A mind for networks Petr Lasek

A mind for networks

• Traffic management a DPI Petr Lasek

Allot Communications

z A.S., IPO Listopad 2006 z Celosvětové působení z Centrála a vyvoj – Tel Aviv, Izrael • 100 vývojových pracovníků – unikátní technologie

z Téměř 300 zaměstnanců z První prodaný NetEnforcer 1999 z Celosvětové zastoupení, support 24 x 7 • Prodej přes partnery, integrátory • Přes 10 000 instalací – operátoři, ISP, podniky 2

March 15, 2007

Company Confidential

Dnešní problémy širokopásmových sítí Nárust Nárust počtu počtu uživatelů uživatelů

Aplikace Aplikace vyžadují vyžadují více více aa více více pásma pásma Aplikace P2P Přístupová technologie

VoIP Video On-line gaming Email

Cable WiFi

IPTV

Satellite

Obchodní aplikace SAP

DSL

FR 3G WiMax

Citrix

3

March 15, 2007


Proč?

z Co se stane když nefunguje síť? z Nedostupnost aplikací z Objednávka, faktura, stav skladu • Nedostupnost informací!

z VoIP = nikam se nedovoláte z Šiřící se malware (např. červ) = problém z Vše „zadarmo“ – Skype, P2P • Skype, Vonage – volání zdarma x potřebné pásmo • P2P – filmy, mapy atd. zdarma x pásmo, legálnost? 4

March 15, 2007


Důvod?

z Zahlcení sítě? z Chtěný provoz ale v nechtěné míře z Neužitečný provoz: z Hromadné maily (i v dobré víře – hoax) z Přístup k nerelevantním zdrojům (yuotube...) z Multimediální aplikace – internetové rádia.. z Stahování souborů – P2P... z Šířící se malware

5

March 15, 2007


Cena?

6

March 15, 2007


Řešení? Vrstva Vrstva OSI OSI Obsah (DPI) L7

Popis Popis

Výrobci Výrobci

Inteligentní řízení sítě z pohledů aplikací i uživatelů

Přepínače a směrovače L 2-4

L 0-2

Přístupové sítě

“DPI “DPI is is aa critical critical technology technology as as the the Internet Internet moves moves from from ‘best ‘best efforts’ efforts’ for for every every application application to to aa hierarchy hierarchy of of speeds speeds depending depending on on application.” application.” Zdroj: Zdroj: Telecom Telecom Telescope, Telescope, Citigroup, Citigroup, Září Září 2006 2006 7

March 15, 2007


Co nabízí Allot Communications?

Allot Communications: Pomocí DPI vytvoří z běžné sítě síť inteligentní

8

March 15, 2007


Řešení - optimalizace služeb Přeměna Přeměna “hloupé” “hloupé” sítě sítě na na síť síť která která díky díky DPI DPI dokáže dokáže rozpoznat rozpoznat přenášený přenášený obsah obsah aa dokáže dokáže tuto tuto síť síť dynamicky dynamicky optimalizovat optimalizovat podle podle potřeb potřeb uživatelů uživatelů Bez Bez Allotu Allotu

S S Allotem Allotem

Řízená a viditelné

Neřízená

Allot NetEnforcer 9


P2P Upload P2P Download VoIP WebTV Video Conferencing Gaming email

Co Allot nabízí poskytovatelům služeb

Vizualizace provozu

• Zobrazení aktuálního provozu • L7 – podle APLIKACÍ nikoliv L3-4 • Intuitivní a jednoduché

• Prioritizace provozu podle definovaných

Řízení aplikací

Řízení uživetelů (subscriber)

pravidel • “Formování provozu” • Dynamická optimalizace pásma

• Služba na míru • Garance SLA • Možnosti různého účtování (qouta)

10

March 15, 2007


Co Allot nabízí podnikům

Vizualizace provozu

Řizení aplikací

• Zobrazení aktuálního provozu • Dlouhodobé monitorování, sledování trendů

• Prioritizace podle definovaných pravidel • “Formování provozu” • Dynamická optimalizace pásma

• Tiered services • Customized Service Level Agreements (SLAs)

11

March 15, 2007


Intelligent IP Service Optimization

12

March 15, 2007


Řešení

DPI L4-7

Síťová vrstva

z Rozlišení na TCP/UDP portech nestac+i z Řada aplikací v HTTP protokolu

13

March 15, 2007


(L2-3) Fyzická vrstva

Deep Packet Inspection Signatura v několika paketech

Základní informace (stav spojení) v hlavičče

14

March 15, 2007


Skutečné DPI = L7 z Rozpoznávání více než 250 předefinovaných protokolů/aplikací z Příklady: • FTP podle jména souboru i příkazu (upload a download) • H.323 (VoIP/video), RTSP (RealAudio), MGCP and SIP,Skype, MSExchange, SKYPE in SKYPE out. • P2P Aplikace. • Oracle (database a jméno uživatele) • HTTP (URL,jméno souboru včetně zástupných znaků, Hosts name, Method, MIME type) • ..a řada dalších :WinAMP; MSPlayer; Realone; Quicktime; iTunes;; Citrix NFuse; Warez; Ares; Morpheus 4; Swapper.NET; Shareaza; Limewire; Bearshare; Piolet; Blubster; MSN; Yahoo; ICQ; Hotline; MMS; Soulseek; Softether; Filetopia; and Earthstation5.

15

March 15, 2007


P2P: Vývoj

Vývoj P2P aplikací • První generace – fixní porty, např. KaZaA v 1 - Jednoduchá identifikace • Dynamické porty, např. KaZaA v 2, eDonkey, Gnutella, BitTorrent - signatury • P2P využívající SSL, např. SoftEther, EarthStation - SSL signatury • Kryptované P2P aplikace - Na základě provozních charakteristik, např. šifrovaný BitTorrent, obfuscated eMule, Skype - Statistické metody + provoz, např.Winny 2.7.6, Ares

z Nutnost průběžného doplňování

16

March 15, 2007


P2P Centralizovaný (Napster)

Hiearchická

17

March 15, 2007

Decentralizovaná struktura Decentralizovaná (Kademlia) nestrukturovaná (Gnutella)

Hybridní (eDonkey, SKYPE)


Gnutella: Vyhledávání

I don’t have it !

I don’t have it !

I don’t have it !

I have it ! I don’t have it ! I don’t have it ! 18

March 15, 2007


Příklady: Skype

19

March 15, 2007


Příklady: Emule 0.47c

20

March 15, 2007


Heuristická analýza

21

March 15, 2007


P2P aplikace

z Kazaa

z IM, Chat and VoIP

z Edonkey

z Skype

z BitTorrent

z MSN messenger

z Emule

z ICQ/AOL z Yahoo!

z Gnutella

z Vocaltec IPhone

z Blubster

z NetMeeting

z Winny

z SIP/RTP/RTSP

…a mnoho dalších 22

March 15, 2007


Peer-to-Peer z Největší zátěž z Domácí uživatelé - 60% během dne; až 90% během noci z 5% uživatelů dokáže „zkonzumovat“ až 90% pásma z Upload P2P – od „cizích“ uživatelů z P2P nemožné identifikovat bez DPI, protože: z Používají port hopping z Vydávají se za jiné aplikace – port, tunelování v HTTP z Šifrování 23

March 15, 2007


Řízení P2P : Download x Upload Internet Link

PŘˇICHOZÍ

Subscribers Flows

P2P Download (Nemá být omezen)

Non-Subscribers Flows

TCP Ack. Upload

TCP Ack. on Download Download

24

March 15, 2007


ODCHOZÍ

P2P Upload (to (Vhodné be limited) omezit)

Global Outbound Limitation

Příklady: Pasivní FTP • testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2 Connected to testbox2.slacksite.com. 220 testbox2.slacksite.com FTP server ready. Name (testbox2:slacker): slacker ---> USER slacker 331 Password required for slacker. Password: TmpPass --> PASS XXXX 230 User slacker logged in. ---> SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to transfer files. ftp> passive Passive mode on. ftp> ls ftp: setsockopt (ignored): Permission denied ---> PASV 227 Entering Passive Mode (192,168,150,90,195,149). ---> LIST 150 Opening ASCII mode data connection for file list drwx----- 3 slacker users 104 Jul 27 01:45 public_html 226 Transfer complete. ftp> quit ---> QUIT 221 Goodbye.

25

March 15, 2007


Příklady: SIP

26

March 15, 2007


Podporované protokoly

27

March 15, 2007


Různé aplikace = různé požadavky Aplikace

Ztrátovost

Zpoždění Jitter

Pásmo

E-mail

High

Low

Low

Low

Přenos souborů

High

Low

Low

Medium

Web

High

Medium

Low

Medium

Hry

28

High High Mediu Low Každá aplikace vyžaduje jinou QoS m

Audio on Demand

Low

Low

High

Medium

Video on Demand

Low

Low

High

High

VoIP

Low

High

High

Low

Video konference

Low

High

High

High

March 15 March 15,2007 2007


Traffic management = proces

Akce (QoS)

Monitorování: realtime i sledování dlouhodobých trendů

Klasifikace 29

March 15, 2007


Řízení provozu = PROCES Popis

Fáze Monitorování

Co se v síti děje, vizualizace provozu, alerty

Klasifikace

Definování pravidel

Prosazení QoS / optimalizace

Blokování, garance pásma (min/max), priority, CBR, dynamicky Zpětná vazba (accounting), vazba na billing

Dlouhodobé sledování

30

March 15, 2007


Policy Editor

1 PIPE 2 VC’s + Fallback

Fallback PIPE

Definice 31

March 15, 2007

Klasifkace Company Confidential

Akce

Klasifikační kritéria

z z z z z

32

Zdroj a cíl (MAC, IP, subnet, host name) Služba – protokoly a aplikace až po L7 VLAN tag (802.1q) Diffserv/ToS Čas

March 15, 2007


QoS možnosti

z z z z z z z

Min/max pásma pro pravidlo a/nebo spojení Priority (10 úrovni – 1:100) Maximální počet spojení Definice co se stane při dosažení limitu Qos pro příchozí i odchozí směr Změna hodnotu ToS Příklady: z “Omezení P2P provozu na max 256K během pracovní doby” z “Maximální priorita pro VoIP, garance pásma podle kodeku pro 5 hovorů” z “Email nízká priorita, SAP jen oprávnění pracovníci”

33

March 15, 2007


Monitorování v reálném čase Jedním pohledem zjistíte: Zátěž sítě, Hlavní aplikace, Hlavní uživatele, Servery, Provoz podle pravidel Jak je využíváná síť?

Celková zátěž?

Kdo aktuálně využívá síť?

Jaké aplikace jsou aktuálně v síti? 34

March 15, 2007


Co se děje v síti? P2P VC je zahlacen „Drill down“ pro zjištění co a kdo zahlacení způsobuje

Graf ukazuje, že EDonkey způsobuje zahlcení „Drill down“ pro jištění kdo tuto aplikací používá

Okamžitá identifikace nejaktivnějších uživatelů

35

March 15, 2007


Možnosti zjišťování dalších informací z provozu z Monitoring provozu: Více než 100 pohledů na provoz sítě – přímé odkazy z grafů (drill down)

Téměř 28% provozu je HTTP Kdo browsuje? 36

March 15, 2007


Dlouhodobý monitoring

Informace:

37

March 15, 2007


z

30 sec. (pro 24 hodin).

z

5 min. (pro 1 měsíc).

z

1 hodina (pro 3-12 měsíců).

z

1 den (3-6 měsíců).

z

1 Měsíc

Od – do pro různé intervaly (den/měsíc/rok) Next / Previous selected period

38

March 15, 2007


Typický provoz dne

39

March 15, 2007


Typický provoz – příklad

Provoz v definovaných pravidlech za poslední týden v konkrétních hodinách 40

March 15, 2007


„Popularity“ graf

10 nejaktivnějších aplikací za posledních 5 hodin 41

March 15, 2007


„Popularity“ graf

P2P za poslední týden 42

March 15, 2007


Alerty z Proaktivní informace - email, trap, SMS z Sledování: pravidla a systémové z Systemové alerty z Spojení z DoS útok z Přístupové informace z Pravidla: z Provoz: žádný / nějaký, <> než z Spojení: Nové spojení za sekundu, celkový počet z Útok v jednotlivých pravidlech z Možnost definovat akci: změna QoS, blokování, bypass, skripty...

43

March 15, 2007


Produkty z NetEnforcer: samotný hardware z Od 2Mbps do 5 Gbps z NetXplorer: Centrální managemenet a reporting z Rozhraní pro integraci s dalšími systémy z SMP: Subscriber Mangement Platform z Integrace s IAS/OSS

NetXplorer 44

March 15, 2007


Škálovatelnost GUI klient

GUI klient

OSS

RADIUS/DHCP

Mediation / Billing

Mapuje Subscriber<=>IP<=>Service zIntegrace s DHCP / RADIUS / OSS

Subscriber Management

z

NetXplorer Collector

45

March 15, 2007

NetXplorer Server

NetXplorer

NetXplorer Data Collector


NetXplorer Data Collector

NetEnforcer

Řada NetEnforcer CPE

Network Edge

20G AC-10000 5G AC-25x0 2G z z z z z z

AC-10x0

100M

Carrier class Redundance a spolehlivost Plný výkon Stovky podporovaných aplikací Řada možností řízení provozu Víceúrovňová pravidla

AC-4xx, 8xx

2002 47

March 15, 2007

2003

2004

2005


2006

2007

Řada NetEnforcer

AC-400

AC-800

AC-1000

AC-2500

2-100M

100-300M

300M-2G

1-5G

4,000

28,000

80,000

80,000

Podnikové sítě, ISP

Operátoři ISPs, Podnikové sítě

Nasazení Nasazení

Uživatelé Uživatelé

Pásmo Pásmo

NetXplorer

48

Přístup k internetu, ISP

March 15, 2007


Oprátoři

Řada NetEnforcer z 3úrovňová pravidla z Klasifikace a formování z Monitorování – real-time, dlouohodobé z Max. výkon – od 2Mbps do 5 Gbps, 80,000 pravidel z Dedikovaný management port port z 100% spolehlivost: z Bypass mechanismus z Redundance na úrovni komponent z Redundnace na úroni zařízení

49

March 15, 2007


Řada NetEnforcer AC-2500 NetEnforcer AC-2500: nejvýkonnější traffic management na trhu – řešení pro operátory

z #1 z hlediska výkonu z #1 z hlediska počtu spojení z #1 z hlediska počtu portů

50

March 15, 2007


5 Gbps 4,000,000 8GE portů

Spolehlivost

z Hardware bypass z Redundantní komponenty z Větráky a napájení z Hot swap (u AC1000, 2500) z Redundantní topologie z Actice/backup, Active/active

51

March 15, 2007


Různé topologie Switch/Router

Switch/Router

Switch/Router

Switch/Router

NetEnforcer NetEnforcer

NetEnforcer

NetEnforcer Redundancy Support Link

Active Redundancy Link

Switch

Switch

Switch

Internet

Normal Scenario Primary Active

Switch

Switch/Router

Primary NetEnforcer

NetEnforcer

Active Mode

Primary Bypass

Bypass Mode

Secondary Bypass

Router Secondary NetEnforcer

Switch/Router 52

March 15, 2007


Přínos Bez Bez NetEnforceru NetEnforceru

S S NetEnforcerem NetEnforcerem

Minimální „viditelnost“ provozu

Vizualizace z pohledu uživatelů i aplikací

Zahlecení sítě

Akcelerace provozu, QoE

Problémy se řeší navýšením pásma

Maximální využití a optimalizace infrastruktury

Nabídka přístupu – jen nízká cena

Možnost nabídnout různé služby

Omezený růst, problémy se změnami

53

March 15, 2007

Účtování podle služeb


Reference

z Service Providers z NTL, Verizon, FastWeb, BT, Megacable, Equant (FT), PCCW, Sprint, WakWak, TIM, Portugal Telecom, Telecom Malaysia, Prima, Northland, WOW, Optus, Bezeq, Spacenet, @NetHome, Truenet, VIVAX, Telecom Colombia, Telecom Tanzania, mweb …České Radiokomunikace, net4net, Český bezdrát, Slovanet... z Education: NYCBoE, CMU, UCLA, Miami, LSU, Technion, Laval … z Enterprises z Siemens, Kroger, Dixons PLC, INS, ZID, REI, Samsung, Symantec, Schneider, Elktra, Hitachi, CCF, EDF, Teva, BBVA, Ecco, Ownes & Minor, US Navy, REI, NiponPaint…ČEZ, ČEZNET, ČSA, OKD, MUS, ...

z Education: NYCBoE, Nottingham University, CMU, UCLA, Miami, LSU, Technion, and more 54

March 15, 2007


Reference

55

March 15, 2007


Příklady

Internetové připojení

Síťové zdroje respektují obchodní potřeby Síť s maily, P2P, HTTP, VPN IP samotné nabízí pouze „best effort“

Problém – nežádoucí P2P zabere veškeré pásmo Internet

Switch

NetEnforcer

Router

QoS Email HTTP/P2P VPN 57

March 15, 2007

Střední priorita Nízká priorita Obchodní aplikace s nejvyšší prioritou


Datové centrum Nottingham

Boardroom Video conf

Internet

Meeting Room Video

Corporate Internet Link

T1 (1.5 Mbps)

NetEnforcer

E1

Clients

Boardroom Video conf

Milton Keynes

WAN Switch

NetEnforcer

Router

T1 (

512 Kbps

1.5

Mb ps)

London VoIP GW

PBX

Corporate Data Center

58

SAP Client

s Kbp 512

Firewall

March 15, 2007

PBX

York

NetEnforcer

Web, Email, FTP Servers

SAP/Citrix Oracle

(

s) bp M 1

VoIP GW


Citrix Client

NetEnforcer

WAN infrastuktura

PBX

VoIP GW

Boardroom SAP/Citrix Web, Email, Video conf Oracle FTP Servers

GUI Client

Switch

NetXplorer

NetEnforcer Router

VoIP GW Citrix

KaZaA

SAP

PBX

PBX

REMOTE REMOTE

59

VoIP GW

March 15, 2007

Video

FTP


REMOTE

Video

FTP

Otázky

z www.allot.com z [email protected]

60

March 15, 2007


A mind for networks Petr Lasek

Recommend Documents