NetEnforcer
Transkript
A mind for networks • Traffic management a DPI Petr Lasek Allot Communications z A.S., IPO Listopad 2006 z Celosvětové působení z Centrála a vyvoj – Tel Aviv, Izrael • 100 vývojových pracovníků – unikátní technologie z Téměř 300 zaměstnanců z První prodaný NetEnforcer 1999 z Celosvětové zastoupení, support 24 x 7 • Prodej přes partnery, integrátory • Přes 10 000 instalací – operátoři, ISP, podniky 2 March 15, 2007 Company Confidential Dnešní problémy širokopásmových sítí Nárust Nárust počtu počtu uživatelů uživatelů Aplikace Aplikace vyžadují vyžadují více více aa více více pásma pásma Aplikace P2P Přístupová technologie VoIP Video On-line gaming Email Cable WiFi IPTV Satellite Obchodní aplikace SAP DSL FR 3G WiMax Citrix 3 March 15, 2007 Company Confidential Proč? z Co se stane když nefunguje síť? z Nedostupnost aplikací z Objednávka, faktura, stav skladu • Nedostupnost informací! z VoIP = nikam se nedovoláte z Šiřící se malware (např. červ) = problém z Vše „zadarmo“ – Skype, P2P • Skype, Vonage – volání zdarma x potřebné pásmo • P2P – filmy, mapy atd. zdarma x pásmo, legálnost? 4 March 15, 2007 Company Confidential Důvod? z Zahlcení sítě? z Chtěný provoz ale v nechtěné míře z Neužitečný provoz: z Hromadné maily (i v dobré víře – hoax) z Přístup k nerelevantním zdrojům (yuotube...) z Multimediální aplikace – internetové rádia.. z Stahování souborů – P2P... z Šířící se malware 5 March 15, 2007 Company Confidential Cena? 6 March 15, 2007 Company Confidential Řešení? Vrstva Vrstva OSI OSI Obsah (DPI) L7 Popis Popis Výrobci Výrobci Inteligentní řízení sítě z pohledů aplikací i uživatelů Přepínače a směrovače L 2-4 L 0-2 Přístupové sítě “DPI “DPI is is aa critical critical technology technology as as the the Internet Internet moves moves from from ‘best ‘best efforts’ efforts’ for for every every application application to to aa hierarchy hierarchy of of speeds speeds depending depending on on application.” application.” Zdroj: Zdroj: Telecom Telecom Telescope, Telescope, Citigroup, Citigroup, Září Září 2006 2006 7 March 15, 2007 Company Confidential Co nabízí Allot Communications? Allot Communications: Pomocí DPI vytvoří z běžné sítě síť inteligentní 8 March 15, 2007 Company Confidential Řešení - optimalizace služeb Přeměna Přeměna “hloupé” “hloupé” sítě sítě na na síť síť která která díky díky DPI DPI dokáže dokáže rozpoznat rozpoznat přenášený přenášený obsah obsah aa dokáže dokáže tuto tuto síť síť dynamicky dynamicky optimalizovat optimalizovat podle podle potřeb potřeb uživatelů uživatelů Bez Bez Allotu Allotu S S Allotem Allotem Řízená a viditelné Neřízená Allot NetEnforcer 9 Company Confidential P2P Upload P2P Download VoIP WebTV Video Conferencing Gaming email Co Allot nabízí poskytovatelům služeb Vizualizace provozu • Zobrazení aktuálního provozu • L7 – podle APLIKACÍ nikoliv L3-4 • Intuitivní a jednoduché • Prioritizace provozu podle definovaných Řízení aplikací Řízení uživetelů (subscriber) pravidel • “Formování provozu” • Dynamická optimalizace pásma • Služba na míru • Garance SLA • Možnosti různého účtování (qouta) 10 March 15, 2007 Company Confidential Co Allot nabízí podnikům Vizualizace provozu Řizení aplikací • Zobrazení aktuálního provozu • Dlouhodobé monitorování, sledování trendů • Prioritizace podle definovaných pravidel • “Formování provozu” • Dynamická optimalizace pásma • Tiered services • Customized Service Level Agreements (SLAs) 11 March 15, 2007 Company Confidential Intelligent IP Service Optimization 12 March 15, 2007 Company Confidential Řešení DPI L4-7 Síťová vrstva z Rozlišení na TCP/UDP portech nestac+i z Řada aplikací v HTTP protokolu 13 March 15, 2007 Company Confidential (L2-3) Fyzická vrstva Deep Packet Inspection Signatura v několika paketech Základní informace (stav spojení) v hlavičče 14 March 15, 2007 Company Confidential Skutečné DPI = L7 z Rozpoznávání více než 250 předefinovaných protokolů/aplikací z Příklady: • FTP podle jména souboru i příkazu (upload a download) • H.323 (VoIP/video), RTSP (RealAudio), MGCP and SIP,Skype, MSExchange, SKYPE in SKYPE out. • P2P Aplikace. • Oracle (database a jméno uživatele) • HTTP (URL,jméno souboru včetně zástupných znaků, Hosts name, Method, MIME type) • ..a řada dalších :WinAMP; MSPlayer; Realone; Quicktime; iTunes;; Citrix NFuse; Warez; Ares; Morpheus 4; Swapper.NET; Shareaza; Limewire; Bearshare; Piolet; Blubster; MSN; Yahoo; ICQ; Hotline; MMS; Soulseek; Softether; Filetopia; and Earthstation5. 15 March 15, 2007 Company Confidential P2P: Vývoj Vývoj P2P aplikací • První generace – fixní porty, např. KaZaA v 1 - Jednoduchá identifikace • Dynamické porty, např. KaZaA v 2, eDonkey, Gnutella, BitTorrent - signatury • P2P využívající SSL, např. SoftEther, EarthStation - SSL signatury • Kryptované P2P aplikace - Na základě provozních charakteristik, např. šifrovaný BitTorrent, obfuscated eMule, Skype - Statistické metody + provoz, např.Winny 2.7.6, Ares z Nutnost průběžného doplňování 16 March 15, 2007 Company Confidential P2P Centralizovaný (Napster) Hiearchická 17 March 15, 2007 Decentralizovaná struktura Decentralizovaná (Kademlia) nestrukturovaná (Gnutella) Hybridní (eDonkey, SKYPE) Company Confidential Gnutella: Vyhledávání I don’t have it ! I don’t have it ! I don’t have it ! I have it ! I don’t have it ! I don’t have it ! 18 March 15, 2007 Company Confidential Příklady: Skype 19 March 15, 2007 Company Confidential Příklady: Emule 0.47c 20 March 15, 2007 Company Confidential Heuristická analýza 21 March 15, 2007 Company Confidential P2P aplikace z Kazaa z IM, Chat and VoIP z Edonkey z Skype z BitTorrent z MSN messenger z Emule z ICQ/AOL z Yahoo! z Gnutella z Vocaltec IPhone z Blubster z NetMeeting z Winny z SIP/RTP/RTSP …a mnoho dalších 22 March 15, 2007 Company Confidential Peer-to-Peer z Největší zátěž z Domácí uživatelé - 60% během dne; až 90% během noci z 5% uživatelů dokáže „zkonzumovat“ až 90% pásma z Upload P2P – od „cizích“ uživatelů z P2P nemožné identifikovat bez DPI, protože: z Používají port hopping z Vydávají se za jiné aplikace – port, tunelování v HTTP z Šifrování 23 March 15, 2007 Company Confidential Řízení P2P : Download x Upload Internet Link PءICHOZÍ Subscribers Flows P2P Download (Nemá být omezen) Non-Subscribers Flows TCP Ack. Upload TCP Ack. on Download Download 24 March 15, 2007 Company Confidential ODCHOZÍ P2P Upload (to (Vhodné be limited) omezit) Global Outbound Limitation Příklady: Pasivní FTP • testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2 Connected to testbox2.slacksite.com. 220 testbox2.slacksite.com FTP server ready. Name (testbox2:slacker): slacker ---> USER slacker 331 Password required for slacker. Password: TmpPass --> PASS XXXX 230 User slacker logged in. ---> SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to transfer files. ftp> passive Passive mode on. ftp> ls ftp: setsockopt (ignored): Permission denied ---> PASV 227 Entering Passive Mode (192,168,150,90,195,149). ---> LIST 150 Opening ASCII mode data connection for file list drwx----- 3 slacker users 104 Jul 27 01:45 public_html 226 Transfer complete. ftp> quit ---> QUIT 221 Goodbye. 25 March 15, 2007 Company Confidential Příklady: SIP 26 March 15, 2007 Company Confidential Podporované protokoly 27 March 15, 2007 Company Confidential Různé aplikace = různé požadavky Aplikace Ztrátovost Zpoždění Jitter Pásmo E-mail High Low Low Low Přenos souborů High Low Low Medium Web High Medium Low Medium Hry 28 High High Mediu Low Každá aplikace vyžaduje jinou QoS m Audio on Demand Low Low High Medium Video on Demand Low Low High High VoIP Low High High Low Video konference Low High High High March 15 March 15,2007 2007 Company Confidential Traffic management = proces Akce (QoS) Monitorování: realtime i sledování dlouhodobých trendů Klasifikace 29 March 15, 2007 Company Confidential Řízení provozu = PROCES Popis Fáze Monitorování Co se v síti děje, vizualizace provozu, alerty Klasifikace Definování pravidel Prosazení QoS / optimalizace Blokování, garance pásma (min/max), priority, CBR, dynamicky Zpětná vazba (accounting), vazba na billing Dlouhodobé sledování 30 March 15, 2007 Company Confidential Policy Editor 1 PIPE 2 VC’s + Fallback Fallback PIPE Definice 31 March 15, 2007 Klasifkace Company Confidential Akce Klasifikační kritéria z z z z z 32 Zdroj a cíl (MAC, IP, subnet, host name) Služba – protokoly a aplikace až po L7 VLAN tag (802.1q) Diffserv/ToS Čas March 15, 2007 Company Confidential QoS možnosti z z z z z z z Min/max pásma pro pravidlo a/nebo spojení Priority (10 úrovni – 1:100) Maximální počet spojení Definice co se stane při dosažení limitu Qos pro příchozí i odchozí směr Změna hodnotu ToS Příklady: z “Omezení P2P provozu na max 256K během pracovní doby” z “Maximální priorita pro VoIP, garance pásma podle kodeku pro 5 hovorů” z “Email nízká priorita, SAP jen oprávnění pracovníci” 33 March 15, 2007 Company Confidential Monitorování v reálném čase Jedním pohledem zjistíte: Zátěž sítě, Hlavní aplikace, Hlavní uživatele, Servery, Provoz podle pravidel Jak je využíváná síť? Celková zátěž? Kdo aktuálně využívá síť? Jaké aplikace jsou aktuálně v síti? 34 March 15, 2007 Company Confidential Co se děje v síti? P2P VC je zahlacen „Drill down“ pro zjištění co a kdo zahlacení způsobuje Graf ukazuje, že EDonkey způsobuje zahlcení „Drill down“ pro jištění kdo tuto aplikací používá Okamžitá identifikace nejaktivnějších uživatelů 35 March 15, 2007 Company Confidential Možnosti zjišťování dalších informací z provozu z Monitoring provozu: Více než 100 pohledů na provoz sítě – přímé odkazy z grafů (drill down) Téměř 28% provozu je HTTP Kdo browsuje? 36 March 15, 2007 Company Confidential Dlouhodobý monitoring Informace: 37 March 15, 2007 Company Confidential z 30 sec. (pro 24 hodin). z 5 min. (pro 1 měsíc). z 1 hodina (pro 3-12 měsíců). z 1 den (3-6 měsíců). z 1 Měsíc Od – do pro různé intervaly (den/měsíc/rok) Next / Previous selected period 38 March 15, 2007 Company Confidential Typický provoz dne 39 March 15, 2007 Company Confidential Typický provoz – příklad Provoz v definovaných pravidlech za poslední týden v konkrétních hodinách 40 March 15, 2007 Company Confidential „Popularity“ graf 10 nejaktivnějších aplikací za posledních 5 hodin 41 March 15, 2007 Company Confidential „Popularity“ graf P2P za poslední týden 42 March 15, 2007 Company Confidential Alerty z Proaktivní informace - email, trap, SMS z Sledování: pravidla a systémové z Systemové alerty z Spojení z DoS útok z Přístupové informace z Pravidla: z Provoz: žádný / nějaký, <> než z Spojení: Nové spojení za sekundu, celkový počet z Útok v jednotlivých pravidlech z Možnost definovat akci: změna QoS, blokování, bypass, skripty... 43 March 15, 2007 Company Confidential Produkty z NetEnforcer: samotný hardware z Od 2Mbps do 5 Gbps z NetXplorer: Centrální managemenet a reporting z Rozhraní pro integraci s dalšími systémy z SMP: Subscriber Mangement Platform z Integrace s IAS/OSS NetXplorer 44 March 15, 2007 Company Confidential Škálovatelnost GUI klient GUI klient OSS RADIUS/DHCP Mediation / Billing Mapuje Subscriber<=>IP<=>Service zIntegrace s DHCP / RADIUS / OSS Subscriber Management z NetXplorer Collector 45 March 15, 2007 NetXplorer Server NetXplorer NetXplorer Data Collector Company Confidential NetXplorer Data Collector NetEnforcer Řada NetEnforcer CPE Network Edge 20G AC-10000 5G AC-25x0 2G z z z z z z AC-10x0 100M Carrier class Redundance a spolehlivost Plný výkon Stovky podporovaných aplikací Řada možností řízení provozu Víceúrovňová pravidla AC-4xx, 8xx 2002 47 March 15, 2007 2003 2004 2005 Company Confidential 2006 2007 Řada NetEnforcer AC-400 AC-800 AC-1000 AC-2500 2-100M 100-300M 300M-2G 1-5G 4,000 28,000 80,000 80,000 Podnikové sítě, ISP Operátoři ISPs, Podnikové sítě Nasazení Nasazení Uživatelé Uživatelé Pásmo Pásmo NetXplorer 48 Přístup k internetu, ISP March 15, 2007 Company Confidential Oprátoři Řada NetEnforcer z 3úrovňová pravidla z Klasifikace a formování z Monitorování – real-time, dlouohodobé z Max. výkon – od 2Mbps do 5 Gbps, 80,000 pravidel z Dedikovaný management port port z 100% spolehlivost: z Bypass mechanismus z Redundance na úrovni komponent z Redundnace na úroni zařízení 49 March 15, 2007 Company Confidential Řada NetEnforcer AC-2500 NetEnforcer AC-2500: nejvýkonnější traffic management na trhu – řešení pro operátory z #1 z hlediska výkonu z #1 z hlediska počtu spojení z #1 z hlediska počtu portů 50 March 15, 2007 Company Confidential 5 Gbps 4,000,000 8GE portů Spolehlivost z Hardware bypass z Redundantní komponenty z Větráky a napájení z Hot swap (u AC1000, 2500) z Redundantní topologie z Actice/backup, Active/active 51 March 15, 2007 Company Confidential Různé topologie Switch/Router Switch/Router Switch/Router Switch/Router NetEnforcer NetEnforcer NetEnforcer NetEnforcer Redundancy Support Link Active Redundancy Link Switch Switch Switch Internet Normal Scenario Primary Active Switch Switch/Router Primary NetEnforcer NetEnforcer Active Mode Primary Bypass Bypass Mode Secondary Bypass Router Secondary NetEnforcer Switch/Router 52 March 15, 2007 Company Confidential Přínos Bez Bez NetEnforceru NetEnforceru S S NetEnforcerem NetEnforcerem Minimální „viditelnost“ provozu Vizualizace z pohledu uživatelů i aplikací Zahlecení sítě Akcelerace provozu, QoE Problémy se řeší navýšením pásma Maximální využití a optimalizace infrastruktury Nabídka přístupu – jen nízká cena Možnost nabídnout různé služby Omezený růst, problémy se změnami 53 March 15, 2007 Účtování podle služeb Company Confidential Reference z Service Providers z NTL, Verizon, FastWeb, BT, Megacable, Equant (FT), PCCW, Sprint, WakWak, TIM, Portugal Telecom, Telecom Malaysia, Prima, Northland, WOW, Optus, Bezeq, Spacenet, @NetHome, Truenet, VIVAX, Telecom Colombia, Telecom Tanzania, mweb …České Radiokomunikace, net4net, Český bezdrát, Slovanet... z Education: NYCBoE, CMU, UCLA, Miami, LSU, Technion, Laval … z Enterprises z Siemens, Kroger, Dixons PLC, INS, ZID, REI, Samsung, Symantec, Schneider, Elktra, Hitachi, CCF, EDF, Teva, BBVA, Ecco, Ownes & Minor, US Navy, REI, NiponPaint…ČEZ, ČEZNET, ČSA, OKD, MUS, ... z Education: NYCBoE, Nottingham University, CMU, UCLA, Miami, LSU, Technion, and more 54 March 15, 2007 Company Confidential Reference 55 March 15, 2007 Company Confidential Příklady Internetové připojení Síťové zdroje respektují obchodní potřeby Síť s maily, P2P, HTTP, VPN IP samotné nabízí pouze „best effort“ Problém – nežádoucí P2P zabere veškeré pásmo Internet Switch NetEnforcer Router QoS Email HTTP/P2P VPN 57 March 15, 2007 Střední priorita Nízká priorita Obchodní aplikace s nejvyšší prioritou Company Confidential Datové centrum Nottingham Boardroom Video conf Internet Meeting Room Video Corporate Internet Link T1 (1.5 Mbps) NetEnforcer E1 Clients Boardroom Video conf Milton Keynes WAN Switch NetEnforcer Router T1 ( 512 Kbps 1.5 Mb ps) London VoIP GW PBX Corporate Data Center 58 SAP Client s Kbp 512 Firewall March 15, 2007 PBX York NetEnforcer Web, Email, FTP Servers SAP/Citrix Oracle ( s) bp M 1 VoIP GW Company Confidential Citrix Client NetEnforcer WAN infrastuktura PBX VoIP GW Boardroom SAP/Citrix Web, Email, Video conf Oracle FTP Servers GUI Client Switch NetXplorer NetEnforcer Router VoIP GW Citrix KaZaA SAP PBX PBX REMOTE REMOTE 59 VoIP GW March 15, 2007 Video FTP Company Confidential REMOTE Video FTP Otázky z www.allot.com z [email protected] 60 March 15, 2007 Company Confidential
Podobné dokumenty
Ukázka - Jitro
aniž bychom usilovali o vyčerpávající přehled. Postačí nám k tomu, abychom postihli věčnou rozpolcenost středověku, který se sice pídí po skutečnosti, ale přitom je neustále přitahován vzdálenými a...
Mikrotik RouterOS: Problematika výměnných sítí
Měření datových toků P2P
Dříve, než se pustíte do více či méně tvrdých restrikcí, je vhodné zjistit, na kolik P2P zatěžují
Vaši síť. K tomu slouží Traffic Marking, neboli značkování paketů. Nastavu...
recovery - Open Medical Club
Nejmocnějším důkaz úzdravy proto spočívá ve sdělených popisech jednotlivců (např. Leete, 1987; Deegan, 1996)
spíše než ve změnách závažnosti symptomů v čase.
ROLE ODBORNÍKŮ
Přístup orientovaný na ú...
Návrh organizační struktury Farní charity Praha 1
schopností jednotlivých pracovníků, není však přesně vymezen. Další
předpokládaný rozvoj organizace v nejbližší době povede k situaci, kdy
již nebude možné efektivně koordinovat všechny pracovníky ...
Ukázková kapitola 6
První záložka se nazývá Remote Domain. Zde lze nastavit přenos zpráv mezi Exchange 2007 a externími doménami SMTP. Když nastavujete vzdálenou doménu, lze ovládat tok pošty přesněji, určovat formáto...