Скачать презентацию Решения HP для построения сетевой инфраструктуры Алексей Григорьев
6483a3b64617427b232ef397ad92b826.ppt
- Количество слайдов: 62
Решения HP для построения сетевой инфраструктуры Алексей Григорьев Технический консультант, Сетевое подразделение Pro. Curve Networking by HP, Россия
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Большой вклад в развитие сетевой истории Pro. Curve представляет Pro. Curve отгружает архитектуру Pro. Vision первый Gigabit UTP ASIC (1999) Pro. Curve завершает разработку Pro. Curve завершает LLDP & LLDP-MED разработку стандарта (2005) 802. 1 X Port Access Control (1998) HP представляет Fast IR для мобильных устройств (1994) HP изобретает сервер печати HP начинает (print server) отгрузки первого (1992) (с марта 1998 г. ) в индустрии сетевого принтера Pro. Curve завершает (1990) разработку стандарта 10 Gb. E Copper (2003) Pro. Curve проходит HP представляет HP HP начинает завершённые разработки демонстрирует ценовой барьер в прототип $100/порт отгрузки первого в Gigabit Ethernet физического уровня для коммутаторов индустрии physical layer 10 Гигабит (10 Gig 10/100 стекируемого (1996) physical layer) (1998) концентратора (1998) (1990) HP Pro. Curve Hubs & Switches Pro. Curve Networking by HP HP Advance. Stack HP Ether. Twist HP изобретает технологию 10 Base-T (1985 -87) Основана штабквартира Pro. Curve в г. Розвиль, Калифорния, США (1979) HP запускает одну из первых в мире сетей Интранет, используя TCP/IP (1979) HP представляет работу миникомпьютеров в сети: mini-computer networking (1972)
Открытые стандарты • В настоящее время Pro. Curve Networking участвует в более чем 100 рабочих группах по разработке стандартов • • • Лидер Активный участник Наблюдатель Ведущая роль и активный вклад включает в себя участие в IETF, IEEE, TIA, TCG и других форумах Инвестиции Pro. Curve в стандарты дают нашим клиентам • • • Больше выбора, свободу Увереность в качестве Функциональная совместимость во всех средах
Лидерство в разработке открытых стандартов IEEE 802. 1 Стандарты коммутиремых сетей Ethernet (Ethernet Switching Standards) standards leadership IEEE 802. 3 ak 10 Гигабит по меди (10 Gbps Ethernet over Copper) IEEE 802. 1 X Протокол аутентификации портов (Port Authentication Protocol) Trusted Computing Group Авторизация целостности конечного устройства - End Device Compliance Authorization IETF Radius Extensions Атрибуты для управления личносто-ориентироваными характеристиками - Identity Driven Manager (IDM) IEEE 802. 11 Working Group Vice-Chair Task Group Chair, Key Technical Contributor Initiated standard, Trusted Network Connect Chair Internet-Draft Editor, Technical Advisor Voting member Стандарты беспроводных сетей (Wireless LAN) IEEE 802. 1 AB Project Director, Co-editor Обнаружение устройств и управление TIA TR 41. 4 LLDP-MED Автоматическое обнаружение IP-телефонов и согласование параметров Initiated standard, Co-editor
Pro. Curve Switch 8212 zl Pro. Vision ASIC Скорости носителя Интеллект #3 in 2001 Pro. Vision ASIC Отказоустойчивость #2 20032007 Коммутатор ы 3/4 уровня по цене 2 -го уровня NEW 5400 Series Технология «Fast path» 3500 Series 5300 Series #4 in 2000 8212 Switch 6200 Switch 4100 Series 2500 Series Инновации в технологиях • Pro. Curve разработал Pro. Vision ASICs Коммутатор на чипе • высокоинтегрированная архитектура Разрушение рыночных стереотипов • Доступные по цене решения Po. E для #5 in 1999 широкого круга приложений • масштабируемое семейство продуктов #11 in 1998 Шасси по цене стекируемых коммутаторов 4000 Series Строим «мост в будущее» HP Advancestack Switch 2000 HP изобретает 10 Base-T 1985 based on Dell Oro’s worldwide total switched 10/100 Ethernet 6
Инновации ускоряют темпы развития Количество лет развития продукта, чтобы быть востребованным у 25% населения Автомобиль - 55 лет Телефон – 35 лет Компьютер - 15 лет Моб. телефон - 13 лет Интернет - 7 лет
Скорость изменений увеличивается § Конкуренция ужесточается и эволюция становится решающим фактором § Бизнес должен построить новое основание для § Использования лучших бизнес-процессов § Внедрения новых приложений § Управления стоимостью и сложностью
Adaptive - Адаптивный - Приспособленный: 1. Используемый в различных условиях: приспособленный для использования в различных условиях 2. Обладающий способностью изменяться, для того чтобы соответствовать различным условиям.
Адаптивня сеть должна быть: § Адаптивной к пользователям § Адаптивной к приложениям
Что такое адаптивная сеть? Это целостная и в то же время гибкая сетевая инфраструктура, которая позволяет Вашей организации: § Повысить безопасность § Увеличить производительность § Снизить сложность
Знакомая эволюция … Client/Server Computing Mainframe Computing Distributed Centralized Traditional Core Hybrid Network Intelligence Next Gen Network Essential Intelligence Fabri c 1 No Intelligence 2 Intelligence 3 Optimal Intelligence Smart Provisioning - Pro. Curve Adaptive EDGE Architecture
Сети сосредоточенные на ядре Каждый коммутатор добавленный на границе увеличивает загрузку «принятием решений» на ядре – вынужденное наращивание мощности Цена/производительность для коммутатров ядра не линейная – дорогая и неизбежная модернизация Многие решаемые задачи НЕ МОГУТ перепоручаться ядру – не отвечает требованиям критичным ко времени приложений
Adaptive EDGE сети Каждый EDGE-коммутатор добавляет частицу “принятия решений” – линейное масштабирование и соответствие критичным ко времени приложениям EDGE-коммутаторы границы сети основаны на стандартизованых компонентах – недорогое расширение Коммутаторы ядра становятся проще (layer 2) и отвечают только за гарантию полосы пропускания и управление – снижение цены и сложности
The Pro. Vision ASIC Следующий шаг в технологии Pro. Curve 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 Switch On-a-Chip ASIC Specs 1 st 2 th 3 th 4 th Product Family 2000 4000 5300 5400/3500 Process 0. 5μ ? μ 0. 35μ 0. 25μ 0. 13μ 88 ? 105 272 273 0. 08 Million ? 0. 4 Million ? 2. 5 Million 6 Million Hard coded L 2 Programmable L 3/L 4 Flows ACLs/IPv 6/BMP 120 Mbps 1 Gbps 3. 8 Gbps 76. 8 Gbps 691 Gbps 4 10 8 10/100 24 10/1000 1 10/100 1 Gb. E 4 1 Gb. E & 16 1 Gb. E 4 10 Gb. E Die Size (mm 2) Gates Data Path Throughput Ports
Pro. Vision ASIC Cisco 4506 vs Pro. Vision 48 port 10/1000
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Модульные коммутаторы Pro. Curve 9300 • Multi-protocol routing (IP, IPX, AT) • Gigabit optimized • Wirespeed Layer 4 services 8200 • Resilient high availability Функциональность • Gig/10 G balanced • L 2 -L 4 features • Core-to-Edge Unified 8100 5400 5300 4200 4100 • Redundant high availability • High network scalability • Pro. Vision ASIC, Versatile Intelligent Port • Gigabit Po. E w/10 G uplink optimized • Wirespeed Intelligent Edge services • Programmable ASIC • 10/100 and Gigabit optimized • Intelligent Edge services • Alternative to competitors stackables • 10/100 and Gigabit optimized • Traditional Edge services • Fast Path Technology • 10/100 optimized • Layer 2 + IP static routes Цена / производительность 18
Стекируемые коммутаторы Pro. Curve для граничного уровня сети 3500 -PWR 2900 Функциональность 2800 2810 2600 -PWR 2600 2510 1800 1700 1400 Цена / производительность
БЕСШУМНЫЕ КОММУТАТОРЫ Pro. Curve Коммутаторы Pro. Curve серии 1400, 1700, 1800, 2510 и 2810 Работа в тишине. . .
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Модуль предоставления беспроводных услуг Pro. Curve Wireless Edge Services для подключения радиопортов Основные возможности: • Подключение Plug-and-play • Централизованное управление частотными радиоканалами • Гостевой доступ Модуль беспроводных услуг Wireless Edge Services xl Module • Быстрый роуминг клиентов Коммутатор 5300 xl • Самовосстановление • Встроенная отказоустойчивость Радиопорты • Простая масштабируемость Коммутатор Pro. Curve • Готовность к передаче голосовых данных по WLAN (Vo. WLAN) • Пожизненная гарантия Радиопорты Интегрированные высокоэффективные проводные и беспроводные услуги, идеально подходящие для корпоративных сетей
Радиопорты для решения Pro. Curve Wireless Edge Services в рамках решения беспроводного коммутатора Pro. Curve Радио порты Pro. Curve • Выбор оборудования для различных моделей проектирования беспроводных сетей Radio Port 210 – J 9004 A Radio Port 230 – J 9006 A Radio Port 220 – J 9005 A • Один радиодиаппазон 802. 11 g • Два радиодиапазона (802. 11 a+802. 11 g) • • Встроенная антенна Два радиодиапазона (802. 11 a+802. 11 g) • Встроенная антенна • Подвесная установка • Требует внешние антенны Для экономичного, стандартного офисного использования, где нет потребности в поддержке клиентов 802. 11 a Для стандартного офисного использования с поддержкой беспроводных клиентов в двух радиостандартах Лучше всего подходит для специфического использования, требующего внешние антенны, или подвесное размещение
Точка доступа Pro. Curve Access Point 530 новое поколение интеллектуальных продуктов для работы на граничном уровне Основные возможности: • Централизованное управление сетью • Встроенный RADIUS – Для локальной идентификации и/или – Перехват управления при отказе удаленного объекта • Qo. S и готовность к передаче голосовых данных (Vo. WLAN) • Максимальная гибкость при развертывании – Интегрированные антенны на 2, 4 ГГц и 5 ГГц – Возможность подключения внешних антенн • Пожизненная гарантия Интеллектуальная точка доступа Pro. Curve Intelligent Edge Access Point 530 Высокоинтеллектуальная автономная точка доступа, идеально подходящая для распределенных объектов
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Обычные вопросы системного администратора? Что творится в моей сети? Почему сеть так медленно работает? Кто «занял» всю полосу пропускания? Какие приложения используют пользователи? Как я узнаю что мою сеть атакуют? Как я могу предугадать где и когда будет проблема?
Управление сетью без полной информации процессах в сети, «в слепую» догадки Принятие решения «на угад» эксперементы «Беготня» вокруг с анализатором протоколов при возникновении проблем Принятие решения основано на частичных данных • Network productivity impacted by slow response to network problems • Reactive network changes can cause significant business impact • Labor intensive resolutions requiring CLI expertise = high cost
Ответ – мониторинг трафика и его контроль ! • Полная информация о поведении сети – Производительность приложений – Использование полосы пропускания – Приоритезация и контроль трафика • Осведомлённость о тенденциях на сети и её проблемах
Технологии мониторинга трафика • RMON II • SMON • EASE / XRMON • Netflow / IETF IPFIX • s. Flow
Промышленный стандарт для мониторинга траффика в сложных, многоуровневых сетях с коммутацией и маршрутизацией Интранет s. Flow Централизованное Управление Ядро ЦОД Дистрибуция Уровень доступа Интернет Измерения доступны на каждом порту, всё время = сеть видна целиком и «прозрачна»
s. Flow vs Cisco Net. Flow gives partial visibility • Monitors routed L 3 traffic only • Insufficient detail for effective management or security analysis • Net. Flow significantly impacts switch performance – Cisco recommends monitoring of key interfaces only • Complex configuration s. Flow can and should be enabled everywhere • s. Flow monitors all traffic L 2 -L 7, switched and routed, at the edge • Detailed data supports many applications • Negligible switch and network performance impact • Simple configuration with s. Flow MIB
s. Flow в действии Коммутатор / Маршрутизатор forwarding tables Агент s. Flow interface counters Switching ASIC 1 in N sampling s. Flow Datagram packet header eg 128 B src/dst i/f sampling parms rate pool forwarding user ID URL i/f counters src 802. 1 p/Q src/dst 802. 1 p/Q Radius next hop TACACS src/dst mask AS path communities local. Pref Коллектор и анализатор s. Flow
«Прозрачная сеть» с с данными на каждом порту коммутатора, поступающими всё s. Flow время s. Flow Сервер Wired PC Коллектор / Анализатор s. Flow
PCM+: Traffic monitor
PCM+: Traffic monitor Legend VLAN
www. sflow. org
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Проблемы безопасности “Мне нужно оперативно знать когда атакуется наша сеть” “Мне нужно защитить конфиденциальный трафик сети” “Сложность ручного обновления рабочих станций” “У меня много мобильных пользователей. Как защитить ресурсы ” “Мне нужно предотвратить доступ неавторизированных пользователей” “Я бы не хотел подключать к сети компьютеры с вирусами” “Безопасность удаленного доступа и пользователей” “Сложность управления и конфигурирования больших сетей” “Мне нужно динамически управлять правами доступа и полосой пропускания
Безопасность сети Проактивная защита Контроль Доступа Иммунитет Сети Защищенная Инфраструктура Архитектура Adaptive EDGE 14
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Решение по безопасности 802. 1 х Authentication Server HTTP Request Web-Auth MAC Address Authentication Directory MAC-Auth 802. 1 X Supplicant RADIUS Server 802. 1 X Authenticator IDM Agent Policy Enforcement Point (PEP) Switch or Access Point Pro. Curve owned 3 rd Party Software PCM / IDM Server Network Mgmt Server Active Directory LDAP
Identity Driven Manager • Динамическая установка параметров безопасности, доступа и производительности на основании пользователя, местоположения, времени, и теперь статуса «целостности» клиента • Простое создание и управление группами пользовательских правил (политик доступа) для оптимизации производительности сети и повышения продуктивности пользователей, а также повышения общей эффективности (соответствующий доступ каждому) • На основании прописанных правил будут установлены параметры сети для обеспечения желаемой функциональности Установка значений => VLAN На основании => User ID Bandwidth Limit Device ID Qo. S Time ACLs Location Client Integrity Status
Identity Driven Manager Как это работает Администратор сети Conference Room Интернет Доступ только к Интернет Доступ к Интернет и корпоративным серверам Доступ только к “исправительно му” Anti-Virus Server Гость Сотрудник “Ненадежный” сотрудник Conference Room 1. Управляет группами политик доступа и задает правила и профайлы: • Задает правила Корпоративная • Время сеть • Местоположение N ew • ID устройства Корпоративный • Client integrity status сервер • Для корректировки каждого профайла New • ACL • VLAN • Qo. S “исправительный” • BW limit Anti-Virus 2. Вносит пользователей в Server соответствующую группу политик доступа Граничный коммутатор Сервер Политик доступа
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Мощнейшее решение самой острой и наболевшей проблемы всех CIO и системных администраторов в мире: Больше защиты, обнаружения и мгновенное реагирование с интегрированным решением Virus Throttling Больше защиты в локальной сети (LAN)
Pro. Curve 5300 xl Software Release 3 The Virus Problem … Антивирусные программы служат для защиты от вирусов 05: 29 Jan 25 – 0 infected • Это помогает, но они не могут опознать “day zero” угрозы Day zero, вирусы типа «червь» размножаются очень быстро и наносят массу вреда • Множество инфицированных компьютеров • Перегрузка и блокировка сети Примеры вирусов • SQLSlammer • Sasser 06: 00 Jan 25 – 74855 infected
Pro. Curve интегрированный Virus Throttling КАК это работает Вирус распространяется от зараженной машины быстро контактируя с другими машинами (SQLSlammer: >800/sec) Здоровые машины подключаются к меньшему количеству машин и значительно реже (1/sec) Решение: ограничитель частоты на контакты с другими машинами • Как только червь попытается распространиться, 5300 обнаружит аномальное поведение • «Удушение» трафика от инфицированной машины на границы VLAN позволяет значительно замедлить распространение вируса… или … • Предотвращение маршрутизации всего трафика от инфицированной машины на другие части сети Pro. Curve 5300 xl Switch Virus Immediate machine speed response limits spread of virus until human action can be taken Anomalous behavior detection Virus Throttling Built In
Ежегодное увеличение обнаруженных уязвимостей и инцедентов Note: Incidents are no longer counted by CERT because they have become commonplace. © Adapted from 1995– 2005 statistics by Carnegie Mellon University Source: David Moore, Caida. org
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Внешние и внутренние угрозы 98% компаний используют Firewall для защиты периметра сети Внутренние угрозы Это до 80% всех угроз
Network Immunity – Архитектура Решения Pro. Curve NI Manager • Security Activity Dashboard • Location based Policy Enforcement • Built-in Network Behavior Anomaly Second Response Edge Defense Quarantine Bandwidth Rate limiting Attacker MAC lockout Attacker Port Shutdown Copy suspicious traffic to IDS Email Alert Notification First Response y rit cu Se • Inline Prevention • Passive Detection • UTM ts er Al Sa m Vi ple ru d s tra Th ff ro ic tt (s le Fl Al ow er ) ts / • • Detection (NBAD) • Alert Suppression • Offender Tracking • Security Heat Map • Threat Mitigation • Reporting Suspect Traffic Pro. Curve Network Edge External Security Devices
Network Immunity Dashboard
NI Heat Mapping by Severity Total Security Alerts by Severity: • Critical • Major • Minor • Warning
NI Security Activity Tab Offenders
Типы атак от которых Network Immunity Manager защищает • Zero-day virus or worm attacks – For example, similar to: • Network Based attacks – For example, similar to: – SQL Slammer – DNS Tunneling – Code Red – Smurf – Sasser – IP Spoofing – MS Blaster • Anomalous Packet Size • Protocol Anomalies – For example, similar to: – Ping-of-death – Land attack – Nmap – UDP Flood – Netcat – UDP Bomb • Reconnaissance before an attack – For example, similar to: – Port scanning – f. Ping – Superscan – Nmap
Аналогия: безопасность при авиаперелётах Проверка личности Сканирование на соответствие Контроль Доступа GATE 37 Мониторинг Изолирование поведения подозрительных субъектов Pilot Co-Pilot
Pro. Curve - Решение по безопасности Управление доступом Защита инфраструктуры GATE 37 Pilot Определение Оценка Пользователей целостности Динамическое Применение VLAN, ACLs на основании политик Co-Pilot Мониторинг Состояния Сети Автоматически изолировать угрозы на основании Предупреждения политик Аномалии Анализ трафика Карантин Снижение полосы пропускания
План • О сетевом подразделении Pro. Curve Networking by HP • Широкая линейка сетевых продуктов Pro. Curve • Решения для беспроводных сетей • Технологии мониторинга трафика: s. Flow • Технологии защиты сети: Pro. Active Defense Ø Access control: IDM Ø Virus Throttling Ø Network Immunity • Заключение
Преимущества НР Бесплатные обновления программного обеспечения (firmware) для всех коммутаторов Бесплатное программное обеспечение для управления сетью HP Pro. Curve Manager • Интуитивный, лёгкий в использовании пользовательский интерфейс • Авто-обнаружение устройств, карты топологии, запуск веб-агента • Автопредупреждения и рекомендации по устранению неполадок Пожизненная гарантия • Бесплатная пожизненная гарантия* на весь срок владения оборудованием с заменой на следующий рабочий день! • Без «подводных камней» - на весь период владения устройством, распространяется в т. ч. на все модули, вентиляторы, источники питания • Высочайший показатель времени наработки на отказ (MTBF от 79 000 до 319 000 часов(>36 лет!)) *Все продукты – кроме серий 8100 fl, 9300 m, и 700 wl
Преимущества HP Pro. Curve: Самая низкая стоимость владения (TCO) HP Pro. Curve 5300 xl series 3 Com switch 4005 Cisco Catalyst 3750 switch
Pro. Curve Networking by HP Григорьев Алексей Технический консультант, Сетевое подразделение Pro. Curve Networking by HP, Россия Хьюлетт-Паккард 115054 Россия, Москва Космодамианская наб. , 52, строение 1 Тел. (495) 797 -3500 Эл. почта alexey. grigoriev@hp. com