
40
Server e Storage
ultima evoluzione della piattaforma
Dell per lo storage vede espandere
verso l’alto, e in pratica più che raddoppiare, le caratteristiche dei nuovi prodotti
della famiglia CX, che è ora costituita dai
modelli CX300, 500 e 700.
Il modello entry level, adatto sia per ambienti
storage direct attach che per architetture
SAN, è ora costituito dal CX300, che risponde
alle esigenze di aziende che solo recentemente hanno visto l’opportunità di dotarsi di soluzioni storage, ma contemporaneamente sposta
verso l’alto le caratteristiche di entry point in
termine di flessibilità, capacità di storage e
ambienti operativi del precedente modello
CX200, integrando caratteristiche sino ad ora
tipiche di prodotti di fascia medio-alta.
Il CX300 condivide con i modelli superiori
della famiglia lo stesso progetto e la stessa
architettura di base nonché le modalità e le
funzionalità di gestione. Ad esempio, oltre a
profonde migliorie a livello hardware che ne
aumentano non solo le prestazioni ma anche
il livello di continuità operativa, la nuova versione dispone del supporto per SnapView
(point-in-time copy e clone) e per il sistema
operativo Sun Solaris.
Come accennato, praticamente raddoppiate tutte le caratteristiche di targa principali. Supporta connessioni dirette sino a 4
server con connessione FC a 2 Gbit e ha
la possibilità di supportare sino a 64 ser-
ver in configurazione SAN, da un minimo di 5
sino a un massimo di 60 disk drive (15 per
enclosure) per un ammontare complessivo di
8.5TB di capacità di storage all’interno di un
singolo array. La funzione di write-caching
viene supportata a partire da un equipaggiamento minimo di 5 drive. A questo aggiunge il
supporto dinamico di unità di espansione tramite l’enclosure addizionale DAE2-ATA, sempre di Dell/EMC. L’interfaccia verso i disk drive
è realizzata tramite due canali FC a 2 Gigabit,
che permettono di ottenere un throughput
massimo di 200MB/s, che diventano 400MB/s
se si opera in modalità full duplex.
• Sistemi ridondati
ad alta affidabilità
Quella che però è la vera innovazione apportata da Dell (e che si riscontra in tutti i nuovi
modelli) è la duplicazione di tutte le parti critiche. L’apparato prevede infatti due separate
unità di Storage Processor, che operano in
parallelo e permettono di ottenere un alto
livello di affidabilità. Ognuno dei due Storage
Processor è a sua volta equipaggiato con
porte ottiche FC a 2Gb di Front-end, ognuna
con un throughput di canale di 200 MB. Le
porte possono essere utilizzate contemporaneamente e con distribuzione automatica del
carico tramite il software PowerPath di
gestione del fail over e di load balancing.
L’architettura ridondata e l’espansione in termine di canali ha portato ad un consistente incremento del volume di carico complessivo sostenibile, che dati di targa indicano, per il CX300, in
oltre 680 MB/s di throughput e in circa 60,000
operazioni di I/O di cache al secondo.
Anche se è l’entry level della gamma CX, le
caratteristiche costruttive ne fanno in pratica
un apparato adatto per ambienti business critical o attività produttive che richiedano consistenti caratteristiche di performance e scalability. Può essere installato in ambienti eterogenei Windows, NetWare, Linux e Solaris. Il
prezzo è paragonabile a quello della precedente piattaforma.
• Il modello intermedio CX500
Il modello intermedio della gamma è il CX500
che sposta verso l’alto le caratteristiche del
CX400 ed è adatto sia per applicazioni storage
direct attach che per SAN di ampie dimensioni.
L’apparato dispone, come il modello inferiore,
di 4 porte ottiche FC a 2 Gbit verso gli host e
di un massimo di 120 disk drive (15 per enclosure) accessibili tramite porte ottiche FC a 2
Gbit, per un ammontare massimo complessivo
della memoria di storage pari a 17,5 TB per
singolo array. L’accesso ai dischi prevede però
due porte FC per ogni storage processor, per
un totale di 4 porte, una soluzione che permette di disporre di un ulteriore livello di
ridondanza e che duplica il throughput complessivo verso le unità disco. Come nel modello precedente, le 4 porte FC possono essere
utilizzate in modalità fail-over e in load-balancing tramite il software PowerPath.
L’architettura ridondata e l’equipaggiamento
di porte FC permettono all’apparato, secondo
i dati di targa, di gestire un throughput massimo di oltre 720 MB/s e circa 70.000 operazioni di cache/s.
A livello di applicazioni dispone delle funzionalità di upgrade on-line e, come opzione, di
mirroring sincrono dei dati, di copie point-intime e del software per la gestione (Visual
SRM, VisualSAN, SANCopy).
La scalabilità e le funzionalità supportate ne
fanno un apparato che Dell ritiene ideale per
applicazioni cluster che debbano avere caratteristiche di alta disponibilità su cui girino
applicazioni come Microsoft Exchange o applicazioni di messaggistica con migliaia di utenti,
dove la funzione di mirroring remoto Mirror-
View permette di garantire una protezione
elevata delle e-mail.
Altri ambiti applicativi tipici sono quelli con
database di medie/grandi dimensioni, che
richiedono la funzione SnapView per realizzare cloni in modalità
zero-window.
Un ulteriore campo
applicativo è poi quello del manufacturing,
soprattutto dove è
necessaria una elevata capacità elaborativa, ad esempio per
applicazioni
CAD/CAM.
L’architettura duplicata
del modello CX300
• Il modello top CX700
Il CX700 è il top della gamma e trova applicazione in un contesto direct channel o in
ambienti SAN di fascia elevata. Se lo schema
architetturale ricalca quello dei modelli inferiori, quella che appare spinta molto in avanti
è la ridondanza e la duplicazione delle componenti, il grado di espandibilità della soluzione,
il livello complessivo delle prestazioni e le
capacità di storage.
Ognuno dei suoi due Storage Processor è
dotato di 4 porte FC a 2 Gbit per la connessione diretta verso gli host, con la possibilità, a
livello di array, di poter supportare in ambito
SAN sino a 256 server.
Il numero di disk drive supportati in connessione FC a 2 Gbit è di 240, per un ammontare
complessivo di 35 TB di storage. A tutto questo
corrisponde la capacità di gestire un throughput di 1500 MB/s e di 200.000 operazioni cache
al secondo. Può essere inserito in ambienti eterogenei Windows, Netware, Linux e Unix.
A livello funzionale dispone di software di
gestione, di business continuity, di disaster
recovery e di data movement, che nel complesso ne fanno un apparato adatto per
ambienti e applicazioni business critical di classe enterprise che richiedano sia una affidabilità elevata che un altrettanto spinto livello di
espandibilità.
G.S.
41
Server e Storage
Il clustering si fa in quattro
per il disaster recovery
La continuità delle operazioni e il ripristino dei dati possono essere garantiti
con architetture clustering a livello locale, metropolitano o geografico
I
n un numero sempre maggiore di aziende
anche un piccolo downtime dei sistemi, sia
imprevisto che pianificato, rappresenta un
evento in grado di avere impatto sul business
in termini di fatturato o di immagine.
Una soluzione di disaster recovery che voglia
affrontare in modo efficiente situazioni di possibili failover deve essere valutata in funzione
di quali sono gli obiettivi prioritari dell’azienda
in termini di tempo massimo che può intercorrere prima che il servizio sia ristabilito e
della quantità di dati che è ammissibile perdere, oltre che di come risulteranno i dati successivamente alla fase di recovery.
Per queste ragioni, alta disponibilità e disaster
recovery rappresentano ormai due concetti
che si fondono l’uno nell’altro. La scelta dell’architettura più adatta per implementare una
soluzione di disaster recovery va valutata, pertanto, in base alla tipologia di business e di servizio erogato e cercando di conciliare le esigenze di protezione dei dati con quelle dei
costi di implementazione. L’implementazione
di cluster a livello locale, metropolitano o su
area geografica rappresenta una possibile
soluzione alle esigenze di disaster recovery. Il
concetto di cluster si riferisce all’utilizzo di più
sistemi interconnessi tra loro e in grado di
condividere risorse di memorizzazione in
modo tale che, nel caso in cui si verifichi un
guasto in uno dei nodi, l’applicazione o i dati
relativi possano continuare a essere disponibili su un altro sistema del cluster.
I differenti approcci architetturali di clustering
per il disaster recovery, restano caratterizzati
da specifici vantaggi e svantaggi, in relazione alla
capacità infrastrutturale preesistente, ai fondi
42
Server e Storage
disponibili, alla quantità di dati che è ammissibile perdere e alle pianificazioni future.
• Le diverse architetture
per il ripristino
Il primo e più semplice modo di utilizzare un
cluster è a livello locale, per garantire l’alta disponibilità e il recovery dei dati in caso di failover di server, applicazioni o database. In questa
configurazione tutte le componenti del cluster
risiedono all’interno di un singolo data center e
tutti i nodi condividono tra loro le risorse di
storage disponibili in rete. Questa architettura
permette di ripristinare le applicazioni e il database in tempi estremamente rapidi senza alcuna perdita dei dati, utilizzando le informazioni
presenti sulle risorse di storage condivise.
Si tratta di un sistema adatto a fronteggiare
situazioni di failover locale, legato a singoli server, ma che non è in grado di fornire protezione nel caso di incidenti che coinvolgano
l’intero edificio in cui si trova il data center. In
altre parole, il data center rappresenta un “single point of failure”.
Per garantire una maggiore protezione delle
applicazioni e ripristinare un servizio che è
venuto a mancare a seguito di un disastro che
ha coinvolto l’intero data center è necessario
prevedere la presenza di un secondo sito, che
possa entrare in funzione e sostituire le funzioni del primo quando si verificano circostanze di questo tipo.
Quando si considera un sito preposto alla funzione di disaster recovery, si tende di solito a
pensarlo situato a una grandissima distanza dal
primo (anche migliaia di Km). Tuttavia la maggior parte di cause in grado di mettere fuori
uso un data center sono spesso confinate su
distanze molto più contenute. Possiamo pensare, per esempio, a blackout prolungati, incendi, allagamenti o crolli.
Per garantire funzioni di disaster recovery su
distanze che rientrano, per esempio, nei confini di una stessa città, è possibile utilizzare
un’architettura clustering a livello metropolitano. Si tratta di una soluzione che prevede, in
un certo senso, di estendere al di fuori dell’edificio il concetto di cluster locale, realizzando
una connessione in fibra ottica che collega due
o più cluster. Poiché, topologicamente, si tratta ancora di una stessa sottorete, esiste un
limite sulla massima distanza che separa i due
siti (non superiore a 100 Km) determinato
dalla tecnologia Fibre Channel (FC).
Questo tipo di architettura si adatta a casi in
cui esiste già una infrastruttura SAN FC e permette di scalare facilmente verso una soluzione più completa di disaster recovery. Prevede
il mirroring remoto dei dati in modalità sincrona tra i due siti, evitando la possibile perdita di dati: se sussistono problemi sul sito principale, viene attivato quello secondario su cui
sono già presenti i dati aggiornati.
Un’alternativa possibile, nei casi in cui un’azienda non preveda di installare un’infrastruttura
SAN su FC, è quella di prevedere un clustering
metropolitano in cui i dati vengono replicati sui
nodi presenti sul secondo sito, utilizzando il
protocollo IP su una connessione Ethernet.
A fronte di un risparmio nei costi (si evita l’infrastruttura FC), questa architettura resta limi-
tata a due siti e fornisce prestazioni di ripristino
inferiori (la replicazione è meno efficiente del
mirroring). Inoltre, la replica dei dati per un
recovery automatico deve essere necessariamente effettuata in modo sincrono e questo
può penalizzare le prestazioni delle applicazioni.
Il caso di massima protezione è rappresentata
da un clustering a livello geografico (Wide
Area). In tal caso i due siti sono due data center distintiti, appartenenti a due sottoreti
separate. I dati vengono replicati in modo sincrono o asincrono da un sito all’altro mediante una connessione IP. Nei casi in cui la replica venga fatta in modalità asincrona esiste la
possibilità di perdita di parte dei dati. Questa
architettura ha il vantaggio di offrire massima
protezione anche da disastri che avvengono su
scala metropolitana (per esempio terremoti di
grandi proporzioni, zone di guerra); la scelta
del sito secondario dovrebbe, pertanto, esser
scelta in modo accorto, evitando per esempio,
di collocarsi sulla stessa dorsale di alimentazione elettrica, piuttosto che vicino ad aeroporti o zone critiche.
Questo tipo di architettura è molto costosa e
viene di solito implementate da società che
sono obbligate a farlo per soddisfare requisiti
legali o governativi.
L’esigenza di fornire soluzioni di protezioni di
questo livello e, nel contempo, di contenere i
costi, può indurre a considerare la possibilità
di utilizzare sedi distaccate all’estero per realizzare un’architettura di clustering di tipo
geografico.
R.F.
Diverse architetture di
clustering implementate
su scala locale,
metropolitana e geografica
43
Server e Storage
Fujitsu Siemens Computers
virtualizza lo storage su tape
CentricStor 100/400 integra tecnologia tape e virtualizzazione delle risorse
e permette di ottimizzare lo storage in ambienti aperti eterogenei
L’
Il modello CentricStor
44
Server e Storage
esigenza di distribuire i dati aziendali su più sedi e di ottimizzare le infrastrutture di supporto continuano a
trovare nelle soluzioni a nastro una risposta
attraente per quanto concerne l’ottimizzazione degli investimenti e il contenimento dei
costi di struttura.
La rapidità dell’evoluzione tecnologica e una
immissione continua sul mercato di soluzioni
tape o di diversi tipi di librerie nastro con
caratteristiche fisiche e di prezzo diverse è
però uno dei problemi principali che interessa
il responsabile dei sistemi informativi. Da una
parte le soluzioni nastro sono un modo adatto per conservare i dati ma dall’altra ci si è
sino ad ora trovati a dover gestire sistemi
generalmente proprietari dotati di drive o
librerie fisici non sempre adatte alla specifica
applicazione o non facilmente espandibili.
Una risposta a questo problema è dato da
Fujitsu Siemens Computers che ha
sviluppato la linea CentricStor, basata su un’architettura che integra
quanto di consolidato è possibile
osservare nella tecnologia nastro
con il concetto di virtualizzazione
delle risorse, sempre più al centro
degli interessi ma generalmente
riservato allo storage su disco.
Quello che ne è derivato è una soluzione che permette di separare logicamente l’infrastruttura server dai
dispositivi fisici a nastro, realizzando
un sistema aperto in cui diventa
possibile aggiungere librerie o tape
in funzione delle esigenze e con la
linearità necessaria alle applicazioni.
Alla base dello sviluppo di CentricStor vi è
stata la decisione di Fujitsu Siemens Computers
di fornire all’ambiente IT una soluzione per l’archiviazione dei dati di tipo intelligente e aperta,
che permettesse di gestire in modo trasparente diverse tipologie di risorse fisiche, di generazione e di produttori diversi, adatta ad una
gestione di tipo “nearline”, utilizzabile per il
consolidamento di una infrastruttura storage e
in grado di permettere la migrazione da supporti tape ad altri senza dover procedere alla
sostituzione completa di quanto installato.
Ad esempio, posizionata tra server e librerie
tape, permette di consolidare ambienti diversi
quali Unix,Windows NT/2000 o ambienti mainframe abbinandoli in modo virtuale, trasparente
e con una gestione virtuale dei volumi alle diverse tipologie di unità tape esistenti in azienda, il
tutto tramite standard industriali quali Fibre
Channel, SCSI o ESCON. In pratica, CentricStor
agisce come un punto centrale di controllo per
la condivisione dello storage e dello smistamento dei flussi dati in modo trasparente e virtuale
tra i server e le unità tape fisiche.
Il core di CentricStor è costituito da una
applicazione brevettata che integra i diversi
elementi base della soluzione: una cache online su disco ad alta velocità, una gestione virtuale delle unità tape fisiche, una espandibilità
teoricamente illimitata delle dimensioni dello
storage fisico.
• Un sistema ridondato
e ad alte prestazioni
La gestione interna dei flussi dati utilizza una
tecnologia a switch fibre channel, con la possibilità opzionale di una configurazione ridonda-
ta dello switch. La ridondanza delle parti critiche si estende anche agli altri elementi di CentricStor e permette all’apparato di continuare
ad operare anche nel caso di un malfunzionamento interno.
L’adozione interna di una tecnologia switch
fibre channel permette all’apparato di gestire i
flussi dati eliminando i colli di bottiglia che
possono verificarsi in soluzioni convenzionali
quando flussi dati lenti finiscono con il rallentare le prestazioni anche delle altre unità più
veloci. L’apparato ingloba inoltre una funzione
“dual save” che permette di realizzare il mirroring dei dati sia in locale che su una libreria
remota. Oltre a questa funzione, CentricStor
permette anche di gestire i volumi corrispondenti a server differenti allocandoli su tape
fisici differenti. Sempre su tape fisici diversi è
possibile creare la copia di un volume logico
realizzata per funzioni di back up.
Una funzionalità di base è la possibilità di connettere CentricStor a un ambiente host eterogeneo. Ad esempio, è possibile un accesso
contemporaneo ai tape fisici da parte di sistemi BS2000, OS/390, UNIX e NT.
Uno delle possibilità che derivano dall’architettura e dalle funzioni disponibili della famiglia CentricStor è che, diversamente da soluzioni più rigide di tipo convenzionale, permette di espandere in teoria indefinitamente il
numero delle unità tape e facilita l’adozione di
nuove tecnologie senza costringere a cambiare anche quelle disponibili.
Un secondo aspetto è costituito, come accennato, dalla possibilità di gestire con uno switch
fibre channel i diversi flussi in transito senza
creare colli di bottiglia.
A questo va aggiunto anche la disponibilità di
una cache virtuale interna di tipo RAID, che
permette di gestire lo scambio dei flussi tra
applicazioni e volumi logici senza rallentare il
flusso dati e garantendo un livello di performance adeguato alle specifiche applicazioni.
Il trasferimento dei dati che riceve dai server
viene realizzato da CentricStor in modalità
asincrona tra la memoria RAID e le unità fisiche della libreria tape.
• Le versioni e le caratteristiche
dei modelli CentricStor
La famiglia CentricStor comprende il modello
100 ed il modello 400.
Il 100 è proposto da FSC per ambienti open
system di medie dimensioni o con mainframe
della fascia medio bassa, per il consolidamento di piattaforme omogenee.
È fornito in configurazione standard e come
soluzione “ready-to-go” con librerie e drive.
Supporta un equipaggiamento fisico in termini
di drive reali variabile da 2 a 4, a cui corrispondono sino a 32 drive virtuali. La cache
equipaggiata va da 0,6 a 2,7 Terabyte. Ha delle
performance di targa che vanno dai 50 ai 150
MB/s.
Caratteristiche nettamente superiori in termini di capacità quelle del modello superiore
della famiglia, il CentricStor 400. L’apparato è proposto da
Fujitsu Siemens Computers per ambienti
caratterizzati da open
system di grandi
dimensioni, Mainframe e Data Center, e
da una tipologia eterogenea di sistemi di
elaborazione.
È una soluzione
caratterizzata da una
scalabilità molto spinta che prevede da 4 a
32 drive reali a cui corrispondono da 64 a 512
drive virtuali. Fortemente espandibile anche la
cache interna, che può andare da 0,6 a 38,4
Terabyte, e il livello di performance, che va da
50 a 1200 MB/s.
In entrambi i modelli, estremamente ampia
anche la tipologia di drive per tape (LTO,
Magstar, T9840 e T9940) e di librerie utilizzabili. In particolare, le librerie supportate
sono i modelli Scalar 100/1000/10000 e AML
di ADIC e i modelli L180, L700, L5550,
Powerhorn 9310 e TimberWolf 9740 di Storagetek.
G.S.
Esempio di utilizzo di
CentricStore in un
sistema aperto
45
Server e Storage
Un “accesso diretto” alla
virtualizzazione dei server
Le prime specifiche del protocollo RDMA aprono interessanti prospettive
per l’accesso alle applicazioni e allo storage. Attesa per iSCSI 2
S
i può chiamare ottimizzazione o “guerra
agli sprechi”, a seconda che si prediliga il
linguaggio ingegneristico o quello quotidiano, ma l’obiettivo resta sempre quello:
sfruttare al massimo le risorse disponibili in
azienda. I vendor si sono affrettati a sviluppare tecnologie innovative per il consolidamento di tali infrastrutture. Prima fra tutte, la virtualizzazione è stata il leit motif dell’ultimo
anno/anno e mezzo.
I principali vantaggi si sono ottenuti nell’ambito dello storage, dove virtualizzare sembra
essere diventato un obbligo. Infatti, la possibilità di poter considerare tutte o quasi le risorse di memorizzazione come un unico grande
file system porta indubbi e immediati benefici,
riducendo il numero di dispositivi necessari.
Analoghi benefici si possono ottenere nell’ambito dei server, dove le tecnologie di virtualizzazione consentono di utilizzare le risorse di
elaborazione normalmente non impiegate.
Dietro il software che consente di gestire
tutto questo, peraltro, esistono caratteristiche
hardware ben precise che devono essere soddisfatte. Nello specifico, è necessario che le
risorse “virtuali” possano comunicare tra di
loro in maniera sicura e veloce. Non a caso,
queste tecnologie, concettualmente concepite
nelle università già molti anni fa, sono emerse
recentemente in seguito all’evoluzione delle
topologie di rete e delle prestazioni delle stesse. All’aumentare di tali prestazioni, cresce il
desiderio di superare i colli di bottiglia che
tempi di risposta di alcuni sistemi ancora creano nell’infrastruttura.
Nel tempo, sono state sviluppate soluzioni
proprietarie, alcune delle quali sono assurte a
46
Server e Storage
standard industriali spinte da consorzi più o
meno indipendenti, soprattutto con l’intento
di aumentare le prestazioni di I/O.
InfiniBand e VIA (Virtual Interface Architecture), due tra i più noti, altro non sono che
diverse tecniche di RDMA (Remote Direct
Memory Access), un protocollo di comunicazione che definisce le modalità di trasmissione
di dati direttamente dalla memoria di un computer a quello di un altro senza coinvolgere la
CPU. Tale protocollo viene implementato
direttamente nell’hardware della scheda di
rete ed è stato sviluppato con lo scopo di
rispondere all’incremento di prestazioni del
networking. A quest’ultimo, si aggiunge anche
il vantaggio di liberare la CPU da incombenze
di I/O permettendo che si concentri sulle
applicazioni.
• iSCSI e RDMA uniti
in nome delle prestazioni
Un altro protocollo che, in buona sostanza, si
propone lo stesso obiettivo, è iSCSI (Internet
SCSI), la cui adozione è stata finora relativamente rallentata dalla scarsa interoperabilità
con altri standard diversi dallo SCSI, ma maggiori prospettive sono previste con la seconda
release di iSCSI che sarà basata su RDMA. Ma
bisognerà aspettare probabilmente il 2005 per
iSCSI 2. Del resto, l’RDMA Consortium ha
completato la definizione delle specifiche iSER
(iSCSI Extensions for RDMA) solo lo scorso
31 ottobre. Mentre già quest’anno si dovrebbero vedere le prime schede di rete che supportano la release 1.0 delle specifiche di base
per l’implementazione di RDMA over TCP/IP,
il cui primo draft è disponibile dall’ottobre
2002 ed è stato completato nella primavera
del 2003.
Il consorzio ha lavorato alacremente ed è probabile che i risultati sul mercato arriveranno
presto, visto i nomi delle società che lo hanno
fondato: Adaptec, Broadcom, Cisco, Dell, EMC,
HP, IBM, Intel, Microsoft e Network Appliance,
cui si sono aggiunte altre primarie aziende del
settore.
Con i rilasci del 31 ottobre 2003, RDMA Consortium ha ultimato le specifiche pianificate,
ponendo le basi per lo sviluppo delle soluzioni basate su RDMA e che potranno trarre
vantaggio anche dalla definizione del protocollo Sockets Direct Protocol (SDP). Quest’ultimo mette in comunicazione diretta hardware
compatibile RDMA con il “socket layer” delle
applicazioni Internet, le quali potranno sfruttare i vantaggi dell’accesso diretto alla memoria,
senza bisogno di essere modificate. La disponibilità di tutte le specifiche consentirà ai
costruttori di realizzare i primi prodotti
RDMA per il networking, l’Inter-Process
Communication (IPC) e lo storage, mentre il
consorzio si dedicherà a supportare il processo di standardizzazione del protocollo presso
l’IETF che si occuperà dei successivi sviluppi.
iSCSI, in ogni caso, dovrà combattere anche su
altri fronti la battaglia con Fibre Channel,
anche se RDMA risolverà, a detta di molti analisti, la maggior parte dei problemi di latenza
con lo stack IP.
all’applicazione, in quanto l’applicazione stessa
non deve eseguire una chiamata al kernel per
accettare i comandi dalla NIC.
Questo meccanismo riduce anche il traffico di
segnalazione per la gestione del traffico sulla
rete, in quanto la comunicazione avviene
direttamente tra le NIC dei computer in cui
un’applicazione ha effettuato una richiesta di
lettura o scrittura RDMA. L’indirizzo di
memoria virtuale remota necessaria per l’operazione è contenuto direttamente nel messaggio RDMA e l’unica cosa che l’applicazione
deve fare è registrare i dati sul buffer di
memoria della propria NIC.
Ovviamente, si è pensato anche alla sicurezza:
un’applicazione può proteggere la propria
memoria da accessi remoti arbitrari impiegando una chiave, il cui valore deve essere specificato dal richiedente.
Uno degli ambiti in cui si aspettano i primi
risultati dall’impiego di RDMA è il clustering,
le cui prestazioni possono essere notevol-
Accesso diretto
alla memoria per le schede
di rete compatibili RDMA
• Basso overhead
con il kernel bypass
Le prestazioni dell’RDMA sono ottenute principalmente mediante due tecniche, che consentono di ridurre la latenza minimizzando la
richiesta di banda e l’overhead di elaborazione. Il primo accorgimento prevede la realizzazione di un protocollo di trasporto affidabile
direttamente sull’hardware della NIC (Network Card Interface) e il secondo consiste nel
bypass del kernel, che permette di evitare
copie dei dati in buffer intermedi.
Le schede di rete, infatti, possono trasferire i
dati direttamente dalla memoria dedicata
mente aumentate, anche grazie alla compatibilità di RDMA con librerie quali Direct Access
Provider Library, Message Passing Interface e
Virtual Interface Provider Library e anche con
file system DAFS (Direct Access File System).
La combinazione con SCSI, prevista anche dal
protocollo SRP (SCSI RDMA Protocol), inoltre, dovrebbe favorire l’accesso storage dei
blade server.
G.D.B.
47
Server e Storage
HP lancia nuove soluzioni NAS
per le piccole e medie imprese
Annunciati nuovi prodotti NAS StorageWorks e consolidata la partnership
con Microsoft con l’adozione di WSS2003 e il programma “Easy as NAS”
H
Roberto Patano,
NAS Business
Manager di HP
48
Server e Storage
P ha reso disponibile una famiglia di
soluzioni NAS adatte alle esigenze
delle PMI, con l’obiettivo dichiarato
di fornire una soluzione in grado di far fronte
ad una ampia gamma di esigenze funzionali e di
necessità elaborative.
Nonostante una informatizzazione non trascurabile, solo una piccola parte di queste
aziende si sta però rivolgendo a configurazioni di storage NAS preconfigurate e l’alternativa adottata finisce con l’essere spesso basata
su soluzioni generiche, costituite da server,
che non dispongono di quel livello di prestazioni, di semplicità di utilizzo, di gestione e di
ottimizzazione che invece possono garantire
soluzioni NAS specializzate.
Va poi considerato,
osserva
Roberto
Patano, NAS Business
Manager di HP, che in
questo mercato l’88%
dei sistemi operativi
utilizzati è Microsoft
ed è questa la realtà
tipica dove una soluzione NAS correttamente dimensionata
e posizionata permette di fornire un effettivo
valore aggiunto.
Uno dei punti centrali dell’approccio aperto
HP alle tecnologie NAS e SAN è la complementarietà tra le due soluzioni, con la disponibilità di modelli della famiglia NAS StorageWorks che permettono di realizzare quella
che HP riferisce come “NAS-SAN fusion”, e
cioè la possibilità di disporre dei vantaggi di
entrambe le tecnologie di storage all’interno
di un’unica piattaforma.
• Servizi NAS di base
e a valore aggiunto
La risposta alle esigenze delle aziende, ritiene
HP, è una soluzione NAS che abbini a caratteristiche di base un insieme di servizi a valore
aggiunto, che sono poi quelli che fanno la differenza tra le varie soluzioni presenti sul mercato. Tra le caratteristiche di base vi è il sistema operativo, che è ovviamente fondamentale
ma che HP ritiene debba essere di tipo aperto, e cioè coprire la maggior parte possibile
delle realtà applicative aziendali. Non è quindi
un caso che la sua nuova linea di NAS sia basata sul sistema operativo Microsoft Windows
Storage Server 2003 (WSS 2003).
Un secondo elemento di base è la gestione,
che nelle soluzioni HP può essere realizzata
da remoto tramite browser Web.
Un terzo elemento è la connettività, che deve
permettere di inserire la NAS all’interno della
rete aziendale indipendentemente dalla tipologia dei Client installati, Windows, Unix,
Linux, eccetera, e, soprattutto, senza la necessità di acquisire licenze aggiuntive.
A queste caratteristiche di base HP ha però
aggiunto delle funzionalità che ne costituiscono un consistente valore aggiunto.
Ad esempio, per aumentare il livello di disponibilità della NAS aziendale i sistemi NAS StorageWorks 4000s e 9000s (che si posizionano
nella parte alta della sua gamma di soluzioni
NAS) possono essere configurati in cluster e
con il nuovo sistema operativo WSS 2003 possono supportare sino a 8 nodi. Un secondo
aspetto è la replica locale o remota dei dati.
Questa funzione è fornita da un prodotto
chiamato OpenView Storage mirroring, che
permette di effettuare la replica remota tra
NAS e Server, gestisce il fail-over e la banda
trasmissiva disponibile in rete.
Un ulteriore aspetto è connesso alla funzione
di snap-shot, una modalità di cui si parla da
tempo ma generalmente nell’ambito di sistemi
di fascia alta. L’adozione di WSS 2003 ha permesso a HP di inglobare questa funzione nelle
sue soluzioni NAS per la gamma PMI, con la
possibilità di realizzare copie point-in-time
che possono essere utilizzate per effettuare il
back-up dei dati senza fermare l’operatività
dei sistemi. Un ultimo aspetto è la possibilità
di operare in un contesto aperto, continuando
ad utilizzare soluzioni già esistenti, sia per ciò
che concerne le funzioni illustrate che per
quanto concerne servizi antivirus.
• Le soluzioni della famiglia
NAS StorageWorks
La visione aperta di HP per il segmento NAS
dedicato alle PMI si è concretizzato in nuove
soluzioni basate su WSS 2003 che sono già in
commercio, installate e operative. La famiglia
comprende i modelli NAS StorageWorks
serie 1200s, 2000s, 4000s e 9000s.
L’entry level è costituito dal prodotto NAS
1200s. Di questo sono disponibili tre modelli,
con capacità di storage rispettivamente di 320
Gbyte, di 640 Gbyte e di un Terabyte. Sono
equipaggiati con un processore Pentium 4 a
2.4 GHz e, aspetto fondamentale, sono dei
“box” chiusi preconfigurati che una volta
installati sulla rete Ethernet sono immediatamente utilizzabili. I modelli sono dotati di funzione RAID, del supporto per il back-up e di
antivirus. A questo aggiungono le funzioni
intrinseche al sistema operativo WSS 2003. Il
prezzo di ingresso di listino è di 2760 euro.
Il gradino superiore è costituito dal modello
2000s, che espande la capacità di storage sino
a 27 Terabyte, anche in questo caso con sistema operativo WSS 2003. I dischi sono di tipo
SCSI e protetti, oltre che tramite RAID, anche
con l’esclusivo RAID ADG (Advanced Data
Guarding), una soluzione già presente all’interno dei Server Proliant che permette di far
fronte anche alla rottura contemporanea di
due dischi L’hardware di base è costituita dal
Proliant DL 380, customizzato per NAS e
dotato di doppio alimentatore e 8 ventole.
Il gradino superiore è costituito dal modello
4000s, che apre la strada a soluzioni miste SAN-NAS e che è
possibile inserire in una SAN
già esistente oppure integrare con soluzioni storage di HP, ad esempio
con soluzioni MSA 1000.
Dispone di un processore più veloce del
modello inferiore, può essere equipaggiato
con uno o due processori ed ha una memoria
di storage scalabile sino a 48 Terabyte.
La soluzione più potente della gamma è il
modello 9000s, che è caratterizzato da una
maggiore espandibilità rispetto al 4000s in termine di slot PCI, dispone di un maggior livello
di affidabilità ed è particolarmente adatto per
essere connesso a soluzioni storage della
fascia enterprise, ad esempio una soluzione
HP Enterprise Virtual Array (EVA).
Il modello NAS 1200s
• Il programma “Easy as NAS”
Oltre ad averne adottato il sistema operativo
WSS2003, HP, con Microsoft, ha avviato una
iniziativa integrata rivolta ai suoi clienti ed al
canale riferita come “Easy as NAS". L’iniziativa
ha l’obiettivo di rafforzare il suo impegno nella
diffusione del know-how e delle tecnologie
storage anche per ciò che concerne la fascia di
mercato di entry-Ievel. L’iniziativa, secondo
Enrico Ivaldi, Network Storage Solutions
Country Manager HP per l’Italia, copre le esigenze delle PMI e ingloba una gamma di servizi di supporto volte a facilitare l’aggiornamento e il consolidamento di ambienti storage
NAS anche da parte di chi non dispone della
esperienza necessaria. “Easy as NAS" fa parte
della strategia Adaptive Enterprise di HP e
comprende servizi di formazione, training tecnico e assistenza.
G.S.
49
Server e Storage
Lo storage su disco in equilibrio
tra prestazioni e capacità
La disparità tra quantità di dati memorizzati e velocità di accesso
può penalizzare le prestazioni e determinare un sottoutilizzo dello storage
L
a capacità di memorizzazione dei dischi
magnetici è stata caratterizzata, nell’ultimo decennio, da una crescita sorprendente, grazie soprattutto a un aumento
della densità di registrazione a un ritmo di
oltre il 60% annuo. A questa crescita in termini di capacità non ha fatto però seguito un
incremento di pari livello per quanto riguarda
le prestazioni, che sono aumentate di circa il
10% all’anno.
L’evoluzione tecnologica degli hard disk, per
quanto riguarda le prestazioni, si è sviluppata
essenzialmente su tre aspetti: migliorare la
parte meccanica, migliorare i controller e ottimizzare il firmware per specifici task.
Sul versante della meccanica va ricordato che,
per quanto sia grande la sua capacità di storage, un hard disk comprende un solo meccanismo attuatore per lo spostamento delle testine di lettura/scrittura presenti per ogni piatto
e che queste possono essere posizionate solo
su un cilindro del disco per volta.
Gli sforzi per ridurre il tempo medio di accesso ai dati si sono dunque concentrati verso un
posizionamento più preciso delle testine e sull’incremento di velocità di rotazione dei dischi
(arrivata attualmente a 15.000 giri al minuto,
su dischi SCSI o FC).
Il tempo medio di accesso ai dati può essere,
infatti, considerato come la somma del tempo
medio di latenza e di quello medio di ricerca.
Il tempo di ricerca è quello impiegato dalla
testina per posizionarsi sulla traccia desiderata, dopo che ha ricevuto l’opportuno comando. Il tempo di latenza è invece quello richiesto affinché i dati raggiungano la testina. Dopo
che la testina si è posizionata sulla traccia del
50
Server e Storage
disco è, infatti, possibile che il settore desiderato si trovi al di sotto di essa (tempo di latenza nullo) oppure che sia stato sorpassato dalla
testina. In questo ultimo caso il disco deve
compiere ancora un’intera rotazione e, per un
disco con velocità di rotazione di 15.000 rpm,
il tempo necessario per una rivoluzione è di 4
ms. Ne consegue che il tempo di latenza
medio nominale per un disco di questo tipo è
di 2 ms.
Andrebbe poi aggiunto il tempo necessario
per il trasferimento dei dati dalla testina al
bus, che può però essere trascurato rispetto
agli altri due.
Nell’ambito dei controller l’evoluzione si è
sviluppata essenzialmente nella velocità dei
processori degli hard disk, aumentando la
dimensione della memoria cache (fino a 16
MB negli HDD più performanti) e incrementando l’ampiezza di banda dell’interfaccia. L’ultima innovazione, in tal senso, riguarda l’interfaccia SATA (Serial ATA), che consente di
superare in termini di velocità di trasferimento dati e di affidabilità l’interfaccia di tipo PATA
(Parallel ATA).
• Crescono le esigenze di IOPS
Un parametro utile per dare una misura del
bilanciamento tra prestazioni e capacità è la
densità di accesso, definito come il rapporto
tra le prestazioni misurate in IOPS (Input/output Operations Per Second) e la capacità
misurata in Gigabyte.
In configurazioni storage dell’ordine di 2-3 TB,
la densità di accesso è di solito mantenuta ben
superiore a 1 ma, al crescere della capacità, il
valore di questo parametro può scendere al di
sotto dell’unità. Per esempio, un sistema di
dischi in grado di supportare 4.000 IOPS complessivi a cui sia associata una capacità complessiva di 2 TB fornirà una densità di accesso
di 2 mentre, nel caso in cui la capacità sia di 10
TB, essa si abbasserà a 0,4. Un basso valore
della densità di accesso non significa, però,
necessariamente, un basso livello di prestazioni. Molto dipende dalle caratteristiche dei dati
a cui si deve accedere; nel caso in cui, per
esempio, una gran parte dei dati viene consultata solo saltuariamente, una densità di accesso di 0,4 può essere in grado di rispondere in
modo efficace ai requisiti aziendali.
Se consideriamo lo storage necessario per le
applicazioni OLTP che accedono alle informazioni presenti in un database (spesso quelle di
tipo più critico per le grandi aziende), esso
raramente richiede una scalabilità verso l’alto
in termini di capacità ma, più spesso, risulta
fondamentale garantire l’accesso contemporaneo a un maggior numero di utenti. Inoltre le
applicazioni OLTP, servendo molti utenti
simultaneamente, tendono a non utilizzare un
accesso sequenziale, ma uno di tipo random.
Questo rende inefficace l’assunzione della
maggior parte degli algoritmi di cache, che il
dato successivo a cui riferirsi sia quello nella
posizione immediatamente adiacente.
Nelle applicazioni di supporto decisionale il
principio di prossimità utilizzato negli algoritmi di cache può risultare utile, ma le prestazioni risultano migliori se si i dati vengono distribuiti su più dischi a cui si possa accedere in
parallelo, anche se non tutti i database gestiscono in modo ottimizzato questo tipo di
memorizzazione.
Un sito Web, invece, tende a generare flussi
transazionali misti, che includono aggiornamenti, letture casuali e richieste di dati multimediali di dimensione molto variabile e quindi
il rapporto tra capacità e prestazioni va valutato in modo opportuno.
Per ottenere un throughput maggiore all’interno di un’architetture SAN, risulta più efficace utilizzare un numero superiore di dischi
a più bassa capacità rispetto a fornire la stes-
sa capacità attraverso meno dischi di grandi
dimensioni. Spesso si ricorre a un notevole
numero di dischi che viene sottoutilizzato per
capacità, attraverso l’utilizzo della tecnica di
“short stroking”, che permette di scrivere i
dati solo sulla parte più esterna, condensandoli su una superficie minore e riducendo così
il tempo di ricerca. Queste configurazioni cercano di evitare che le prestazioni del disco
diventino il collo di bottiglia prestazionale del
sistema.Tuttavia, l’infrastruttura necessaria per
supportare un grande numero di dischi determina un incremento di costi del sistema.
ALCUNI ESEMPI DI PRESTAZIONI DI HARD DISK IN COMMERCIO
Tecnologia
Capacità
Velocità
Tempo medio
Tempo medio
di rotazione
di latenza
di ricerca
PATA
250 GB
7.200 rpm
4,20 ms
8,9 ms
SATA
73 GB
10.000 rpm
2,99 ms
4,5 ms
SATA
250 GB
7.200 rpm
4,16 ms
8,5 ms
SCSI
146 GB
10.000 rpm
2,99 ms
4,75 ms
FC
73 GB
15.000 rpm
2,0 ms
3,6 ms
L’uso di un numero maggiore di dischi determina minore affidabilità, maggiore costo di
componenti, la richiesta di uno spazio maggiore e un superiore consumo elettrico per l’alimentazione e la dissipazione del calore.
Richiede anche maggiore memoria principale
per mantenere un rapporto adeguato con i
dischi e, inoltre, determina un costo gestionale aggiuntivo legato al personale amministrativo e alla manutenzione. Insomma, in altre
parole, porta a un superiore TCO.
La continua crescita delle prestazioni delle
diverse componenti IT (memoria, CPU, banda
trasmissiva) è destinata a portare richieste
sempre maggiori in termini di IOPS.
La battaglia di prestazioni coinvolge tutti i produttori di HDD. Le performance dei singoli
dischi rappresentano, però, solo il punto di
partenza, poiché la sfida coinvolge soprattutto
i principali fornitori di storage, che dovranno
essere in grado di proporre sottosistemi in
grado di distinguersi sulla base dell’utilizzo
dell’intera capacità e di un’architettura prestazionale scalata in modo proporzionale alla
capacità fornita.
R.F.
51
Server e Storage
HP prosegue sulla strada
della convergenza
Annunciato il nuovo PA-RISC 8800 che presenta importanti caratteristiche
di compatibilità con Itanium. Rilasciato un nuovo Integrity entry level
H
P BCS (Business Critical Systems)
prosegue nell’aggiornamento della
propria gamma di server, fedele
all’annunciata strategia di sviluppo delle piattaforme Integrity e di quelle tuttora basate su
architetture RISC e Alpha. La casa di Palo Alto
ha più precisamente rilasciato il nuovo processore PA-8800 e il nuovo server Integrity
rx1600 basato su Itanium2 Deerfield.
L’arrivo del nuovo processore PA-RISC era
molto atteso da quel gruppetto di scettici che
non prestava fede alla roadmap annunciata da
HP all’indomani della decisione di puntare sull’archittura IA64. Si tratta, dunque, di un’importante conferma delle intenzioni della
società statunitense di mantenere l’impegno
che la vedrà sviluppare l’architettura PA e venderne i relativi prodotti almeno fino al 2006,
continuandone il supporto fino al 2011.
Vale la pena riprendere brevemente i passi
fondamentali di tale roadmap. Di fatto, HP ha
avviato un processo di razionalizzazione della
gamma server in tre famiglie: HP NonStop HP
Integrity e HP Proliant. Questi ultimi sono
basati sull’architetture IA32 di Intel, mentre le
altre famiglie saranno interamente basate sull’architettura Itanium, il cui progetto ha visto
la collaborazione di Intel e HP. Mentre i NonStop dal prossimo anno saranno costruiti con
processori IA64, gli attuali sistemi PA-RISC e
Alpha convergeranno su questa piattaforma,
entrando a far parte della linea Integrity, più
avanti. “Il processo – ci ha spiegato Simone
Bruni, marketing manager dell’area server di
HP BCS – è stato disegnato per consentire
agli utenti di proseguire con tranquillità il loro
progetto evolutivo”.
52
Server e Storage
• Un passo verso la convergenza
su Itanium
La scelta di HP è tecnologicamente strategica.
La convergenza verso una piattaforma, come
quella Itanium, standard di mercato e allo stesso tempo dotata della flessibilità necessaria a
rendere possibili implementazioni avanzate e
personalizzate, permette alla casa di Palo Alto
di portare sul mercato server dalle elevate
prestazioni ottimizzando i costi.
Conteporaneamente, però, HP può continuare a sfruttare l’esperienza maturata sulle altre
piattaforme. La roadmap disegnata, dunque,
non è solo uno strumento per mantenere la
fiducia dei clienti, ma anche un logico percorso di prosecuzione del cammino tecnologico
intrapreso.
Una conferma indiretta di ciò, nonché la dimostrazione della strada fatta verso la convergenza, si trova nell’architettura del nuovo PARISC. Il nuovo PA-8800 giunge a poco meno di
tre anni di distanza dal PA-8700 (poi aggiornato con la versione + del 2002) e sarà seguito
dal PA-8900 già l’anno prossimo, anche se è
lecito supporre che non giungerà prima della
fine del 2005.
Primo dual-core di HP, PA-8800 può essere
montato nelle celle SX1000, che sono già
adesso utilizzate con i chip Itanium 2. Poiché è
la cella che abilita il processore è in realtà quest’ultima a garantire la compatibilità tra le due
architetture. Il passaggio da una all’altra, in
altre parole, può avvenire in maniera pressoché indolore. Del resto, l’interesse da parte
degli utilizzatori è alto. Lo stesso Bruni
ammette che sono molti i clienti che sono
passati alla nuova architettura e tanti altri
quelli che chiedono informazioni e che sono
interessati a pianificarne l’introduzione nei
loro sistemi.
L’unico limite, rispetto a sistemi che peraltro
sono sul mercato da una quindicina d’anni, è
sul fronte delle applicazioni, dove, peraltro, la
casa statunitense si sta impegnando in molte
attività, coinvolgendo direttamente gli ISV
(Independent Software Vendor) per favorire il
porting verso Itanium. A questo proposito, PA8800 è pronto per supportare HP-UX 11 v3,
che unificherà le versioni del sistema operativo per le due famiglie di processori, permettendo di passare da una all’altra con una semplice ricompilazione.
nuova macchina, infatti, è stata progettata con
l’obiettivo, dichiarato dai responsabili stessi
della multinazionale statunitense, di ridurre il
rapporto prezzo prestazioni rispetto ai prodotti entry level della fascia al di sotto della
quale bisogna cercare tra i sistemi IA32. In
tale fascia, finora HP si era posizionata ai limiti superiori, fornendo poche alternative a
sistemi dal prezzo più contenuto della concorrenza.
Integrity rx1600 è un dual processor che,
anche per mantenere un adeguato livello di
prestazioni, adotta il chip LV Itanium 2, noto
come Deerfield, caratterizzato da frequenze
di clock da 1 GHz e da un basso consumo di
potenza elettrica.
Il nuovo Integrity rx1600
• I vantaggi del nuovo PA-8800
Il PA-8800 è disponibile con due gradi di prestazioni, a 800 MHz e 1 GHz, e presenta due
CPU su un singolo chip che ospita due 8700,
rispetto al quale risulta compatibile a livello
binario.
Ciascuna di queste è dotata di una cache L1,
cui si aggiunge una cache unificata da 32 MB,
con un cache controller avanzato, che, a detta
dei responsabili della società, permette di
aumentare notevolmente le prestazioni. Le
stime parlano di un incremento dal 30% al
50% a seconda dei benchmark che si vanno a
considerare. A questo si aggiunge l’utilizzo del
bus di sistema ad alte prestazioni di Itanium 2,
a ulteriore conferma della convergenza.
HP garantisce la salvaguardia degli investimenti, in quanto il passaggio dal PA-8700 al nuovo
processore consente di aumentare le prestazioni, senza necessità di cambiare il sistema (a
meno di voler sfruttare le dimensioni ridotte
dei nuovi chassis). In particolare, risulta accresciuta la scalabilità, grazie al fatto che é possibile raddoppiare la capacità di elaborazione di
ogni macchina, che arrivano così a supportare
da 2 a 128 processori.
• Un nuovo Integrity
di fascia bassa
Con il nuovo rx1600, HP manifesta intenzioni
aggressive sulla fascia bassa del mercato. La
Tra le altre caratteristiche dell’apparato si
segnala: capacità da 6,4 GB/s system; memoria
da 8,5 GB/s; DDR SDRAM da 16 GB; 3,5 GB/s
di I/O; due slot 64-bit PCI-X a 133 MHz;
memoria di massa fino a 292 GB; supporto di
sistemi operativi HP-UX e Linux (Windows e
OpenVMS arriveranno in un secondo
momento).
Caratterizzato da un fattore di forma che ne
consente il montaggio in rack, dove occupa
un’unità di altezza, il nuovo dual processor
scala decisamente verso il basso le caratteristiche del modello Integrity rx2600, consentendo ad HP, stando alle dichiarazioni dei
responsabili della società, di fornire un prodotto in linea con le aspettative di questa
fascia di mercato. In ogni caso, si tratta di una
macchina che presenta prestazioni anche di
elevata disponibilità: più precisamente, secondo i dati forniti dal costruttore, rx1600 è
dotato di dischi rimovibili a caldo, tecnologia
chip spare, capacità di de-allocation della CPU
in caso di guasto e supporto clustering. Del
resto il prodotto è stato pensato anche per
applicazioni di High Performance Technical
Computing.
G.D.B.
53
Server e Storage
IBM si rafforza nei blade
e nei server a 4 vie
La società annuncia i sistemi quadriprocessore Blade Center HS40
e xSeries 365 e si appresta a rendere disponibile il blade JS20 con PowerPC
L
Il Blade Center
HS40 a 4 vie
54
Server e Storage
e esigenze aziendali di consolidamento
dei carichi di lavoro e di semplificazione dell’infrastruttura stanno incrementando il consenso verso i piccoli sistemi quadriprocessore (che riescono a coniugare compattezza ed elevata capacità elaborativa) e dei
blade server, che rispondono a strategie di
crescita di tipo on-demand.
Ad alimentare la diffusione dell’architettura
blade concorrono una serie di aspetti che aiutano a ridurre i costi IT quali le funzioni di
autoconfigurazione “al volo”, la capacità di
upgrade o downgrade basata sui cambiamenti
nelle richieste di carico di lavoro, la semplicità
gestionale, la riduzione dello spazio occupato
e la possibilità di amministrazione centralizzata dell’infrastruttura server.
Sebbene i blade server rappresentino ancora
una piccola frazione rispetto al totale di server consegnati, l’importanza strategica di questa architettura continua a crescere e questo
segmento è quello in più rapida crescita all’interno del mercato globale dei server, tanto
che Idc prevede che il 20% di tutti i server che
saranno consegnati nel 2007 sarà di questo
tipo.
A partire dallo scorso anno Ibm è presente sul
mercato con una serie di blade server
biprocessore a 32 bit ad alte prestazioni che comprende anche
moduli con funzioni di
switch o firewall
integrate,
allo
scopo di facilitare
ulteriormente
il
processo di consolidamento. Secondo dati Idc, nel terzo trimestre
fiscale 2003, la gamma di apparati blade ha
portato a Ibm un revenue di 57 milioni di dollari con 18000 consegne.
• La potenza di 4 vie e la flessibilità
di scegliere Xeon o PowerPC
Ibm ha realizzato ora il BladeCenter HS40,
che rappresenta il primo blade server a quattro vie e il più potente e flessibile modello
della gamma. Il nuovo blade server è basato
sul processore "Gallatin" Xeon MP supportato nelle versioni a 2, 2.5 e 2.8 GHz; dispone di
una memoria cache di 1 MB e supporta fino a
16 GB di memoria principale su otto slot
DIMM (Dual In-line Memory Module). La
motherboard ospita quattro NIC, con l’opzione per inserire altre quattro schede, offrendo
la possibilità di avvantaggiarsi dell’integrazione
di switch Fibre Channel o Ethernet Layer 2-7
all’interno dello chassis blade server.
Il BladeCenter HS40 amplia l’offerta Ibm nell’ambito dei blade server e si aggiunge al
modello HS20 biprocessore Intel Xeon a 32
bit (rilasciato lo scorso anno) e al JS20, annunciato a Novembre e disponibile da Marzo, che
rappresenta il primo blade server ad adottare
il processore Ibm PowerPC 970 a 64 bit, che
deriva dalla tecnologia POWER4 attualmente impiegata nei
sistemi IBM eServer
pSeries.
L’eServer BladeCenter
JS20 sarà inizialmente disponibile in versione per Linux (sia
SuSE sia Turbolinux) e presto supporterà anche Red Hat, mentre quella per AIX
è prevista per il terzo trimestre 2004.
Grazie alla presenza di questi nuovi modelli, la
gamma blade di Ibm si adatta ora alle più
diverse esigenze aziendali, mettendo a disposizione una scelta di sistemi a due o quattro vie,
a 32 o 64 bit e basati su CPU Intel o
PowerPC. Inoltre Tim Dougherty, direttore
per gli eServer BladeCenter, ha dichiarato che,
sulla base di eventuali richieste dei clienti, Ibm
potrebbe decidere di offrire anche un blade
server a quattro vie basato su PowerPC.
L’HS40 si addice a carichi di lavoro superiori
rispetto all’HS20, inclusi quelli associati a soluzioni ERP (Enterprise Resource Planning),
database e alle applicazioni di front-end come
quelle PeopleSoft, SAP, Siebel e J. D. Edwards
(che tendono a girare su server a quattro vie).
L'HS40 ricopre un ruolo importante nello
sforzo di Ibm indirizzato verso la semplificazione dell’infrastruttura. I nuovi blade server
HS40 si inseriscono, infatti, direttamente all’interno dell’attuale chassis BladeCenter di
dimensione 7U e possono essere collocati
insieme ai server blade HS20 e JS20. È possibile alloggiare fino a sette sistemi IBM HS40 a
quattro vie in un unico chassis o quattordici
server HS20. Il blade HS40 sarà disponibile
con sistema operativo Windows 2000 Server
o Linux.
• Ibm eServer xSeries 365
Se l’HS40 rappresenta una scelta particolarmente adatta per enterprise collaboration e
progetti di server consolidation, attraverso
l’xSeries 365 Ibm realizza un apparato che,
grazie alle sue prestazioni e alla sua grande
capacità di memorizzazione interna, si dimostra ottimale per l’implementazione come server applicativo e database cluster.
L’eServer xSeries 365 è un sistema standalone
da rack che alloggia quattro processori Intel
Xeon MP, caratterizzato da un fattore di forma
3U e indirizzato a esigenze di alte prestazioni.
La grande capacità di memorizzazione interna
di questo server permette di slegarsi dalla
necessità di utilizzare sistemi storage esterni.
Dispone, infatti, di sei hard disk interni
Ultra320 SCSI che forniscono una capacità di
memorizzazione fino
a 876 GB; in alternativa è anche possibile
optare per una configurazione con quattro
dischi interni e un sistema DDS
di backup su nastro.
L’xSeries 365 utilizza la seconda generazione
del chipset Ibm EXA (noto con il nome in
codice Summit-II) che la società ha realizzato
per i propri server a 8 e 16 vie con Xeon MP
e Itanium 2.
Anche l’eServer xSeries 365 (come l’HS40)
supporta i processori Xeon MP Gallatin a 2,
2.5 e 2.8 GHz. È disponibile con una dotazione RAM da 1 GB oppure con 2 GB di memoria PC2100 DDR chipkill, con la possibilità di
espansione fino a 32 GB.
Questo server Ibm ha cinque slot PCI e può
ospitare altri 12 slot PCI e PCI-X tramite il
modulo opzionale RXE-100 (Remote eXpansion Enclosure) all’insegna di una scalabilità
delle prestazioni I/O progettata in un’ottica di
“pay-as-you-grow”. Include, inoltre, funzioni di
gestione remota attraverso il Remote Supervisor Adapter (RSA) integrato, che provvede al
monitoraggio costante del sistema.
Il server xSeries 365 si posiziona dopo il
modello 345 e prima dell’xSeries 445 (si veda
Direction n. 2): dispone, infatti, di alcune caratteristiche prestazionali e di opzioni di espandibilità superiori rispetto al 345, ma non di
tutte le caratteristiche high end e delle opzioni di scalabilità del 445.
R.F.
Ibm eServer xSeries 365
La soluzione eServer BladeCenter
for Bioinformatics
eServer BladeCenter for Bioinformatics è una soluzione completa progettata da IBM per fornire performance applicative e di calcolo a elevato
throughput, per il mondo della ricerca farmaceutica.
Le più diffuse applicazioni per l'analisi di sequenze come BLAST, FASTA e
HMMER sono state portate e precollaudate per girare in maniera ottimizzata sul sistema IBM eServer BladeCenter JS20. Questa nuova proposta dedicata al settore farmaceutico può, inoltre, includere i più noti
middleware e tool di sviluppo open source, mentre appositi servizi di
implementazione permettono di personalizzare la soluzione per il particolare ambiente.
55
Server e Storage
Le nuove basi dell’IT
L’anno trascorso ha accelerato la diffusione di tendenze già in atto
per l’ottimizzazione, il consolidamento e la virtualizzazione
N
on è una novità che sono i momenti di grandi criticità che accelerano i
cambiamenti, siano essi politici od
economici. L’IT in questo non è una eccezione
e l’anno trascorso ne è stata una dimostrazione concreta. La forte pressione sui budget disponibili per nuovi investimenti in tecnologie
ha costretto i responsabili IT a dosare con
molta attenzione le spese e a valutare i ritorni con una attenzione che raramente si è
osservata negli ultimi due decenni della storia
dell’informatica. Quello che si è verificato non
è però da considerare una cesura netta con il
passato.
Processi evolutivi volti alla ridefinizione dei
sistemi IT in chiave innovativa erano già avviati. Virtualizzazione, consolidamento, gestione
integrata di storage, server e rete erano già da
tempo all’attenzione e nell’interesse dei manager aziendali. Quello che mancava era uno stimolo, verrebbe da dire una necessità, che è
poi quello che si è verificato nel corso dello
scorso anno.
Peraltro, va osservato che la realizzazione di
soluzioni virtuali, di tecnologie hardware multiprocessore ad alta concentrazione, tecnologie blade, software per la virtualizzazione e di
gestione, applicazioni di back up automatico,
eccetera, non si improvvisano ma richiedono
anni di studio e centinaia di anni uomo di sviluppi.
Sarebbe semplicistico quindi pensare che i
fenomeni in corso siano il risultato di sviluppi
fatti a tambur battente dai produttori. Verrebbe da pensare quasi che i produttori stessi si
aspettassero un periodo di mercato “magro”
dopo anni di euforia e si stessero preparando
in sordina al momento di stazionarietà che
ancora interessa il settore.
56
Server e Storage
L’accelerazione tecnologica (e cioè più capacità e prestazioni a costi più bassi o perlomeno
pari) non è però il solo aspetto positivo della
crisi avutasi. L’altro elemento che solo ora sta
emergendo in tutte le sue implicazioni è che le
nuove tecnologie sono sempre più disponibili
alla categoria di aziende della fascia medio/piccola. Il fatto che anche una piccola azienda
possa ora dotarsi di server e di sistemi storage, multiprocessore, in cluster, eccetera, con
investimenti di base di poche migliaia di euro
è un effetto che non potrà non avere ricadute
positive, sia sui fornitori che su una fascia di
aziende che sino ad ora viveva in un certo qual
modo alla giornata le problematiche dell’IT.
Un esempio di questa migrazione verso il
basso, volta a mettere a disposizione delle PMI
tecnologie evolute lo si ha da una parte, come
accennato, dalla disponibilità di nuove piattaforme di calcolo e di storage, e dall’altra dalla
diffusione di nuove modalità di interconnessione in rete delle soluzioni di IT.
Un esempio immediato lo si ha se si pensa alla
diffusione dell’iSCSI. Senza entrare nel dettaglio, va evidenziato che questa tecnologia in
adozione da parte di molti produttori apre la
strada alla realizzazione su reti locali Ethernet
(praticamente presenti in quasi tutta la fascia
delle PMI), alla realizzazione di infrastrutture
di base omogenee tra ambiente IT e ambiente
Office, all’utilizzo dei nuovi switch Ethernet a
10 Gigabit in alternativa alle reti SAN e allo
sviluppo di soluzioni di back up remoto dei
dati utilizzando reti metropolitane IP oramai
accessibili a costi attraenti.
Possibilità e capacità sino a pochi mesi fa
esclusiva di aziende di primo piano. Verrebbe
da dire, non tutti i problemi vengono per nuocere.
G.S.
Microsoft certifica l’iSCSI di Adaptec
A
daptec ha annunciato di aver ottenuto,
per i suoi adattatori iSCSI per host bus,
la certificazione "Designed for Windows logo"
da Microsoft, che ne garantisce l'interoperabilità con i sistemi operativi Windows e consente l'installazione plug-and-play di SAN IP caratterizzate da un prezzo di entry point che
Adaptec ritiene particolarmente interessante
per la fascia delle PMI.
"La certificazione di compatibilità tra le soluzioni iSCSI e i sistemi operativi Windows, spingerà all'adozione di SAN IP economiche da
parte di molte delle piccole e medie imprese
che utilizzano le piattaforme Windows", ha
dichiarato Zane Adam, director of product
management e marketing di Enterprise Storage Division di Microsoft.
Secondo Stephen Owen, Product Manager di
Adaptec per l’area EMEA, la certificazione
ottenuta da Microsoft per i dispositivi hardware iSCSI è una conferma del suo impegno
nel mettere a disposizione ai propri clienti
soluzioni storage su base Windows e rappresenta una pietra miliare nell' offerta di soluzioni storage networking IP avanzate, che rendano semplice ed economico per le aziende
l'utilizzo di SAN ad elevate prestazioni e affidabilità.
La collaborazione di Adaptec con Microsoft ha
l’obiettivo di dar forma a un’architettura per i
suoi dispositivi hardware iSCSI e ha portato a
una soluzione strettamente integrata con il
servizio iSCSI di Microsoft e con l'architettura
iSCSI Microsoft per Windows.
La soluzione di Adaptec sostituisce a una rete
SAN Fibre Channel un’infrastruttura SAN
basata su IP Ethernet e si propone di rispondere alle esigenze specifiche delle piccole e
medie imprese, che hanno esigenze di storage
in continua crescita, ma necessitano di un'alternativa più economica rispetto alle tradizionali SAN.
Il FICON Brocade certificato per mainframe Ibm
B
rocade ha qualificato il supporto FICON
sul Brocade SilkWorm 12000 Director
per gli ambienti mainframe Ibm. Il supporto
FICON sullo switch Brocade consente il collegamento dei mainframe Ibm agli ambienti
SAN basati su Brocade, portando sulle Storage Area Network basate su mainframe, funzionalità di terza generazione quali ISL trunking, zoning rinforzato a livello hardware e
Secure Fabric OS.
"La disponibilità di FICON su SilkWorm
12000 Director offre l’opportunità di continuare a operare su mainframe, ma con un’apertura verso il mondo open - ha spiegato
Tino Prato, executive country manager di
Brocade Italia -. La certificazione giunge a
seguito di un’attività di testing svolta presso i
centri Ibm, di cui siamo molto soddisfatti e
che ha richiesto meno tempo del previsto".
Questo risultato si inserisce all’interno di una
collaborazione di lunga data tra Ibm e la socie-
tà americana specializzata in prodotti per
infrastrutture SAN, che opera in Italia attraverso una propria filiale.
"La partnership con Ibm va avanti da molto
tempo –ha continuato Prato-. La logica di Brocade è sempre stata quella di lavorare con
OEM e i nostri switch sono presenti sul listino Ibm. La filiale italiana di Brocade si propone di interagire con realtà locali OEM e di fare
opera di evangelizzazione presso gli utenti per
illustrare i vantaggi delle nostre soluzioni".
"Quando vendiamo soluzioni storage ci confrontiamo con due fasce di utenti –a aggiunto
a riguardo Luigi De Vizzi, storage systems
manager di Ibm south region-. Quelli medio
piccoli comprano una soluzione e non si
preoccupano delle componenti. Esiste poi una
fascia di clienti che compra un progetto e che
entra nel merito di ogni aspetto tecnologico.
E presso questi utenti è ben chiaro il valor
aggiunto offerto dalle soluzioni Brocade".
Tino Prato (a destra)
executive country
manager di Brocade Italia
e Luigi De Vizzi, storage
systems manager south
region di Ibm
57
Server e Storage
Un mercato 3G
in cerca di direzioni
Mentre si affacciano i primi servizi mobili a banda larga, l’attenzione si
focalizza sugli aspetti mediatici trascurando il valore aggiunto per l’utente
D
opo un lungo periodo di preparazione, sia tecnologica sia di marketing, la
terza generazione di servizi di comunicazione mobile è ormai entrata nel merito
della distribuzione presso gli utenti finali. La
disponibilità congiunta di operatori, infrastrutture tecnologiche e handset abilitati ha aperto
la strada a una serie di servizi di comunicazione che, grazie all’elevata velocità di trasferimento dati (fino a 384 Kbps con la tecnologia
UMTS), promettono di trasformare in realtà
una serie di applicazioni che appartengono, da
anni, all’immaginario collettivo.
Tra questi vi è certamente la videotelefonia,
che ha caratterizzato l’ambientazione di ogni
film di fantascienza dagli anni ’60 in poi o il
desiderio, più recente, di disporre di contenuti multimediali in modalità on-demand sui propri dispositivi mobili. In questo ambito ricadono, pertanto, i primi
servizi che stanno
per essere offerti (o
lo sono già) con l’obiettivo di alimentare
il desiderio di tecnologia e accelerare la
diffusione del sistema
3G.
Nonostante ciò, non
va considerato scontato prevedere quali saranno le applicazioni
mobili che alimenteranno nel futuro la nuova
generazione di servizi così come, del resto,
non appare ancora definito lo scenario evolutivo delle tecnologie a banda larga.
In realtà, per alcune tipologie di servizio quali
l’accesso a Internet o la messaggistica, le pre-
58
CommuniCation
stazioni, seppur inferiori a quelle dello standard UMTS, offerte dalla tecnologie GPRS o
EDGE (in grado di superare i 110 Kbps),
appaiono più che adeguate, con il vantaggio di
poter operare appoggiandosi alla rete GSM
esistente, anziché richiedere la costosa revisione dell’infrastruttura necessaria per
l’UMTS. Si tratta di considerazioni di non poco
conto considerando che la risposta del mercato ai nuovi servizi potrebbe determinare
migrazioni di consistenti investimenti o penalizzare taluni operatori rispetto ad altri.
• Servizi che portano
valore all’utente
È ragionevole pensare che il telefono cellulare
diventerà, a tutti gli effetti, uno strumento di
supporto allo stile di vita nell’ambito sociale,
del divertimento, dei viaggi e degli affari, completando un percorso che, già ora, lo ha visto
protagonista nella ridefinizione della comunicazione telefonica. Si tratta però di un processo che richiede ancora tempo.
Nel frattempo la tecnologia attualmente disponibile è già in grado di generare revenue. Il
telefonino viene così spesso caricato di tecnologia e commercializzato facendo leva su
servizi ancora “acerbi” che non creano un
reale valore aggiunto per l’utente, ma che vengono comunque recepiti da un mercato che,
sempre più spesso, è più interessato a ostentare la loro adozione che non a utilizzarli veramente.
L’eccessiva attenzione agli aspetti tecnologici
rispetto al valore per l’utente potrebbe rappresentare, sulla distanza, un ostacolo per il
vero decollo di servizi. Non si può evitare di
constatare come, attualmente, vi sia una focalizzazione eccessiva sul contenuto mediatico
dei nuovi servizi proposti. Se è vero che settori di mercato improbabili hanno incontrato
successi oltre ogni aspettativa (basti pensare a
quello dei messaggi, o delle suonerie), va compreso se è sensato considerare il telefonino
come uno strumento di intrattenimento o
non è invece il momento di dare risposta agli
utenti che chiedono servizi di maggiore utilità,
anche a pagamento.
Indagini di mercato hanno evidenziato, per
esempio, che la grande maggioranza degli
utenti di telefonia mobile gradisce ricevere
informazioni attraverso il telefonino ma che,
nel contempo, non è disponibile a pagare un
servizio di questo tipo poiché ha la possibilità
di accedere alle medesime informazioni attraverso altre fonti consultabili gratuitamente.
Anche per quanto riguarda i giochi si assiste a
un’analoga scarsa disponibilità da parte dell’utente a pagare per il servizio.
Nell’ambito dell’ascolto di musica analisti quali
Gartner individuano interessanti potenzialità,
ma anche in questo caso resta una scarsa predisposizione per il pagamento di un sevizio di
questo tipo, perché gli utenti preferiscono scaricare la musica da Internet e quindi riversarla sul telefonino; permane, inoltre, il problema
dell’autonomia delle batterie.
Insomma, il telefono cellulare non è ancora
considerato alla stessa stregua di una console
di videogame, di un riproduttore di musica o
di un televisore, ma resta ancora uno strumento indirizzato prettamente per la comunicazione vocale, che offre una serie di funzioni
accessorie utili nei momenti di pausa o a
tempo perso. In quest’ottica la tecnologia 3G
potrebbe consentire di portare l’affidabilità
della telefonia mobile allo stesso livello di
quella fissa.
Non è un caso che nell’Europa occidentale il
revenue del mercato delle applicazioni mobili
resti ancora saldamente concentrato nei servizi legati alla voce rispetto a quelli legati ai
dati, anche se questi ultimi sono in netta crescita. In Italia, su un valore complessivo del
mercato di telefonia mobile nel 2003 di circa
15,7 miliardi di Euro, la componente voce rappresenta ancora l’86,6% (dati IDC).
L’aspetto mediatico rappresenta, dunque, solo
un aspetto dei servizi di comunicazione mobile e non è detto che sia quello caratterizzato
dal migliore ROI.
Il valore dell’informazione mobile va considerato nella sua capacità di fornire supporto
decisionale in condizioni in cui altre fonti non
sono disponibili o non riescono a fornire una
risposta adeguata, sia che si tratti di opzioni
legate all’ambito sociale, del divertimento,
all’organizzazione di incontri di affari, alla pianificazione e gestione di viaggi o a decisioni di
acquisto.
Si tratta, tuttavia, di servizi a cui è particolarmente difficile associare un valore e per cui
vanno individuate esigenze di tipo predefinito,
considerati adattamenti in funzione della posizione geografica e del tempo e garantita
accessibilità on-demand anche in condizioni di
imprevisto. In questi contesti il binomio mobilità-dati potrebbe davvero risultare vincente e
le caratteristiche di banda offerte dalla tecnologia 3G potrebbero offrire le doti di affidabilità e prestazioni in grado di fare la differenza.
Identificare quali siano i servizi di maggiore
utilità e ricettività non è però banale. In base a
una ricerca, condotta da Gartner alla fine del
2002 tra gli utilizzatori adulti italiani, la richiesta di servizi mobili orientati ai dati nel nostro
Paese si concentra verso servizi informativi
legati ai programmi televisivi, alle informazioni
sul traffico e legate ai viaggi, ad attività di
intrattenimento e indirizzate alla prenotazioni
di cinema o eventi. Vengono poi i servizi legati
a specifiche esigenze locali, l’invio e la ricezione di e-mail, i giochi, i servizi di banking, il
download di musica e l’accesso a siti Web.
Va infine ricordato che, in un ambito prettamente business, si profilano interessanti prospettive per il “mobile office”. Sono già disponibili alcune proposte indirizzate a questo tipo
di esigenza in cui, tuttavia, il telefonino va visto
come complementare all’utilizzo di altri dispositivi quali il palmare e il notebook.
R.F.
59
CommuniCation
Alla ricerca di un “posto caldo”
Il 2004 si preannuncia come l’anno degli hot spot.
Le tendenze del mercato e degli operatori in cerca di utilizzatori
G
ià nel 2003 sono state aperte circa
500 WLAN pubbliche in pochi mesi e
si prefigura arriveranno a 2500 entro
la prossima primavera.
All’ultimo WLAN Forum, tenutosi a Milano
alla fine di ottobre, è stata ascoltata la testimonianza di un albergo di Taormina, dotato di
WLAN pubblica, che ha registrato una media
di 6 connessioni al giorno in un mese. Molte o
poche? Il dato si presta ovviamente a diverse
interpretazioni e se il caso è stato presentato
come esempio di successo, di fatto i risultati
hanno lasciato nello sconforto alcuni esponenti di noti operatori pubblici di telecomunicazioni. Meno realistici appaiono, del resto,
scenari tipici delle realtà statunitensi, dove
semplici bar offrono il servizio anche gratuitamente per il piacere dei “surfisti” della Rete.
• Lo scenario internazionale
Intanto, soprattutto negli Stati Uniti nel 2003
sono stati varati numerosi progetti di WLAN
pubbliche. Alcuni di questi hanno coinvolto
importanti catene, quali Starbucks e McDonalds. Quest’ultima è partita con un’offerta
promozionale in alcuni ristoranti di San Francisco e New York che legavano l’accesso Wi-Fi
al consumo di uno specifico menu: tutto all’insegna del fast. La prima, invece, ha dato il via a
un imponente progetto in collaborazione
conT-Mobile, braccio wireless di Deutsche
Telekom. La combinazione di brand e di economie di scala giocano un ruolo decisivo nel
successo di queste iniziative che possono fungere da traino per l’intero mercato.
Una spinta altrettanto, se non più, importante
viene data da società come Intel, che nel 2003
ha registrato crescite importanti grazie a Centrino, la tecnologia WLAN on board che ha
60
CommuniCation
riscontrato un notevole successo presso i
produttori di computer portatili, palmari e
soluzioni wireless LAN. La casa di Santa Clara,
inoltre, è molto attiva anche sul fronte della
diffusione dei servizi. Per esempio, ha costituito insieme a Ibm e At&T la società Cometa,
che ha annunciato di puntare all’installazione
di 20mila hot spot nel mondo entro il 2005.
Inoltre, Intel si è alleata con Bell Canada e VIA
Rail Canada per dotare i treni canadesi di
accesso Wi-Fi.
• Le strategie degli operatori
Che il Wi-Fi pubblico possa avere un futuro di
successo, comunque, sembrano pensarlo
anche gli operatori di Tlc, compresi quelli
mobili che stanno delineando scenari di complementarietà tra i servizi UMTS e WLAN.
Le strategie si differenziano a seconda dell’estrazione del service provider e i modelli di
business che ne derivano sembrano destinati a
evolvere rapidamente con il mercato.
Telecom Italia si presenta da leader anche in
questo ambito, con circa 300 hot spot installati alla fine del 2003 (di cui 200 grandi e circa
un centinaio piccoli) e un’offerta che prevede
tariffe flat per le imprese, a consumo per il
SOHO e le PMI e carte prepagate per il consumer. L’ex monopolista della telefonia nazionale ha anche siglato un accordo di roaming
con Boingo, dando accesso ai propri utenti a
circa 1400 hot spot sparsi nel mondo. L’operatore ha anche un’offerta per la realizzazione
di WLAN private.
Quest’ultima è l’attività principale per Albacom, per la quale il Wi-Fi è essenzialmente l’estensione delle VPN. Ma il service provider ha
vinto alcune gare pubbliche e dovrebbe lanciare nuovi servizi, soprattutto nella realizzazio-
ne di hot spot per conto terzi. Più diretta,
invece, la strategia di Colt Telecom, che ha realizzato una decina di hot spot, puntando
soprattutto su Milano, Roma e Torino, prevedendo di arrivare a qualche centinaio in target
specifici quali hotel, centri congressi, aeroporti e università. Il modello adottato sembrerebbe quello delle carte prepagate.
Il principale concorrente di Telecom Italia su
questo fronte, peraltro, sembra essere Tiscali,
che, in partnership con Freestation, ha pianificato l’installazione di circa 500 hot spot per la
fine del 2003 (a ottobre erano 200). Ben 300,
ma tutti piccoli, quelli da realizzati da Tecom in
32 città. Segue poi Tin.it con poco più di 100
hot spot.
Il pioniere del settore, peraltro, è Megabeam,
che fornisce anche il servizio wholesale e
gestisce 14 hot spot in 4 aeroporti e negli
hotel della catena Starhotel.
Geograficamente, la diffusione degli hot spot
interessa tutte le regioni italiane, chiaramente
con qualche differenza. La maggior parte dei
“punti caldi” si trova in Lombardia, almeno
stando alla mappa realizzata a settembre dalla
rivista Wireless. Seguono Lazio, Campania ed
Emilia Romagna.
Intanto, gli operatori di telefonia mobile non
stanno a guardare. Sarà il mercato a stabilire
se i servizi Wi-Fi e UMTS siano in contrapposizione o meno, ma, nel frattempo, si delineano due approcci diversi: da un lato TIM e Vodafone-Omnitel, che si dimostrano interessate
alle WLAN, dall’altro Wind e 3. TIM, che ha
pianificato il lancio della rete EDGE prima e
UMTS dopo tra la fine del 2003 e l’inizio di
quest’anno, sta gestendo un progetto pilota
per l’offerta di accesso WLAN. Vodafone, dal
canto proprio, ha siglato un accordo di roaming con Megabeam. Wind, invece, non ha
ancora annunciato il rilascio di servizi UMTS,
ma sta puntanto tutto sul lancio di i-mode, in
accordo con la giapponese NTT-Docomo. Infine, 3 ha pubblicamente dichiarato di non essere strategicamente interessata al Wi-Fi, che,
per la verità, ha cercato di ostacolare, ritenendola una tecnologia liberalizzata in concorren-
Fonte: Nokia
za, anche se parziale, con l’UMTS, per il quale,
peraltro, sono state pagate licenze di concessione molto care.
• Un mercato
in piena fermentazione
Secondo Yankee Group, sarebbero 21 milioni
gli americani pronti a utilizzare le WLAN pubbliche, per i quali sarebbero già stati realizzati
circa 12mila hot spot e altri arriveranno quest’anno. Gartner ha contato, nel mondo, circa
71mila punti di accesso Wi-Fi a fine 2003, prevedendo il raggiungimento dei 150mila hot
spot per il 2005. La maggior parte di questi
sarebbero installati in centri commerciali e
alberghi. Due tipologie di luogo differenti che
identificano altrettanti tipi di utenti: il consumatore e l’uomo d’affari.
Quale modello di business prevarrà, come
accennato, è presto per dirlo. Dipenderà, oltre
che dalle reali dimensioni del mercato, anche
dai costi. Con la diffusione della tecnologia
questi si andranno abbassando ulteriormente.
Peraltro, se per un piccolo negozio possono
bastare un access point e una connessione a
Internet a larga banda, per realizzare un hot
spot in un centro commerciale, un albergo, un
aeroporto o in un qualsiasi altro luogo esteso
(fino, perché no, a dimensioni metropolitane –
c’è un progetto in tal senso a Toronto) è
necessario un’infrastruttura decisamente più
costosa, anche e soprattutto in termini di
manutenzione.
G.D.B.
61
CommuniCation
IP-PABX: le funzionalità degli
apparati di nuova generazione
La fine del 2003 permette di fare il punto sullo stato dell’arte
delle recenti soluzioni di telefonia IP
M
entre l’IT sembra ancora dibattersi
nelle strette dei bilanci risicati delle
aziende, per le Tlc si intravede una
ripresa dell’interesse da parte delle società,
complice in questo anche la necessità di sostituire un parco installato che, fermo negli ultimi due anni, è ora invecchiato oltre il livello di
sostenibilità sia per la manutenzione che per
le esigenze di espansione funzionale.
La caratterizzazione degli apparati di recente
annunciati da parte di società di primo livello
(perlomeno in Italia) come Alcatel, Avaya, Promelit o CDC,solo per citarne alcune di caratura diversa, permette di delineare meglio le
funzionalità tipiche di una gamma di prodotti
che iniziano a rientrare meglio nei limiti di
budget di una fascia molto appetibile del mercato, quella delle PMI.
Punto fermo di questa nuova generazione di
centrali è IP e l’adozione di piattaforme standard utilizzabili in un contesto geografico.
Questa evoluzione si basa sulla constatazione
che nella new economy le reti aziendali hanno
un ruolo molto più critico che nel passato,
soprattutto per le PMI.
In sostanza, quella che è la sfida principale che
le aziende si trovano ad affrontare consiste nel
gestire il crescente flusso di informazioni provenienti da diverse reti ottimizzando i costi
delle apparecchiature di telecomunicazione
mediante servizi integrati di voce, Internet, email e servizi LAN.
• L’integrazione di funzioni LAN
L’integrazione di funzioni Lan, quali quelle di
switch, di router o di firewall, è uno degli
aspetti maggiormente qualificanti delle nuove
62
CommuniCation
piattaforme e permette di semplificare notevolmente la realizzazione di infrastrutture
aziendali, soprattutto a livello di sedi periferiche o di PMI. L’integrazione nativa di switch e
di router assume una importanza particolare,
soprattutto quando ci si trova ad operare in
un contesto di rete basato sul protocollo IP. In
questo scenario diventa possibile espandere e
distribuire l’utenza in un modo molto flessibile, se comparato alle tipiche modalità utilizzate per centrali TDM, che utilizzano connessioni con unità remote basate su protocolli dedicati. Generalmente poi, le funzionalità Lan si
abbinano ad altri servizi, tra i quali sono compresi quelli che hanno la specifica funzione di
facilitare la gestione della LAN e il supporto
dei servizi LAN verso Internet. Importanti
sono ad esempio quelli di Domain Name
System (DNS), che permettono la gestione
della LAN e il caching dell’indirizzo internet e
quello di Server DHCP, che rende possibile
l’allocazione dinamica dell’indirizzo IP.
• Le funzionalità IP e Internet
Le funzionalità IP e quelle relative ad Internet
rappresentano una classe di funzioni particolarmente importante e tra le più innovative.
Per le funzionalità IP un esame delle soluzioni
presenti sul mercato permette di evidenziare i
seguenti punti salienti:
• Accesso Internet condiviso
• Servizi di Sicurezza e di ottimizzazione
• Server e-mail
• Servizi di rete VPN
La connettività a Internet, allo stato attuale
delle soluzioni di rete presenti a livello nazionale, può avvenire tramite diverse modalità,
che si differenziano per prestazioni e per
costo. Nel caso di rete Isdn, il Pabx può utilizzare, per gli accessi ad Internet, le risorse condivise dei canali B disponibili sulle giunzioni
ISDN PBX. Le modalità possibili sono diverse
e dipendenti anche dal livello di traffico da
supportare e vanno dall’utilizzo di canali a 64
Kbps su un canale Isdn B con protocollo
punto a punto a connessione a 128 Kbps con
due canali B aggregati (Multi-link Point-toPoint-Protocol) sino all’utilizzo di banda variabile da 64 a 128Kbps con allocazione dinamica della banda. A queste si aggiungono modalità di connessione a velocità superiore, ad
esempio a 2 Mbit per esigenze di traffico particolarmente sostenute o, nel caso una tale
velocità fosse eccessiva, un accesso E1 frazionale o, ultimo sviluppo, l’utilizzo di connessioni xDSL.
• La mail come elemento base
Il fatto che siano basati su piattaforme server
e su sistemi operativi standard di mercato,
permette di disporre di servizi di mail integrati che possono essere supportati in svariate
configurazioni. Tra queste, quella di e-mail server integrato, di e-mail server esterno (posizionato sulla Lan) o di e-mail server allocato
in remoto presso il Service Provider.
I servizi di mail richiedono però la presenza di
una serie di standard tra i quali:
• IMAP4 (Interactive Mail access Protocol 4):
è un protocollo che permette ai messaggi di
posta elettronica di essere visti sul server
come se fossero sul Desk-top personale. Le
e-mail rimangono però sul server e non
vengono scaricate sul proprio Desktop.
• POP3 (Post Office Protocol 3): è un protocollo che permette di scaricare le e-mail dal
server al Computer.
• SMTP/ESMTP (Simple Mail Transfer Protocol): è il protocollo più diffuso per l’invio
di posta elettronica e per lo scambio tra
server e-mail Internet.
• MIME (Multipurpose Internet Mail Extension): è il formato standard definito dalla
associazione IETF per la gestione di informa-
zioni in formato non testo di una mail. Quella che rappresenta una vera e propria differenziazione rispetto alle generazioni precedenti, è però la disponibilità sulle nuove piattaforme di centralini, del servizio di messaggistica unificata, tramite il quale un utente
viene a disporre di un account di e-mail e di
una casella vocale sullo stesso sistema.
Le due modalità vengono ad essere integrate
a livello di desk top e permettono di fornire
un accesso e-mail e voice-mail a partire dalla
medesima interfaccia di utente, ad esempio i
pacchetti di posta elettronica Outlook, Notes
o Eudora.
Il PABX è l’elemento
centrale delle
comunicazioni aziendali
• Una rete basata su VPN
La diffusione di soluzioni di connettività IP tramite l’utilizzo di reti VPN è un’ulteriore caratterizzazione dei servizi di rete dei Pabx IP e
questo perché Internet e VPN rappresentano
una soluzione molto interessante come alternativa alle linee private affittate. Lo sviluppo di
protocolli specifici per VPN e IP, ad esempio
l’IPSec, permette di collegare in modo sicuro
utenti remoti o siti diversi di una rete a basso
costo attraverso Internet, rendendo possibile
la condivisione delle risorse dati e/o l’impiego
di IP telephony. I protocolli più diffusi per l’ambito VPN sono il PPTP e l’IPSec.
L’utilizzo delle nuove piattaforme, a parte
valutazioni economiche, offre quindi ampi
spazi di razionalizzazione delle comunicazioni
e delle reti aziendali e di semplificazione della
infrastruttura complessiva.
G.S.
63
CommuniCation
Roadshow Alcatel sull’IP Telephony
A
lcatel ESD ha organizzato una serie di
incontri con i clienti di distretti industriali particolarmente significativi, dove l'interesse per la telefonia su IP e della business
communication è elevato. L’iniziativa rientra,
ha affermato Andrea Marrubini, direttore marketing della divisione, nella strategia della divisione Enterprise di Alcatel Italia.
L’approccio seguito per diffondere la cultura
dell'innovazione tecnologica si è basato su una
formula innovativa di "e-convegni", che la divisione aveva già sperimentata in tempi recenti
in collaborazione con Gartner. In questa
nuova serie di incontri presso i clienti la formula ha previsto il coordinamento di un
moderatore e l’approfondimento di tre moduli tematici, ognuno dei quali costituito da un
intervento a video di un analista di Reportec,
una presentazione live di un esperto di Alcatel
e una sessione di domande da parte del pubblico. Uno degli elementi centrali degli incon-
tri è stato quello del come sia possibile ottenere la riduzione dei costi telefonici (quelli in
"bolletta", tanto per intenderci) tramite l’instradamento della fonia su una rete IP.
Tuttavia la vera opportunità, ha fatto notare
Marrubini, è costituita dall'aumento della produttività grazie all’utilizzo di un unico ambiente per le comunicazioni, raggiungibile da tutti
gli utenti e riferito come Unified Communication.
In questo contesto si possono realizzare progetti fino a ieri impensabili o improponibili. La
rete “esce” dall’azienda, che si rende disponibile al di là di ogni vincolo fisico o temporale.
Il programma dei Roadshows proseguirà per
tutto il 2004 ma il messaggio che viene trasmesso è semplice: passare ai servizi di comunicazione di nuova generazione, cominciando
dall'IP Telephony, permette di tagliare i costi
diretti e un ritorno in tempi stretti dell’investimento effettuato.
Cisco compra Latitude per la media conferencing
C
I prodotti per la
videocomunicazione su IP
di Cisco
64
CommuniCation
isco Systems ha annunciato di aver concluso un accordo per l’acquisizione di
Latitude Communications, una società californiana specializzata nella fornitura di prodotti
per conferenza di classe enterprise.
L’operazione consente a Cisco, secondo quanto dichiarato dalla stessa società, di ampliare il
proprio portafoglio di soluzioni per la comunicazione IP. In particolare, un certo successo
Oltreoceano ha ottenuto la serie MeetingPlace per audio e Web conferencing.
Con un investimento
di scambio azionario
stimato pari a circa
80 milioni di dollari, la
società con sede a
San Josè, in Californiana, potrà aggiungere le fuzionalità di
conferenza multimediale Latitude alla
propria architettura AVVID per l’integrazione
di voce, video e dati.
I responsabili della tecnologia voice di Cisco
hanno affermato che questa acquisizione permetterà a Cisco di accelerare la fornitura di
soluzioni multimedia intelligenti per la conferenza a livello enterprise che sfruttano l’informazione dinamica di rete (per esempio i dati
relativi alla presenza e localizzazione degli
utenti del network) per migliorare la produttività sul posto di lavoro.
In altre parole, la società statunitense si aspetta di accorciare i tempi di ricerca e sviluppo
per l’introduzione sul mercato di soluzioni
cosiddette di rich media conferencing basate
sui protocolli SIP (Session Initiation Protocol),
H.323 e XML, ormai affermatisi quali standard
industriali per il settore. Non a caso, Cisco
intende mettere a bilancio l’acquizione di Latitude proprio come costo occasionale nelle
spese di ricerca e sviluppo.
Il fascino del passato
nei terminali del futuro
E
sistono due tipi di terminale che vengono
forniti dalle aziende moderne ai dipendenti. Più tipicamente a quelli che una volta
venivano chiamati colletti bianchi, anche se
allora questi venivano dotati solo di uno dei
due: il telefono. Perché l’altro, il pc, ha cominciato a diffondersi piuttosto di recente, più o
meno da quindici anni.
L’evoluzione che ha interessato questi apparecchi negli anni ne ha visto modificare le
forme e l’utilizzo, anche se le funzioni di base
di entrambi non sono cambiate. Laddove, per
un pc, queste possono essere sintetizzate nell’elaborazione delle applicazioni atte allo svolgimento delle mansioni aziendali.
I dati diffusi annualmente da Assinform dimostrano la tendenza a rimpiazzare il “classico”
desktop con pratici notebook, le cui prestazioni non hanno più nulla da invidiare ai “fratelli da
scrivania”. Il progresso tecnologico nella miniaturizzazione unitamente a quello nel wireless
ha infatti permesso di realizzare apparati ad
alte prestazioni, in grado di collegarsi a larga
banda alle infrastrutture aziendali.
Lo stesso avviene nella telefonia, dove la diffusione di apparecchi mobili è a livelli inimmaginabili quindici anni fa. L’utilizzo degli stessi in
azienda, inoltre, è spesso spinto oltre il limite:
si è talmente abituati a cercare la persona
ovunque essa sia che difficilmente si prova a
comporre prima il numero d’interno, provando direttamente a chiamarla sul cellulare.
Questo anche quando si è in azienda.
A onor del vero, tali sviluppi devono molto al
progresso nel settore delle batterie elettriche.
Oggi è possibile pianificare un’intera giornata
di lavoro senza aver bisogno di collegare i propri “strumenti” alla rete elettrica. Per esempio,
Fujitsu Siemens Computers ha recentemente
annunciato un tablet pc che può essere dotato di una batteria garantita dal costruttore per
otto ore di autonomia. Ma di esempi se ne
potrebbero fare tanti altri, perché il settore è
piuttosto affollato di nomi importanti, quali
Acer, Dell, HP, IBM, Palm, Toshiba e tanti altri.
Tutti questi stanno preparando una nuova
generazione di terminali che si spingono fino
all’integrazione tra pocket pc e telefonino e
oltre, promettendo l’accesso a un mondo di
servizi a valore aggiunto, il cui sviluppo sarà
reso possibile dalla diffusione della larga banda
anche wireless. Un’evoluzione cui la tecnologia non pone virtualmente limiti se non la fantasia. Questa non sembra mancare, per esempio, alla statunitense Nextel, che ha sviluppato
una versione personalizzata di BlackBerry (il
terminale della RIM, che TIM commercializza
in Italia, rimarchiandoli, soprattutto per i servizi di messaggistica mobile avanzata), aggiungendovi la funzionalità di walkie-talkie. In attesa di conoscere qualche dettaglio in più sul
suo funzionamento, si può già immaginarne
l’utilità per limitare l’abuso dei cellulari in
azienda, cui si accennava precedentemente. A
questo, d’altro canto, si può porre rimedio
passando alla telefonia su IP: con gli IP Phone
wireless di Avaya e Cisco, anche se adottando
tecnologie diverse, pare sia possibile commutare automaticamente una chiamata GSM sul
centralino aziendale, quando l’utente è fisicamente in azienda.
Per consentire all’utente mobile di sfruttare
appieno le risorse aziendali anche da remoto
e via wireless, l’uovo di Colombo l’ha forse
trovato bmind, una società Red Hat guidata
dall’italiano Federico Musto. Grazie a un
accordo con una società cinese, bmind è partita con la sperimentazione di terminali wireless su cui server remoti fanno girare applicazioni aziendali, unendo alla centralità delle
architetture dei primi elaboratori le tecnologie di ultima generazione, con vantaggi anche
in termini di sicurezza e controllo dell’accesso
v
alle risorse da parte delle imprese.
Gaetano Di Blasio
dida da scrivere
65
I report tecnologici
I Report Tecnologici costituiscono un’opera
di analisi e approfondimento dello stato
dell’arte di architetture, soluzioni e servizi
nell’ambito dell’Information e
Communication Technology.
Ogni report è un utile strumento di
consultazione e un sussidiario che fornisce ai
responsabili dei sistemi informativi aziendali e
ai professional del settore un chiaro quadro
dello scenario evolutivo delle tecnologie e
delle soluzioni presenti sul mercato italiano.
Ciascun Report è composto da una prima
parte, che costituisce una cospicua
trattazione degli aspetti tecnologici, e da una
seconda parte, in cui vengono accuratamente
descritte l'offerta e la strategia dei principali
player del mercato.
I Report Tecnologici sono disponibili in
volumi stampati in formato A4 con
copertina rigida, al costo di 215 euro a
copia (più IVA). Per ordinarli o per
ulteriori informazioni: 0234592314.
66
Motore e sede dei dati aziendali, server e storage sono
gli elementi centrali di un sistema informativo che si articola in infrastrutture sempre più complesse che rispondono alle crescenti esigenze di elaborazione e all’esplosione dei dati, ma che devono risultare semplici per l’utente finale. Le nuove architetture evolvono in questa
direzione, favorendo il consolidamento dei sistemi.
Un report di circa 500 pagine analizza tutti gli aspetti
del settore, esaminando, oltre alle tecnologie, le soluzioni e l’offerta di servizi in Italia.
Capitolo 1 - DALL'E-BUSINESS
ALL'AZIENDA VIRTUALE
Capitolo 2 - L'EVOLUZIONE DELLE
PIATTAFORME SERVER
Capitolo 3 - LE ARCHITETTURE DI
ELABORAZIONE DI NUOVA GENERAZIONE
Capitolo 4 - APPLIANCE SERVER:
ARCHITETTURE E METODOLOGIE
PER LA SPECIALIZZAZIONE
Capitolo 5 - I MEDIA PER LA
MEMORIZZAZIONE
Capitolo 6 - SAN, NAS E LO STORAGE
NETWORKING
Capitolo 7 - LA BUSINESS CONTINUITY
E IL DISASTER RECOVERY
Capitolo 8 - VIRTUALIZZAZIONE E
GESTIONE DELLO STORAGE
PARTE SECONDA - Tecnologie e strategie dei
fornitori di soluzioni e servizi
Acer - Computer Associates - Dell - D-Link
Emc2 - Fujitsu-Siemens Computers - Hp/soluzioni
server - Hp/soluzioni storage - Ibm/soluzioni server Ibm/soluzioni storage - Storagetek - Sun/soluzioni
server - Sun/soluzioni storage
I sistemi e le tecnologie di rete per realizzare le architetture che rappresentano il cuore del sistema informativo aziendale hanno subito una profonda evoluzione negli ultimi anni. La convergenza tra reti dati e reti
voce e tra fisso e mobile ha al tempo stesso semplificato e complicato la gestione di un’infrastruttura vitale, accrescenfo il ricorso all’outsourcing.
Un report di circa 500 pagine analizza tutti gli aspetti
La comunicazione è da sempre una delle tematiche più
sentite del contesto aziendale. L’esplosione del fenomeno Internet e, in particolare, della posta elettronica
ha accentuato i problemi che il responsabile del sistema informativo e il responsabile delle telecomunicazioni si trovano a dover affrontare. A questo si aggiungono le innovazioni portate dalla mobilità.
Un report di circa 500 pagine analizza tutti gli aspetti
della comunicazione aziendale, soffermandosi, oltre
che sulle soluzioni, sull’offerta di servizi in Italia.
del networking, soffermandosi sulle architetture, le
piattaforme e, non ultima, l’offerta di servizi in Italia.
Capitolo 1 - LO SCENARIO DEL BUSINESS
NETWORKING
Capitolo 2 - LE NUOVE TECNOLOGIE DI
RETE
Capitolo 3 - LE RETI DI COMUNICAZIONE:
ARCHITETTURE E SERVIZI
Capitolo 4 - LE RETI LOCALI WIRELESS
Capitolo 5 - LE RETI METROPOLITANE
Capitolo 6 - LE RETI PER LA FONIA MOBILE
Capitolo 7 - VIRTUAL PRIVATE NETWORK
Capitolo 8 - IL NETWORK MANAGEMENT
Capitolo 9 - UN NETWORK PROTETTO
Capitolo 10 - SERVIZI E OUTSOURCING
PARTE SECONDA – Tecnologie e strategie dei
fornitori di soluzioni e servizi
3Com - Alcatel - Allied Telesyn - Cisco Systems Computer Associates - D-Link - Enterasys Networks
- Hewlett-Packard - Italtel - Microsoft - Nortel
Networks
Capitolo 1- LO SCENARIO EVOLUTIVO
DELLA BUSINESS COMMUNICATION
Capitolo 2 - ARCHITETTURE E STANDARD
PER I NUOVI PABX
Capitolo 3 - I NUOVI SISTEMI DI
COMUNICAZIONE PER LE PMI E L’AMBITO
ENTERPRISE
Capitolo 4 - L’INTEGRAZIONE TRA
COMPUTER E TELEFONO
Capitolo 5 - GLI IP-PABX:
CARATTERISTICHE E FUNZIONALITÀ DEI
PABX DI NUOVA GENERAZIONE
Capitolo 6 - I VOICE PORTAL
Capitolo 7 - CALL CENTER E GLI SCENARI
PER L’AZIENDA
Capitolo 8 - MESSAGING INTEGRATO E
UNIFIED COMMUNICATION
Capitolo 9 - LA SICUREZZA NEI SISTEMI DI
COMUNICAZIONE AZIENDALE
Capitolo 10 - LE ARCHITETTURE DELLE
RETI CARRIER PER LA BUSINESS
COMMUNICATION
PARTE SECONDA – Tecnologie e strategie dei
fornitori di soluzioni e servizi
3Com - Alcatel: le soluzioni per i contact center Alcatel: le soluzioni Ip-Pbx - Allied Telesyn - Avaya Cisco Systems - Italtel - Microsoft - Nortel
Networks - Reitek - Selta Telematica - Tecnonet
dida da scrivere
3
L’abbonamento a Direction fornisce
accesso ad alcuni servizi relativi alla
pubblicazione dei report e degli studi
di Reportec. Gli abbonati riceveranno
sei numeri del dossier completi dei
relativi allegati su CD ROM e inoltre
potranno scegliere tra:
SOLUZIONE A
un Report Tecnologico rilegato in hard
cover formato A4 e sovra copertinato
(dal costo di listino di Euro 215) a scelta
tra i titoli finora pubblicati:
Business Networking 2003
IT Security 2003
Server e Storage 2003
Business Communication 2003
Servizi
per gli abbonati
SOLUZIONE B
tutti e 4 i Report Tecnologici finora
pubblicati rilegati in hard cover formato
A4 e sovra copertinati (ciascuno del
costo di listino di Euro 215).
Agli abbonati è riservato anche uno sconto del 25% sul prezzo di acquisto degli
altri report pubblicati e la possibilità di accedere a condizioni di favore alle
iniziative che si susseguiranno nel corso dell’anno.
L’abbonamento a 6 numeri del dossier (di periodicità bimestrale) è pari a Euro 90
per la soluzione A e Euro 390 per la soluzione B e comprende le spese di
spedizione del report o dei report richiesti.
Per sottoscrivere l’abbonamento inviare un’e-mail a [email protected]
oppure un fax al numero 0234532848