NetEnforcer

Transkript

NetEnforcer

A mind for networks
• Traffic management a DPI
Petr Lasek
Allot Communications
z A.S., IPO Listopad 2006
z Celosvětové působení
z Centrála a vyvoj – Tel Aviv, Izrael
• 100 vývojových pracovníků – unikátní technologie
z Téměř 300 zaměstnanců
z První prodaný NetEnforcer 1999
z Celosvětové zastoupení, support 24 x 7
• Prodej přes partnery, integrátory
• Přes 10 000 instalací – operátoři, ISP, podniky
2
March 15, 2007
Company Confidential
Dnešní problémy širokopásmových sítí
Nárust
Nárust počtu
počtu uživatelů
uživatelů
Aplikace
Aplikace vyžadují
vyžadují více
více aa více
více
pásma
pásma
Aplikace
P2P
Přístupová
technologie
VoIP
Video
On-line gaming
Email
Cable
WiFi
IPTV
Satellite
Obchodní
aplikace
SAP
DSL
FR
3G
WiMax
Citrix
3
March 15, 2007
Proč?
z Co se stane když nefunguje síť?
z Nedostupnost aplikací
z Objednávka, faktura, stav skladu
• Nedostupnost informací!
z VoIP = nikam se nedovoláte
z Šiřící se malware (např. červ) = problém
z Vše „zadarmo“ – Skype, P2P
• Skype, Vonage – volání zdarma x potřebné pásmo
• P2P – filmy, mapy atd. zdarma x pásmo, legálnost?
4
March 15, 2007
Důvod?
z Zahlcení sítě?
z Chtěný provoz ale v nechtěné míře
z Neužitečný provoz:
z Hromadné maily (i v dobré víře – hoax)
z Přístup k nerelevantním zdrojům (yuotube...)
z Multimediální aplikace – internetové rádia..
z Stahování souborů – P2P...
z Šířící se malware
5
March 15, 2007
Cena?
6
March 15, 2007
Řešení?
Vrstva
Vrstva OSI
OSI
Obsah
(DPI)
L7
Popis
Popis
Výrobci
Výrobci
Inteligentní řízení sítě z
pohledů aplikací i
uživatelů
Přepínače a směrovače
L 2-4
L 0-2
Přístupové sítě
“DPI
“DPI is
is aa critical
critical technology
technology as
as the
the Internet
Internet moves
moves from
from ‘best
‘best efforts’
efforts’ for
for every
every application
application to
to aa
hierarchy
hierarchy of
of speeds
speeds depending
depending on
on application.”
application.”
Zdroj:
Zdroj: Telecom
Telecom Telescope,
Telescope, Citigroup,
Citigroup, Září
Září 2006
2006
7
March 15, 2007
Co nabízí Allot Communications?
Allot Communications:
Pomocí DPI vytvoří z běžné sítě síť inteligentní
8
March 15, 2007
Řešení - optimalizace služeb
Přeměna
Přeměna “hloupé”
“hloupé” sítě
sítě na
na síť
síť která
která díky
díky DPI
DPI dokáže
dokáže rozpoznat
rozpoznat
přenášený
přenášený obsah
obsah aa dokáže
dokáže tuto
tuto síť
síť dynamicky
dynamicky optimalizovat
optimalizovat
podle
podle potřeb
potřeb uživatelů
uživatelů
Bez
Bez Allotu
Allotu
S
S Allotem
Allotem
Řízená a
viditelné
Neřízená
Allot
NetEnforcer
9
P2P Upload
P2P Download
VoIP
WebTV
Video Conferencing
Gaming
email
Co Allot nabízí poskytovatelům služeb
Vizualizace
provozu
• Zobrazení aktuálního provozu
• L7 – podle APLIKACÍ nikoliv L3-4
• Intuitivní a jednoduché
• Prioritizace provozu podle definovaných
Řízení aplikací
Řízení uživetelů
(subscriber)
pravidel
• “Formování provozu”
• Dynamická optimalizace pásma
• Služba na míru
• Garance SLA
• Možnosti různého účtování (qouta)
10
March 15, 2007
Co Allot nabízí podnikům
Vizualizace
provozu
Řizení aplikací
• Zobrazení aktuálního provozu
• Dlouhodobé monitorování, sledování trendů
• Prioritizace podle definovaných pravidel
• “Formování provozu”
• Dynamická optimalizace pásma
• Tiered services
• Customized Service Level Agreements (SLAs)
11
March 15, 2007
Intelligent IP Service Optimization
12
March 15, 2007
Řešení
DPI
L4-7
Síťová vrstva
z Rozlišení na TCP/UDP portech nestac+i
z Řada aplikací v HTTP protokolu
13
March 15, 2007
(L2-3)
Fyzická vrstva
Deep Packet Inspection
Signatura v několika paketech
Základní informace (stav spojení) v hlavičče
14
March 15, 2007
Skutečné DPI = L7
z Rozpoznávání více než 250 předefinovaných protokolů/aplikací
z Příklady:
• FTP podle jména souboru i příkazu (upload a download)
• H.323 (VoIP/video), RTSP (RealAudio), MGCP and SIP,Skype, MSExchange, SKYPE in SKYPE out.
• P2P Aplikace.
• Oracle (database a jméno uživatele)
• HTTP (URL,jméno souboru včetně zástupných znaků, Hosts name, Method,
MIME type)
• ..a řada dalších :WinAMP; MSPlayer; Realone; Quicktime; iTunes;; Citrix
NFuse; Warez; Ares; Morpheus 4; Swapper.NET; Shareaza; Limewire;
Bearshare; Piolet; Blubster; MSN; Yahoo; ICQ; Hotline; MMS; Soulseek;
Softether; Filetopia; and Earthstation5.
15
March 15, 2007
P2P: Vývoj
Vývoj P2P aplikací
• První generace – fixní porty, např. KaZaA v 1
- Jednoduchá identifikace
• Dynamické porty, např. KaZaA v 2, eDonkey, Gnutella,
BitTorrent - signatury
• P2P využívající SSL, např. SoftEther, EarthStation
- SSL signatury
• Kryptované P2P aplikace
- Na základě provozních charakteristik, např. šifrovaný
BitTorrent, obfuscated eMule, Skype
- Statistické metody + provoz, např.Winny 2.7.6, Ares
z Nutnost průběžného doplňování
16
March 15, 2007
P2P
Centralizovaný (Napster)
Hiearchická
17
March 15, 2007
Decentralizovaná struktura
Decentralizovaná
(Kademlia)
nestrukturovaná (Gnutella)
Hybridní (eDonkey, SKYPE)
Gnutella: Vyhledávání
I don’t
have it !
I don’t
have it !
I don’t
have it !
I have
it !
I don’t
have it !
I don’t
have it !
18
March 15, 2007
Příklady: Skype
19
March 15, 2007
Příklady: Emule 0.47c
20
March 15, 2007
Heuristická analýza
21
March 15, 2007
P2P aplikace
z Kazaa
z IM, Chat and VoIP
z Edonkey
z Skype
z BitTorrent
z MSN messenger
z Emule
z ICQ/AOL
z Yahoo!
z Gnutella
z Vocaltec IPhone
z Blubster
z NetMeeting
z Winny
z SIP/RTP/RTSP
…a mnoho dalších
22
March 15, 2007
Peer-to-Peer
z Největší zátěž
z Domácí uživatelé - 60% během dne;
až 90% během noci
z 5% uživatelů dokáže „zkonzumovat“ až 90% pásma
z Upload P2P – od „cizích“ uživatelů
z P2P nemožné identifikovat bez DPI, protože:
z Používají port hopping
z Vydávají se za jiné aplikace – port, tunelování v
HTTP
z Šifrování
23
March 15, 2007
Řízení P2P : Download x Upload
Internet Link
PŘˇICHOZÍ
Subscribers Flows
P2P Download
(Nemá být omezen)
Non-Subscribers Flows
TCP Ack. Upload
TCP Ack. on
Download
Download
24
March 15, 2007
ODCHOZÍ
P2P Upload
(to
(Vhodné
be limited)
omezit)
Global
Outbound
Limitation
Příklady: Pasivní FTP
• testbox1: {/home/p-t/slacker/public_html} % ftp -d
testbox2 Connected to testbox2.slacksite.com. 220
testbox2.slacksite.com FTP server ready. Name
(testbox2:slacker): slacker ---> USER slacker 331
Password required for slacker. Password: TmpPass --> PASS XXXX 230 User slacker logged in. ---> SYST
215 UNIX Type: L8 Remote system type is UNIX.
Using binary mode to transfer files. ftp> passive
Passive mode on. ftp> ls ftp: setsockopt (ignored):
Permission denied ---> PASV 227 Entering Passive
Mode (192,168,150,90,195,149). ---> LIST 150
Opening ASCII mode data connection for file list drwx----- 3 slacker users 104 Jul 27 01:45 public_html 226
Transfer complete. ftp> quit ---> QUIT 221 Goodbye.
25
March 15, 2007
Příklady: SIP
26
March 15, 2007
Podporované protokoly
27
March 15, 2007
Různé aplikace = různé požadavky
Aplikace
Ztrátovost
Zpoždění Jitter
Pásmo
E-mail
High
Low
Low
Low
Přenos souborů
High
Low
Low
Medium
Web
High
Medium
Low
Medium
Hry
28
High
High
Mediu Low
Každá aplikace
vyžaduje
jinou QoS
m
Audio on Demand
Low
Low
High
Medium
Video on Demand
Low
Low
High
High
VoIP
Low
High
High
Low
Video konference
Low
High
High
High
March
15
March
15,2007
2007
Traffic management = proces
Akce (QoS)
Monitorování: realtime i sledování
dlouhodobých trendů
Klasifikace
29
March 15, 2007
Řízení provozu = PROCES
Popis
Fáze
Monitorování
Co se v síti děje, vizualizace
provozu, alerty
Klasifikace
Definování pravidel
Prosazení QoS / optimalizace
Blokování, garance pásma
(min/max), priority, CBR,
dynamicky
Zpětná vazba (accounting),
vazba na billing
Dlouhodobé sledování
30
March 15, 2007
Policy Editor
1 PIPE
2 VC’s +
Fallback
Fallback
PIPE
Definice
31
March 15, 2007
Klasifkace
Akce
Klasifikační kritéria
z
z
z
z
z
32
Zdroj a cíl (MAC, IP, subnet, host name)
Služba – protokoly a aplikace až po L7
VLAN tag (802.1q)
Diffserv/ToS
Čas
March 15, 2007
QoS možnosti
z
z
z
z
z
z
z
Min/max pásma pro pravidlo a/nebo spojení
Priority (10 úrovni – 1:100)
Maximální počet spojení
Definice co se stane při dosažení limitu
Qos pro příchozí i odchozí směr
Změna hodnotu ToS
Příklady:
z “Omezení P2P provozu na max 256K během pracovní doby”
z “Maximální priorita pro VoIP, garance pásma podle kodeku
pro 5 hovorů”
z “Email nízká priorita, SAP jen oprávnění pracovníci”
33
March 15, 2007
Monitorování v reálném čase
Jedním pohledem zjistíte:
Zátěž sítě, Hlavní aplikace, Hlavní uživatele, Servery, Provoz podle pravidel
Jak je
využíváná
síť?
Celková
zátěž?
Kdo aktuálně
využívá síť?
Jaké aplikace
jsou aktuálně
v síti?
34
March 15, 2007
Co se děje v síti?
P2P VC je zahlacen
„Drill down“ pro zjištění co a
kdo zahlacení způsobuje
Graf ukazuje, že EDonkey
způsobuje zahlcení
„Drill down“ pro jištění
kdo tuto aplikací používá
Okamžitá identifikace
nejaktivnějších uživatelů
35
March 15, 2007
Možnosti zjišťování dalších informací z provozu
z Monitoring provozu:
Více než 100 pohledů
na provoz sítě – přímé
odkazy z grafů (drill
down)
Téměř 28% provozu je HTTP
Kdo browsuje?
36
March 15, 2007
Dlouhodobý monitoring
Informace:
37
March 15, 2007
z
30 sec. (pro 24 hodin).
z
5 min. (pro 1 měsíc).
z
1 hodina (pro 3-12 měsíců).
z
1 den (3-6 měsíců).
z
1 Měsíc
Od – do pro různé intervaly (den/měsíc/rok)
Next / Previous selected period
38
March 15, 2007
Typický provoz dne
39
March 15, 2007
Typický provoz – příklad
Provoz v definovaných pravidlech za poslední týden
v konkrétních hodinách
40
March 15, 2007
„Popularity“ graf
10 nejaktivnějších aplikací za posledních 5 hodin
41
March 15, 2007
„Popularity“ graf
P2P za poslední týden
42
March 15, 2007
Alerty
z Proaktivní informace - email, trap, SMS
z Sledování:
pravidla a systémové
z Systemové alerty
z Spojení
z DoS útok
z Přístupové informace
z Pravidla:
z Provoz: žádný / nějaký, <> než
z Spojení: Nové spojení za sekundu, celkový počet
z Útok v jednotlivých pravidlech
z Možnost definovat akci: změna QoS, blokování, bypass,
skripty...
43
March 15, 2007
Produkty
z NetEnforcer: samotný hardware
z Od 2Mbps do 5 Gbps
z NetXplorer: Centrální managemenet a reporting
z Rozhraní pro integraci s dalšími systémy
z SMP: Subscriber Mangement Platform
z Integrace s IAS/OSS
NetXplorer
44
March 15, 2007
Škálovatelnost
GUI klient
GUI klient
OSS
RADIUS/DHCP
Mediation / Billing
Mapuje
Subscriber<=>IP<=>Service
zIntegrace s DHCP / RADIUS
/ OSS
Subscriber
Management
z
NetXplorer Collector
45
March 15, 2007
NetXplorer
Server
NetXplorer
NetXplorer Data
Collector
NetXplorer Data
Collector
NetEnforcer
Řada NetEnforcer
CPE
Network Edge
20G
AC-10000
5G
AC-25x0
2G
z
z
z
z
z
z
AC-10x0
100M
Carrier class
Redundance a spolehlivost
Plný výkon
Stovky podporovaných aplikací
Řada možností řízení provozu
Víceúrovňová pravidla
AC-4xx, 8xx
2002
47
March 15, 2007
2003
2004
2005
2006
2007
Řada NetEnforcer
AC-400
AC-800
AC-1000
AC-2500
2-100M
100-300M
300M-2G
1-5G
4,000
28,000
80,000
80,000
Podnikové
sítě,
ISP
Operátoři
ISPs,
Podnikové
sítě
Nasazení
Nasazení
Uživatelé
Uživatelé
Pásmo
Pásmo
NetXplorer
48
Přístup
k internetu,
ISP
March 15, 2007
Oprátoři
Řada NetEnforcer
z 3úrovňová pravidla
z Klasifikace a formování
z Monitorování – real-time,
dlouohodobé
z Max. výkon – od 2Mbps do 5
Gbps, 80,000 pravidel
z Dedikovaný management port
port
z 100% spolehlivost:
z Bypass mechanismus
z Redundance na úrovni
komponent
z Redundnace na úroni
zařízení
49
March 15, 2007
Řada NetEnforcer AC-2500
NetEnforcer AC-2500:
nejvýkonnější traffic management
na trhu – řešení pro operátory
z #1 z hlediska výkonu
z #1 z hlediska počtu spojení
z #1 z hlediska počtu portů
50
March 15, 2007
5 Gbps
4,000,000
8GE portů
Spolehlivost
z Hardware bypass
z Redundantní komponenty
z Větráky a napájení
z Hot swap (u AC1000, 2500)
z Redundantní topologie
z Actice/backup, Active/active
51
March 15, 2007
Různé topologie
Switch/Router
Switch/Router
Switch/Router
Switch/Router
NetEnforcer
NetEnforcer
NetEnforcer
NetEnforcer
Redundancy
Support
Link
Active
Redundancy
Link
Switch
Switch
Switch
Internet
Normal Scenario
Primary Active
Switch
Switch/Router
Primary
NetEnforcer
NetEnforcer
Active Mode
Primary
Bypass
Bypass Mode
Secondary
Bypass
Router
Secondary
NetEnforcer
Switch/Router
52
March 15, 2007
Přínos
Bez
Bez NetEnforceru
NetEnforceru
S
S NetEnforcerem
NetEnforcerem
Minimální „viditelnost“ provozu
Vizualizace z pohledu uživatelů i aplikací
Zahlecení sítě
Akcelerace provozu, QoE
Problémy se řeší navýšením pásma
Maximální využití a optimalizace infrastruktury
Nabídka přístupu – jen nízká cena
Možnost nabídnout různé služby
Omezený růst, problémy se změnami
53
March 15, 2007
Účtování podle služeb
Reference
z Service Providers
z NTL, Verizon, FastWeb, BT, Megacable, Equant (FT), PCCW,
Sprint, WakWak, TIM, Portugal Telecom, Telecom Malaysia,
Prima, Northland, WOW, Optus, Bezeq, Spacenet, @NetHome,
Truenet, VIVAX, Telecom Colombia, Telecom Tanzania, mweb
…České Radiokomunikace, net4net, Český bezdrát, Slovanet...
z Education: NYCBoE, CMU, UCLA, Miami, LSU, Technion, Laval
…
z Enterprises
z Siemens, Kroger, Dixons PLC, INS, ZID, REI, Samsung,
Symantec, Schneider, Elktra, Hitachi, CCF, EDF, Teva, BBVA,
Ecco, Ownes & Minor, US Navy, REI, NiponPaint…ČEZ,
ČEZNET, ČSA, OKD, MUS, ...
z Education: NYCBoE, Nottingham University, CMU, UCLA,
Miami, LSU, Technion, and more
54
March 15, 2007
Reference
55
March 15, 2007
Příklady
Internetové připojení
Síťové zdroje respektují
obchodní potřeby
Síť s maily, P2P, HTTP,
VPN
IP samotné nabízí
pouze „best effort“
Problém – nežádoucí
P2P zabere veškeré
pásmo
Internet
Switch
NetEnforcer
Router
QoS
Email
HTTP/P2P
VPN
57
March 15, 2007
Střední priorita
Nízká priorita
Obchodní aplikace s nejvyšší prioritou
Datové centrum
Nottingham
Boardroom
Video conf
Internet
Meeting Room Video
Corporate Internet Link
T1 (1.5 Mbps)
NetEnforcer
E1
Clients
Boardroom
Video conf
Milton Keynes
WAN
Switch
NetEnforcer
Router
T1
(
512 Kbps
1.5
Mb
ps)
London
VoIP
GW
PBX
Corporate Data Center
58
SAP
Client
s
Kbp
512
Firewall
March 15, 2007
PBX
York
NetEnforcer
Web, Email,
FTP Servers
SAP/Citrix
Oracle
(
s)
bp
M
1
VoIP
GW
Citrix
Client
NetEnforcer
WAN infrastuktura
PBX
VoIP
GW
Boardroom
SAP/Citrix
Web,
Email, Video conf
Oracle
FTP Servers
GUI Client
Switch
NetXplorer
NetEnforcer
Router
VoIP
GW
Citrix
KaZaA
SAP
PBX
PBX
REMOTE
REMOTE
59
VoIP
GW
March 15, 2007
Video
FTP
REMOTE
Video
FTP
Otázky
z www.allot.com
z [email protected]
60
March 15, 2007

NetEnforcer

Transkript

Podobné dokumenty

Ukázka - Jitro

Mikrotik RouterOS: Problematika výměnných sítí

Access 2

recovery - Open Medical Club

Návrh organizační struktury Farní charity Praha 1

Ukázková kapitola 6

INTEGRO Informační Systém – stručný přehled