Решения HP для построения сетевой инфраструктуры Алексей Григорьев Технический консультант, Сетевое подразделение ProCurve Networking by HP, Россия Совещание 2008 - контроль использования инфраструктуры (bit torrent, одноклассники, видео….) - требование к надежности оборудования - дефицит человеческих ресурсов для эксплуатации - ограниченные бюджеты требуют задуматься об экономии - экономия приведет к сокращению бюджета в будущем План • О сетевом подразделении ProCurve Networking by HP • Широкая линейка сетевых продуктов ProCurve • Решения для беспроводных сетей • Технологии мониторинга трафика: sFlow • Технологии защиты сети: ProActive Defense Access control: IDM Virus Throttling Network Immunity • Заключение Большой вклад в развитие сетевой истории ProCurve представляет ProCurve отгружает архитектуру ProVision первый Gigabit UTP ASIC (1999) ProCurve завершает разработку ProCurve завершает LLDP & LLDP-MED разработку стандарта (2005) 802.1X Port Access Control (1998) HP представляет Fast IR для мобильных устройств (1994) HP изобретает сервер печати HP начинает (print server) отгрузки (1992) первого в (с марта 1998 г.) индустрии сетевого принтера ProCurve завершает (1990) разработку стандарта 10GbE Copper (2003) ProCurve проходит HP представляет HP демонстрирует ценовой барьер в HP начинает завершённые разработки прототип $100/порт отгрузки первого в Gigabit Ethernet физического уровнядля коммутаторов индустрии physical layer 10 Гигабит (10Gig 10/100 стекируемого (1996) physical layer) (1998) концентратора (1998) (1990) HP ProCurve Hubs & Switches ProCurve Networking by HP HP AdvanceStack HP EtherTwist HP изобретает технологию 10Base-T (1985-87) Основана штабквартира ProCurve в г.Розвиль, Калифорния, США (1979) HP запускает одну из первых в мире сетей Интранет, используя TCP/IP (1979) HP представляет работу миникомпьютеров в сети: mini-computer networking (1972) Лидерство в разработке открытых стандартов IEEE 802.1 Стандарты коммутиремых сетей Ethernet (Ethernet Switching Standards) standards leadership IEEE 802.3ak 10Гигабит по меди (10 Gbps Ethernet over Copper) IEEE 802.1X Протокол аутентификации портов (Port Authentication Protocol) Trusted Computing Group Авторизация целостности конечного устройства - End Device Compliance Authorization IETF Radius Extensions Атрибуты для управления личносто-ориентироваными характеристиками - Identity Driven Manager (IDM) IEEE 802.11 Working Group Vice-Chair Task Group Chair, Key Technical Contributor Initiated standard, Key Technical Contributor Initiated standard, Trusted Network Connect Chair Internet-Draft Editor, Technical Advisor Voting member Стандарты беспроводных сетей (Wireless LAN) IEEE 802.1AB Project Director, Co-editor Обнаружение устройств и управление TIA TR41.4 LLDP-MED Автоматическое обнаружение IP-телефонов и согласование параметров Initiated standard, Co-editor ProCurve Switch 8212zl ProVision ASIC ProVision ASIC Скорости носителя Интеллект #3 in 2001 ProVision ASIC Отказоустойчивость #2 20032007 Коммутато ры 3/4 уровня по цене 2-го уровня NEW 5400 Series Технология «Fast path» 3500 Series 5300 Series #4 in 2000 8212 Switch 6200 Switch 4100 Series 2500 Series Инновации в технологиях • ProCurve разработал ProVision ASICs Коммутатор на чипе • высокоинтегрированная архитектура Разрушение рыночных стереотипов • Доступные по цене решения PoE для широкого круга приложений • масштабируемое семейство продуктов #5 in 1999 #11 in 1998 Шасси по цене стекируемых коммутаторов 4000 Series Строим «мост в будущее» HP Advancestack Switch 2000 HP изобретает 10Base-T 1985 based on Dell Oro’s worldwide total switched 10/100 Ethernet 7 HP, игрок N2 на рынке управляемых коммутаторов ЛВС IN Q207: HP is #2 vendor in revenue HP is #2 vendor in ports shipment for the managed segment with 15 % market share # 2 in Modular Switches (Chassis) Managed ports shipments Alcatel 2% ATI D-Link 2% Netgear 3% Nortel 3% 5% 3Com 8% Others 6% 5 x bigger than Nortel # 2 in Layer 3 Switches Cisco 55% HP 15% 2.8 x bigger than # 3 3Com IDC, 08/07 European figures (EMEA) Ethernet switch market. Managed Ports shipments 8 Momentum for Procurve Networking Q4 2006 position by country 16% 12% 8% 4% 06Q2 05Q3 04Q4 04Q1 0% 01Q1 MKT share 45% 35% 32% 22% 21% 20% 20% 18% 16% 16% 16% 15% 15% 12% 12% 11% 11% 9% 8% 8% 7% 6% 15% 98Q1 Country Finland Norway Denmark Netherlands Portugal France Turkey SouthAfrica Italy Austria Sweden Grand Total Germany Switzerland Russia Poland Spain Israel Belgium CzechRepublic UnitedKingdom Hungary Grand Total ProCurve rank 1 2 2 2 2 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3 2 3 2 IDC, 03/07 European figures Ethernet switch market 10 Некоторые заказчики International Space Station (EADS) SAP Kodak Hilton Hotels Isbank (Turkish bank) Microsoft (MTC) Renault (REA Group) CERN Cambridgeshire County Council The British Library University of Bath Sahlgrenska University Hospital 12 Крупнейшая в мире физическая лаборатория “CERN is continually evaluating innovative technologies, such as the new ProCurve 5400, to help facilitate our research and productivity. We like working with vendors such as ProCurve Networking, who are flexible enough to do this with us. We also like the idea of having more ‘Intelligence at the Edge’ of the network, so the 5400, as part of the Adaptive EDGE Architecture, is in line with our campus strategy.” David Foster, Communications, Systems and Networking Group Leader at CERN ProCurve Networking by HP строит ЛВС в космосе “To put it simply, ProCurve was the only networking vendor whose switches offered us the level of reliability and performance required to handle the intense demands on board Columbus.” Rolf Schmidhuber Columbus data management system technology team leader for EADS ST 14 и еще один ... Знакомая эволюция … Mainframe Computing Client/Server Computing Distributed Computing Distributed Centralized Traditional Core Hybrid Network Intelligence Essential Intelligence Next Gen Network Fabri c 1 No Intelligence 2 Intelligence 3 Optimal Intelligence Smart Provisioning - ProCurve Adaptive EDGE Architecture Сети сосредоточенные на ядре Каждый коммутатор добавленный на границе увеличивает загрузку «принятием решений» на ядре – вынужденное наращивание мощности Цена/производительность для коммутатров ядра не линейная – дорогая и неизбежная модернизация Многие решаемые задачи НЕ МОГУТ перепоручаться ядру – не отвечает требованиям критичным ко времени приложений Adaptive EDGE сети Каждый EDGE-коммутатор добавляет частицу “принятия решений” – линейное масштабирование и соответствие критичным ко времени приложениям EDGE-коммутаторы границы сети основаны на стандартизованых компонентах – недорогое расширение Коммутаторы ядра становятся проще (layer 2) и отвечают только за гарантию полосы пропускания и управление – снижение цены и сложности The ProVision ASIC Следующий шаг в технологии ProCurve 1996 1997 1998 1998 1999 2000 2001 2002 2003 2004 2005 2006 Switch On-a-Chip ASIC Specs 1st 2th 3th 4th Product Family 2000 4000 5300 5400/3500 Process 0.5μ ?μ 0.35μ 0.25μ 0.13μ 88 ? 105 272 273 0.08 Million ? 0.4 Million ? 2.5 Million 6 Million Hard coded L2 Programmable L3/L4 Flows ACLs/IPv6/BMP 120 1 Gbps Mbps 3.8 Gbps 76.8 Gbps 691 Gbps 4 10 8 10/100 24 10/100 24 10/100/1000 1 10/100 1 GbE 4 1GbE & 16 1GbE 4 10 GbE Die Size (mm2) Gates Data Path Throughput Ports ProVision ASIC Competition vs ProVision 48 port 10/100/1000 26 План • О сетевом подразделении ProCurve Networking by HP • Широкая линейка сетевых продуктов ProCurve • Решения для беспроводных сетей • Технологии мониторинга трафика: sFlow • Технологии защиты сети: ProActive Defense Access control: IDM Virus Throttling Network Immunity • Заключение Модульные коммутаторы ProCurve 9300 • Multi-protocol routing (IP, IPX, AT) • Gigabit optimized • Wirespeed Layer 4 services 8200 • Resilient high availability Функциональность • Gig/10G balanced • L2-L4 features • Core-to-Edge Unified 8100 5400 5300 4200 4100 • Redundant high availability • High network scalability • ProVision ASIC, Versatile Intelligent Port • Gigabit PoE w/10G uplink optimized • Wirespeed Intelligent Edge services • Programmable ASIC • 10/100 and Gigabit optimized • Intelligent Edge services • Alternative to competitors stackables • 10/100 and Gigabit optimized • Traditional Edge services • Fast Path Technology • 10/100 optimized • Layer 2 + IP static routes Цена / производительность 28 Стекируемые коммутаторы ProCurve для граничного уровня сети 3500-PWR 2900 Функциональность 2800 2810 2600-PWR 2600 2500 2510 1800 1700 1400 Цена / производительность БЕСШУМНЫЕ КОММУТАТОРЫ ProCurve Коммутаторы ProCurve серии 1400, 1700, 1800, 2510 и 2810 Работа в тишине... План • О сетевом подразделении ProCurve Networking by HP • Широкая линейка сетевых продуктов ProCurve • Решения для беспроводных сетей • Технологии мониторинга трафика: sFlow • Технологии защиты сети: ProActive Defense Access control: IDM Virus Throttling Network Immunity • Заключение Точка доступа ProCurve Access Point 530 новое поколение интеллектуальных продуктов для работы на граничном уровне Основные возможности: • Централизованное управление сетью • Встроенный RADIUS – Для локальной идентификации и/или – Перехват управления при отказе удаленного объекта • QoS и готовность к передаче голосовых данных (VoWLAN) • Максимальная гибкость при развертывании – Интегрированные антенны на 2,4 ГГц и 5 ГГц – Возможность подключения внешних антенн • Пожизненная гарантия Интеллектуальная точка доступа ProCurve Intelligent Edge Access Point 530 Высокоинтеллектуальная автономная точка доступа, идеально подходящая для распределенных объектов Модуль предоставления беспроводных услуг ProCurve Wireless Edge Services для подключения радиопортов Основные возможности: • Подключение Plug-and-play • Централизованное управление частотными радиоканалами • Гостевой доступ Модуль беспроводных услуг Wireless Edge Services xl Module • Быстрый роуминг клиентов Коммутатор 5300xl • Самовосстановление • Встроенная отказоустойчивость Радиопорты • Простая масштабируемость Коммутатор ProCurve • Готовность к передаче голосовых данных по WLAN (VoWLAN) • Пожизненная гарантия Радиопорты Интегрированные высокоэффективные проводные и беспроводные услуги, идеально подходящие для корпоративных сетей План • О сетевом подразделении ProCurve Networking by HP • Широкая линейка сетевых продуктов ProCurve • Решения для беспроводных сетей • Технологии мониторинга трафика: sFlow • Технологии защиты сети: ProActive Defense Access control: IDM Virus Throttling Network Immunity • Заключение Обычные вопросы системного администратора? Что творится в моей сети? Почему сеть так медленно работает? Кто «занял» всю полосу пропускания? Какие приложения используют пользователи? Как я узнаю что мою сеть атакуют? Как я могу предугадать где и когда будет проблема? Промышленный стандарт для мониторинга траффика в сложных, многоуровневых сетях с коммутацией и маршрутизацией Измерения доступны на каждом порту, всё время = сеть видна целиком и «прозрачна» sFlow в действии Коммутатор / Маршрутизатор forwarding tables Агент sFlow interface counters Switching ASIC 1 in N sampling sFlow Datagram packet header eg 128B src/dst i/f sampling parms rate pool forwarding src 802.1p/Q dst 802.1p/Q next hop src/dst mask AS path communities localPref user ID URL i/f counters src/dst Radius TACACS Коллектор и анализатор sFlow «Прозрачная сеть» с с данными на каждом порту коммутатора, поступающими всё sFlow время sFlow sFlow sFlow sFlow Сервер Сервер Wired PC Коллектор / Анализатор sFlow www.sflow.org План • О сетевом подразделении ProCurve Networking by HP • Широкая линейка сетевых продуктов ProCurve • Решения для беспроводных сетей • Технологии мониторинга трафика: sFlow • Технологии защиты сети: ProActive Defense Access control: IDM Virus Throttling Network Immunity • Заключение Решение по безопасности 802.1х Authentication Server HTTP Request Web-Auth MAC Address MAC-Auth 802.1X 802.1X Supplic Supplicant ant Authentication Directory hp procurve switch 5304xl J4850A Status Reset Console 1 2 Clear Self Fan Power Test A B C D E Modules F G H Act FDx Max ! LED Mode Select Use xl modules only Power Fault A B C D 802.1X Authenticator RADIUS Server IDM Agent Policy Enforcement Point (PEP) Switch or Access Point ProCurve owned 3rd Party Software PCM / IDM Server Network Mgmt Server Active Directory LDAP Identity Driven Manager Как это работает Администратор сети Conference Room Интернет Доступ только к Интернет Доступ к Интернет и корпоративным серверам Доступ только к “исправительно му” Anti-Virus Server Гость Сотрудник “Ненадежный” сотрудник Conference Room 1. Управляет группами политик доступа и задает правила и профайлы: • Задает правила Корпоративная • Время сеть • Местоположение • ID устройства Корпоративный • Client integrity status сервер • Для корректировки каждого профайла • ACL • VLAN • QoS “исправительный” • BW limit Anti-Virus 2. Вносит пользователей в Server соответствующую группу политик доступа Граничный коммутатор Сервер Политик доступа Identity Driven Manager • Динамическая установка параметров безопасности, доступа и производительности на основании пользователя, местоположения, времени, и теперь статуса «целостности» клиента • Простое создание и управление группами пользовательских правил (политик доступа) для оптимизации производительности сети и повышения продуктивности пользователей, а также повышения общей эффективности (соответствующий доступ каждому) • На основании прописанных правил будут установлены параметры сети для обеспечения желаемой функциональности Установка значений => VLAN На основании => User ID Bandwidth Limit Device ID QoS Time ACLs Location Client Integrity Status План • О сетевом подразделении ProCurve Networking by HP • Широкая линейка сетевых продуктов ProCurve • Решения для беспроводных сетей • Технологии мониторинга трафика: sFlow • Технологии защиты сети: ProActive Defense Access control: IDM Virus Throttling Network Immunity • Заключение ProCurve 5300xl Software Release 3 The Virus Problem … Антивирусные программы служат для защиты от вирусов 05:29 Jan 25 – 0 infected • Это помогает, но они не могут опознать “day zero” угрозы Day zero, вирусы типа «червь» размножаются очень быстро и наносят массу вреда • Множество инфицированных компьютеров • Перегрузка и блокировка сети Примеры вирусов • SQLSlammer • Sasser 06:00 Jan 25 – 74855 infected ProCurve интегрированный Virus Throttling КАК это работает Вирус распространяется от зараженной машины быстро контактируя с другими машинами (SQLSlammer: >800/sec) Здоровые машины подключаются к меньшему количеству машин и значительно реже (1/sec) Решение: ограничитель частоты на контакты с другими машинами • Как только червь попытается распространиться, 5300 обнаружит аномальное поведение • «Удушение» трафика от инфицированной машины на границы VLAN позволяет значительно замедлить распространение вируса… или … • Предотвращение маршрутизации всего трафика от инфицированной машины на другие части сети ProCurve 5300xl Switch Virus Immediate machine speed response limits spread of virus until human action can be taken Anomalous behavior detection Virus Throttling Built In Ежегодное увеличение обнаруженных уязвимостей и инцедентов Зафиксированные инцеденты Обнаруженные уязвимости 9000 160000 8000 8064 140000 7000 6000 5000 137529 120000 5990 100000 4129 82094 80000 4000 3780 60000 40000 20000 2412 2573 2134 3734 9859 20 05 20 04 20 03 19 99 0 19 98 5 4 3 2 1 0 9 8 7 6 6 20 0 20 0 20 0 20 0 20 0 20 0 20 0 19 9 19 9 19 9 19 9 19 9 5 0 21756 19 97 417 262 19 95 311 345 171 19 96 1090 1000 52658 20 01 2000 20 00 2437 20 02 3784 3000 Note: Incidents are no longer counted by CERT because they have become commonplace. © Adapted from 1995–2005 statistics by Carnegie Mellon University Source: David Moore, Caida.org План • О сетевом подразделении ProCurve Networking by HP • Широкая линейка сетевых продуктов ProCurve • Решения для беспроводных сетей • Технологии мониторинга трафика: sFlow • Технологии защиты сети: ProActive Defense Access control: IDM Virus Throttling Network Immunity • Заключение Внешние и внутренние угрозы 98% компаний используют Firewall для защиты периметра сети Внутренние угрозы Это до 80% всех угроз Network Immunity – Архитектура Решения ProCurve NI Manager • Security Activity Dashboard • Location based Policy Enforcement • Built-in Network Behavior Anomaly Detection (NBAD) • Alert Suppression • Offender Tracking • Security Heat Map • Threat Mitigation • Reporting Second Response Edge Defense • • • • • • • Quarantine Bandwidth Rate limiting Attacker MAC lockout Attacker Port Shutdown Copy suspicious traffic to IDS Email Alert Notification First Response • Inline Prevention • Passive Detection • UTM Suspect Traffic ProCurve Network Edge External Security Devices Типы атак от которых Network Immunity Manager защищает • Zero-day virus or worm attacks – For example, similar to: • Network Based attacks – For example, similar to: – SQL Slammer – DNS Tunneling – Code Red – Smurf – Sasser – IP Spoofing – MS Blaster • Anomalous Packet Size • Protocol Anomalies – For example, similar to: – For example, similar to: – Ping-of-death – Land attack – Nmap – UDP Flood – Netcat – UDP Bomb • Reconnaissance before an attack – For example, similar to: – Port scanning – fPing – Superscan – Nmap Аналогия: безопасность при авиаперелётах Проверка личности Сканирование на соответствие Контроль Доступа GATE 37 Мониторинг Изолирование поведения подозрительных субъектов Pilot Co-Pilot ProCurve - Решение по безопасности Управление доступом Защита инфраструктуры GATE 37 Pilot Определение Оценка Пользователей целостности Динамическое Применение VLAN, ACLs на основании политик Co-Pilot Мониторинг Состояния Сети Автоматически изолировать угрозы на основании Предупреждения политик Аномалии Анализ трафика Карантин Снижение полосы пропускания План • О сетевом подразделении ProCurve Networking by HP • Широкая линейка сетевых продуктов ProCurve • Решения для беспроводных сетей • Технологии мониторинга трафика: sFlow • Технологии защиты сети: ProActive Defense Access control: IDM Virus Throttling Network Immunity • Заключение Преимущества НР Бесплатные обновления программного обеспечения (firmware) для всех коммутаторов Бесплатное программное обеспечение для управления сетью HP ProCurve Manager • Интуитивный, лёгкий в использовании пользовательский интерфейс • Авто-обнаружение устройств, карты топологии, запуск веб-агента • Автопредупреждения и рекомендации по устранению неполадок Пожизненная гарантия • Бесплатная пожизненная гарантия* на весь срок владения оборудованием с заменой на следующий рабочий день! • Без «подводных камней» - на весь период владения устройством, распространяется в т.ч. на все модули, вентиляторы, источники питания • Высочайший показатель времени наработки на отказ (MTBF от 79 000 до 319 000 часов(>36 лет!)) *Все продукты – кроме серий 8100fl, 9300m, и 700wl Приверженность качеству и надежности позволяет ProCurve предлагать лучшую в индустрии пожизненную гарантию ♦ For as long as you own the product, with next-business-day advance replacement (available in most countries). For details, refer to the ProCurve Software Licence, Warranty and Support booklet at www.procurve.eu/warranty 73 Совещание 2008 - контроль использования инфраструктуры (bit torrent, одноклассники, видео….) - требование к надежности оборудования - дефицит человеческих ресурсов для эксплуатации - ограниченные бюджеты требуют задуматься об экономии - экономия приведет к сокращению бюджета в будущем www.procurve.com www.hp.ru/network Григорьев Алексей Технический консультант, Сетевое подразделение ProCurve Networking by HP, Россия Хьюлетт-Паккард 115054 Россия, Москва Космодамианская наб., 52, строение 1 Тел. (495) 797-3500 Эл. почта alexey.grigoriev@hp.com