Решения HP для построения сетевой инфраструктуры

реклама
Решения HP для
построения сетевой
инфраструктуры
Алексей Григорьев
Технический консультант,
Сетевое подразделение
ProCurve Networking by HP,
Россия
Совещание 2008
- контроль использования инфраструктуры (bit torrent,
одноклассники, видео….)
- требование к надежности оборудования
- дефицит человеческих ресурсов для эксплуатации
- ограниченные бюджеты требуют задуматься об
экономии
- экономия приведет к сокращению бюджета в будущем
План
• О сетевом подразделении ProCurve Networking by HP
• Широкая линейка сетевых продуктов ProCurve
• Решения для беспроводных сетей
• Технологии мониторинга трафика: sFlow
• Технологии защиты сети: ProActive Defense
 Access control: IDM
 Virus Throttling
 Network Immunity
• Заключение
Большой вклад в развитие сетевой
истории
ProCurve
представляет
ProCurve отгружает
архитектуру ProVision
первый Gigabit UTP
ASIC
(1999)
ProCurve завершает
разработку
ProCurve завершает
LLDP & LLDP-MED
разработку стандарта
(2005)
802.1X Port Access
Control (1998)
HP представляет
Fast IR для
мобильных
устройств
(1994)
HP изобретает
сервер печати
HP начинает (print server)
отгрузки
(1992)
первого в
(с марта 1998 г.)
индустрии
сетевого
принтера
ProCurve завершает
(1990)
разработку
стандарта 10GbE
Copper (2003)
ProCurve проходит
HP представляет
HP демонстрирует ценовой барьер в
HP начинает завершённые разработки
прототип
$100/порт
отгрузки первого в Gigabit Ethernet
физического
уровнядля коммутаторов
индустрии
physical layer
10 Гигабит (10Gig
10/100
стекируемого
(1996)
physical layer)
(1998)
концентратора
(1998)
(1990)
HP ProCurve
Hubs & Switches
ProCurve
Networking by HP
HP
AdvanceStack
HP
EtherTwist
HP изобретает
технологию 10Base-T
(1985-87)
Основана штабквартира ProCurve в
г.Розвиль,
Калифорния, США
(1979)
HP запускает одну из
первых в мире сетей
Интранет, используя
TCP/IP
(1979)
HP представляет
работу миникомпьютеров в сети:
mini-computer
networking (1972)
Лидерство в разработке открытых
стандартов
IEEE 802.1
Стандарты коммутиремых сетей Ethernet
(Ethernet Switching Standards)
standards leadership
IEEE 802.3ak
10Гигабит по меди
(10 Gbps Ethernet over Copper)
IEEE 802.1X
Протокол аутентификации портов
(Port Authentication Protocol)
Trusted Computing Group
Авторизация целостности конечного устройства
- End Device Compliance Authorization
IETF Radius Extensions
Атрибуты для управления личносто-ориентироваными
характеристиками - Identity Driven Manager (IDM)
IEEE 802.11
Working Group Vice-Chair
Task Group Chair, Key
Technical Contributor
Initiated standard, Key
Technical Contributor
Initiated standard, Trusted
Network Connect Chair
Internet-Draft Editor,
Technical Advisor
Voting member
Стандарты беспроводных сетей (Wireless LAN)
IEEE 802.1AB
Project Director, Co-editor
Обнаружение устройств и управление
TIA TR41.4 LLDP-MED
Автоматическое обнаружение IP-телефонов и
согласование параметров
Initiated standard, Co-editor
ProCurve Switch 8212zl
ProVision ASIC
ProVision ASIC
Скорости носителя
Интеллект
#3 in
2001
ProVision ASIC
Отказоустойчивость
#2
20032007
Коммутато
ры 3/4
уровня по
цене 2-го
уровня
NEW
5400 Series
Технология
«Fast path»
3500 Series
5300 Series
#4 in
2000
8212 Switch
6200 Switch
4100 Series
2500 Series
Инновации в технологиях
• ProCurve разработал ProVision ASICs
Коммутатор
на чипе
• высокоинтегрированная архитектура
Разрушение рыночных стереотипов
• Доступные по цене решения PoE для
широкого круга приложений
• масштабируемое семейство продуктов
#5 in
1999
#11
in
1998
Шасси по цене
стекируемых
коммутаторов
4000 Series
Строим
«мост в
будущее»
HP Advancestack
Switch 2000
HP
изобретает
10Base-T
1985
based on Dell Oro’s worldwide total switched 10/100 Ethernet
7
HP, игрок N2 на рынке управляемых
коммутаторов ЛВС
IN Q207:
HP is #2 vendor in revenue
HP is #2 vendor in ports shipment for the managed
segment with 15 % market share
# 2 in Modular
Switches (Chassis)
Managed ports shipments
Alcatel
2% ATI
D-Link
2%
Netgear 3%
Nortel 3%
5%
3Com
8%
Others
6%
5 x bigger than Nortel
# 2 in Layer 3
Switches
Cisco
55%
HP
15%
2.8 x bigger than # 3 3Com
IDC, 08/07
European figures (EMEA)
Ethernet switch market. Managed Ports shipments
8
Momentum for Procurve Networking
Q4 2006 position by country
16%
12%
8%
4%
06Q2
05Q3
04Q4
04Q1
0%
01Q1
MKT
share
45%
35%
32%
22%
21%
20%
20%
18%
16%
16%
16%
15%
15%
12%
12%
11%
11%
9%
8%
8%
7%
6%
15%
98Q1
Country
Finland
Norway
Denmark
Netherlands
Portugal
France
Turkey
SouthAfrica
Italy
Austria
Sweden
Grand Total
Germany
Switzerland
Russia
Poland
Spain
Israel
Belgium
CzechRepublic
UnitedKingdom
Hungary
Grand Total
ProCurve
rank
1
2
2
2
2
2
2
2
2
2
2
2
2
2
3
3
3
3
3
3
2
3
2
IDC, 03/07
European figures
Ethernet switch market
10
Некоторые заказчики
International Space Station (EADS)
SAP
Kodak
Hilton Hotels
Isbank (Turkish bank)
Microsoft (MTC)
Renault (REA Group)
CERN
Cambridgeshire County Council
The British Library
University of Bath
Sahlgrenska University Hospital
12
Крупнейшая в мире физическая
лаборатория
“CERN is continually evaluating
innovative technologies, such as the
new ProCurve 5400, to help facilitate
our research and productivity. We like
working with vendors such as ProCurve
Networking, who are flexible enough to
do this with us. We also like the idea of
having more ‘Intelligence at the Edge’
of the network, so the 5400, as part of
the Adaptive EDGE Architecture, is in
line with our campus strategy.”
David Foster, Communications,
Systems and Networking Group
Leader at CERN
ProCurve Networking by HP
строит ЛВС в космосе
“To put it simply,
ProCurve was the only
networking vendor whose
switches offered us the level
of reliability and performance
required to handle the
intense demands on board
Columbus.”
Rolf Schmidhuber
Columbus data management system
technology team leader for EADS ST
14
и еще один ...
Знакомая эволюция …
Mainframe
Computing
Client/Server
Computing
Distributed
Computing
Distributed
Centralized
Traditional Core
Hybrid Network
Intelligence
Essential
Intelligence
Next Gen Network
Fabri
c
1
No
Intelligence
2
Intelligence
3
Optimal
Intelligence
Smart Provisioning - ProCurve Adaptive EDGE Architecture
Сети сосредоточенные на ядре
Каждый коммутатор
добавленный на границе
увеличивает загрузку
«принятием решений» на
ядре – вынужденное
наращивание мощности
Цена/производительность
для коммутатров ядра не
линейная – дорогая и
неизбежная модернизация
Многие решаемые задачи
НЕ МОГУТ перепоручаться
ядру – не отвечает
требованиям критичным ко
времени приложений
Adaptive EDGE сети
Каждый EDGE-коммутатор
добавляет частицу “принятия
решений” – линейное
масштабирование и
соответствие критичным ко
времени приложениям
EDGE-коммутаторы границы
сети основаны на
стандартизованых
компонентах – недорогое
расширение
Коммутаторы ядра становятся
проще (layer 2) и отвечают
только за гарантию полосы
пропускания и управление –
снижение цены и сложности
The ProVision ASIC
Следующий шаг в технологии ProCurve
1996
1997
1998
1998
1999
2000
2001
2002
2003
2004
2005
2006
Switch
On-a-Chip
ASIC Specs
1st
2th
3th
4th
Product Family
2000
4000
5300
5400/3500
Process
0.5μ
?μ
0.35μ
0.25μ
0.13μ
88
?
105
272
273
0.08 Million
?
0.4 Million
?
2.5 Million
6 Million
Hard coded L2
Programmable
L3/L4 Flows
ACLs/IPv6/BMP
120
1 Gbps
Mbps
3.8 Gbps
76.8 Gbps
691 Gbps
4 10
8 10/100
24 10/100
24 10/100/1000
1 10/100
1 GbE
4 1GbE & 16 1GbE
4 10 GbE
Die Size (mm2)
Gates
Data Path
Throughput
Ports
ProVision ASIC
Competition
vs
ProVision
48 port 10/100/1000
26
План
• О сетевом подразделении ProCurve Networking by HP
• Широкая линейка сетевых продуктов ProCurve
• Решения для беспроводных сетей
• Технологии мониторинга трафика: sFlow
• Технологии защиты сети: ProActive Defense
 Access control: IDM
 Virus Throttling
 Network Immunity
• Заключение
Модульные коммутаторы ProCurve
9300
• Multi-protocol routing (IP, IPX, AT)
• Gigabit optimized
• Wirespeed Layer 4 services
8200 • Resilient high availability
Функциональность
• Gig/10G balanced
• L2-L4 features
• Core-to-Edge Unified
8100
5400
5300
4200
4100
• Redundant high availability
• High network scalability
• ProVision ASIC, Versatile Intelligent Port
• Gigabit PoE w/10G uplink optimized
• Wirespeed Intelligent Edge services
• Programmable ASIC
• 10/100 and Gigabit optimized
• Intelligent Edge services
• Alternative to competitors stackables
• 10/100 and Gigabit optimized
• Traditional Edge services
• Fast Path Technology
• 10/100 optimized
• Layer 2 + IP static routes
Цена / производительность
28
Стекируемые коммутаторы ProCurve
для граничного уровня сети
3500-PWR
2900
Функциональность
2800
2810
2600-PWR
2600
2500
2510
1800
1700
1400
Цена / производительность
БЕСШУМНЫЕ КОММУТАТОРЫ ProCurve
Коммутаторы ProCurve
серии 1400, 1700, 1800,
2510 и 2810
Работа в тишине...
План
• О сетевом подразделении ProCurve Networking by HP
• Широкая линейка сетевых продуктов ProCurve
• Решения для беспроводных сетей
• Технологии мониторинга трафика: sFlow
• Технологии защиты сети: ProActive Defense
 Access control: IDM
 Virus Throttling
 Network Immunity
• Заключение
Точка доступа ProCurve Access Point 530 новое поколение интеллектуальных продуктов для
работы на граничном уровне
Основные возможности:
• Централизованное управление сетью
• Встроенный RADIUS
– Для локальной идентификации и/или
– Перехват управления при отказе
удаленного объекта
• QoS и готовность к передаче голосовых данных
(VoWLAN)
• Максимальная гибкость при развертывании
– Интегрированные антенны на 2,4 ГГц и 5
ГГц
– Возможность подключения внешних
антенн
• Пожизненная гарантия
Интеллектуальная точка
доступа ProCurve
Intelligent Edge Access
Point 530
Высокоинтеллектуальная автономная точка доступа,
идеально подходящая для распределенных объектов
Модуль предоставления беспроводных
услуг ProCurve Wireless Edge Services для
подключения радиопортов
Основные возможности:
• Подключение Plug-and-play
• Централизованное управление
частотными радиоканалами
• Гостевой доступ
Модуль беспроводных услуг
Wireless Edge Services xl Module
• Быстрый роуминг клиентов
Коммутатор 5300xl
• Самовосстановление
• Встроенная отказоустойчивость
Радиопорты
• Простая масштабируемость Коммутатор ProCurve
• Готовность к передаче
голосовых данных по WLAN
(VoWLAN)
• Пожизненная гарантия
Радиопорты
Интегрированные высокоэффективные проводные и
беспроводные услуги, идеально подходящие для
корпоративных сетей
План
• О сетевом подразделении ProCurve Networking by HP
• Широкая линейка сетевых продуктов ProCurve
• Решения для беспроводных сетей
• Технологии мониторинга трафика: sFlow
• Технологии защиты сети: ProActive Defense
 Access control: IDM
 Virus Throttling
 Network Immunity
• Заключение
Обычные вопросы системного
администратора?
Что творится в моей сети?
Почему сеть так медленно
работает?
Кто «занял» всю полосу
пропускания?
Какие приложения используют
пользователи?
Как я узнаю что мою сеть
атакуют?
Как я могу предугадать где и
когда будет проблема?
Промышленный стандарт для мониторинга
траффика в сложных, многоуровневых сетях с
коммутацией и маршрутизацией
Измерения доступны на каждом порту, всё время =
сеть видна целиком и «прозрачна»
sFlow в действии
Коммутатор /
Маршрутизатор
forwarding
tables
Агент
sFlow
interface
counters
Switching
ASIC
1 in N
sampling
sFlow Datagram
packet header
eg 128B
src/dst i/f
sampling parms
rate
pool
forwarding
src 802.1p/Q
dst 802.1p/Q
next hop
src/dst mask
AS path
communities
localPref
user ID
URL
i/f counters
src/dst
Radius
TACACS
Коллектор и анализатор
sFlow
«Прозрачная сеть» с
с
данными на каждом порту
коммутатора, поступающими всё
sFlow
время
sFlow
sFlow
sFlow
sFlow
Сервер
Сервер
Wired PC
Коллектор /
Анализатор sFlow
www.sflow.org
План
• О сетевом подразделении ProCurve Networking by HP
• Широкая линейка сетевых продуктов ProCurve
• Решения для беспроводных сетей
• Технологии мониторинга трафика: sFlow
• Технологии защиты сети: ProActive Defense
 Access control: IDM
 Virus Throttling
 Network Immunity
• Заключение
Решение по безопасности 802.1х
Authentication
Server
HTTP Request
Web-Auth
MAC Address
MAC-Auth
802.1X
802.1X
Supplic
Supplicant
ant
Authentication
Directory
hp procurve
switch 5304xl
J4850A
Status
Reset
Console
1
2
Clear Self Fan Power
Test
A
B
C
D
E
Modules
F
G
H
Act FDx Max !
LED Mode Select
Use xl modules only
Power
Fault
A
B
C
D
802.1X Authenticator
RADIUS
Server
IDM Agent
Policy Enforcement Point (PEP)
Switch or Access Point
ProCurve
owned
3rd Party
Software
PCM / IDM
Server
Network Mgmt
Server
Active Directory
LDAP
Identity Driven Manager
Как это работает
Администратор
сети
Conference Room
Интернет
Доступ только к
Интернет
Доступ к
Интернет и
корпоративным
серверам
Доступ только к
“исправительно
му”
Anti-Virus
Server
Гость
Сотрудник
“Ненадежный”
сотрудник
Conference Room
1. Управляет группами
политик доступа и задает
правила и профайлы:
• Задает правила
Корпоративная
• Время
сеть
• Местоположение
• ID устройства
Корпоративный
• Client integrity status
сервер
• Для корректировки
каждого профайла
• ACL
• VLAN
• QoS
“исправительный”
• BW limit
Anti-Virus
2. Вносит пользователей в
Server
соответствующую группу
политик доступа
Граничный
коммутатор
Сервер
Политик
доступа
Identity Driven Manager
•
Динамическая установка параметров безопасности, доступа и
производительности на основании пользователя, местоположения,
времени, и теперь статуса «целостности» клиента
•
Простое создание и управление группами пользовательских правил
(политик доступа) для оптимизации производительности сети и
повышения продуктивности пользователей, а также повышения общей
эффективности (соответствующий доступ каждому)
•
На основании прописанных правил будут установлены параметры сети
для обеспечения желаемой функциональности
Установка
значений =>
VLAN
На основании =>
User
ID
Bandwidth
Limit
Device
ID
QoS
Time
ACLs
Location
Client
Integrity
Status
План
• О сетевом подразделении ProCurve Networking by HP
• Широкая линейка сетевых продуктов ProCurve
• Решения для беспроводных сетей
• Технологии мониторинга трафика: sFlow
• Технологии защиты сети: ProActive Defense
 Access control: IDM
 Virus Throttling
 Network Immunity
• Заключение
ProCurve 5300xl Software Release 3
The
Virus Problem …
Антивирусные программы
служат для защиты от вирусов
05:29 Jan 25 – 0 infected
• Это помогает, но они не могут
опознать “day zero” угрозы
Day zero, вирусы типа «червь»
размножаются очень быстро и
наносят массу вреда
• Множество инфицированных
компьютеров
• Перегрузка и блокировка сети
Примеры вирусов
• SQLSlammer
• Sasser
06:00 Jan 25 – 74855 infected
ProCurve интегрированный Virus Throttling
КАК это работает
Вирус распространяется от зараженной машины быстро
контактируя с другими машинами (SQLSlammer: >800/sec)
Здоровые машины подключаются к меньшему количеству машин и
значительно реже (1/sec)
Решение: ограничитель частоты на контакты с другими машинами
• Как только червь попытается распространиться, 5300 обнаружит
аномальное поведение
• «Удушение» трафика от инфицированной машины на границы VLAN
позволяет значительно замедлить распространение вируса… или …
• Предотвращение маршрутизации всего трафика от инфицированной
машины на другие части сети
ProCurve
5300xl Switch
Virus
Immediate machine speed
response limits spread of virus
until human action can be taken
Anomalous
behavior detection
Virus
Throttling
Built In
Ежегодное увеличение обнаруженных
уязвимостей и инцедентов
Зафиксированные инцеденты
Обнаруженные уязвимости
9000
160000
8000
8064
140000
7000
6000
5000
137529
120000
5990
100000
4129
82094
80000
4000
3780
60000
40000
20000
2412
2573
2134
3734
9859
20
05
20
04
20
03
19
99
0
19
98
5
4
3
2
1
0
9
8
7
6
6
20
0
20
0
20
0
20
0
20
0
20
0
20
0
19
9
19
9
19
9
19
9
19
9
5
0
21756
19
97
417
262
19
95
311
345
171
19
96
1090
1000
52658
20
01
2000
20
00
2437
20
02
3784
3000
Note: Incidents are no longer counted by CERT
because they have become commonplace.
© Adapted from 1995–2005 statistics by Carnegie Mellon University
Source: David Moore, Caida.org
План
• О сетевом подразделении ProCurve Networking by HP
• Широкая линейка сетевых продуктов ProCurve
• Решения для беспроводных сетей
• Технологии мониторинга трафика: sFlow
• Технологии защиты сети: ProActive Defense
 Access control: IDM
 Virus Throttling
 Network Immunity
• Заключение
Внешние и внутренние угрозы
98% компаний используют Firewall
для защиты периметра сети
Внутренние угрозы
Это до 80% всех угроз
Network Immunity – Архитектура Решения
ProCurve NI Manager
• Security Activity Dashboard
• Location based Policy Enforcement
• Built-in Network Behavior Anomaly
Detection (NBAD)
• Alert Suppression
• Offender Tracking
• Security Heat Map
• Threat Mitigation
• Reporting
Second Response
Edge Defense
•
•
•
•
•
•
•
Quarantine
Bandwidth Rate limiting
Attacker MAC lockout
Attacker Port Shutdown
Copy suspicious traffic to IDS
Email Alert
Notification
First Response
• Inline Prevention
• Passive Detection
• UTM
Suspect Traffic
ProCurve
Network Edge
External
Security Devices
Типы атак от которых Network
Immunity Manager защищает
• Zero-day virus or worm attacks
– For example, similar to:
• Network Based attacks
– For example, similar to:
– SQL Slammer
– DNS Tunneling
– Code Red
– Smurf
– Sasser
– IP Spoofing
– MS Blaster
• Anomalous Packet Size
• Protocol Anomalies
– For example, similar to:
– For example, similar to:
– Ping-of-death
– Land attack
– Nmap
– UDP Flood
– Netcat
– UDP Bomb
• Reconnaissance before an attack
– For example, similar to:
– Port scanning
– fPing
– Superscan
– Nmap
Аналогия: безопасность при
авиаперелётах
Проверка
личности
Сканирование
на
соответствие
Контроль
Доступа
GATE
37
Мониторинг Изолирование
поведения подозрительных субъектов
Pilot
Co-Pilot
ProCurve - Решение по безопасности
Управление доступом
Защита инфраструктуры
GATE
37
Pilot
Определение
Оценка
Пользователей целостности
Динамическое
Применение
VLAN, ACLs на
основании
политик
Co-Pilot
Мониторинг
Состояния
Сети
Автоматически
изолировать
угрозы на
основании
Предупреждения
политик
Аномалии
Анализ трафика
Карантин
Снижение полосы
пропускания
План
• О сетевом подразделении ProCurve Networking by HP
• Широкая линейка сетевых продуктов ProCurve
• Решения для беспроводных сетей
• Технологии мониторинга трафика: sFlow
• Технологии защиты сети: ProActive Defense
 Access control: IDM
 Virus Throttling
 Network Immunity
• Заключение
Преимущества НР
Бесплатные обновления программного обеспечения (firmware) для
всех коммутаторов
Бесплатное программное обеспечение для управления сетью
HP ProCurve Manager
• Интуитивный, лёгкий в использовании пользовательский интерфейс
• Авто-обнаружение устройств, карты топологии,
запуск веб-агента
• Автопредупреждения и рекомендации по устранению неполадок
Пожизненная гарантия
• Бесплатная пожизненная гарантия* на весь срок владения оборудованием с
заменой на следующий рабочий день!
• Без «подводных камней» - на весь период владения устройством, распространяется
в т.ч. на все модули, вентиляторы, источники питания
• Высочайший показатель времени наработки на отказ (MTBF от 79 000 до 319 000
часов(>36 лет!))
*Все продукты – кроме серий 8100fl, 9300m, и 700wl
Приверженность качеству и
надежности позволяет ProCurve
предлагать лучшую в индустрии
пожизненную гарантию
♦ For as long as you own the product, with next-business-day advance replacement
(available in most countries). For details, refer to the ProCurve Software Licence,
Warranty and Support booklet at www.procurve.eu/warranty
73
Совещание 2008
- контроль использования инфраструктуры (bit torrent,
одноклассники, видео….)
- требование к надежности оборудования
- дефицит человеческих ресурсов для эксплуатации
- ограниченные бюджеты требуют задуматься об
экономии
- экономия приведет к сокращению бюджета в будущем
www.procurve.com
www.hp.ru/network
Григорьев Алексей
Технический консультант,
Сетевое подразделение ProCurve Networking by HP, Россия
Хьюлетт-Паккард
115054 Россия, Москва
Космодамианская наб., 52, строение 1
Тел.
(495) 797-3500
Эл. почта
alexey.grigoriev@hp.com
Скачать