A T-Online Adatpark és Dataplex hálózati megoldásai Gyebnár Krisztián T-Online 2007.02.27.
Tartalom
•
A DataCenter logika - fizika
•
DataCenter IP szolgáltatások
•
DataCenter – Hálózat
•
Anycast routing
•
A szolgáltatás és Hálózat kapcsolata
•
Hálózatbiztonság L2-ben
T-Online – Adatpark és Dataplex
Fizikai adottságok
redundáns (2×480kVA, 3 fázis) szünetmentes tápellátás és 2 db dízelgenerátor
nagyteljesítményű klímaberendezés, álpadló alatti befúvással, álmennyezeti elszívással, ezáltal garantált 22°C géptermi hőmérséklet, valamint központi monitoring
automata tűzvédelemi rendszer: tűzérzékelő-rendszer, valamint a legkorszerűbb oltógázas (FM200 gázzal oltó) tűzoltórendszer
Beléptető rendszer, biztonsági őr- és operátori szolgálat
DataCenter IP szolgáltatások
T-Online „saját” szolgáltatások RADIUS DNS WEB MAIL IPTV* … Hosting - ügyfél szerver elhelyezések Tartalom Hirdetés, Video, Mail, WEB, Nagy terhelésű közösségi portálok: IWIW, Adóbevallás, …
Adatpark & Dataplex hálózati kapcsolatok
Datacenter – Hálózat egy kicsit bővebben
Load Balancing
Csökkentett alkalmazás válaszidő, optimalizált szolgáltatás, skálázható bővítési lehetőség, tűzfalak, VPN eszközök, WEB/SSL kiszolgálók számára Hibatűrő konfigurációk, megnövelt alkalmazás üzemidő Széleskörű IP protokol-beli támogatás TCP, User Datagram protokol(UDP), magasabb szintű protokollok, mint HTTP, FTP, DNS, Real-Time Streaming Protokol, SMTP, IPSec … Transzparens mód a kliensek felé (Bridge), Health checking, DoS védelem, teljes kontroll a csomag/szegmens továbbítás felett nGbps sebességgel
Load Balancing - Failover
Jelenleg Cisco CSM modulok:
165,000 connection setups per second—Layer 4 1 million concurrent TCP connections 1 million packets per second 4Gbps
Evolúció: Cisco ACE
384,000 connection per second 4 million concurrent TCP connections 6,5 million packets per second 16Gbps
Anycast routing technológia
Az ötlet: több helyről elérhető ugyanaz a tartalom
Több telephelyes szolgáltatások
Failover/Load-Balancing működés (DNS-alapján)
Rendkívül gyors konvergencia (gerinc routing)
Hátrány: Kiegészítés nélkül csak korlátozottan alkalmazható (NTP, DNS, UDP alapú szolgáltatások esetén) Routing protokoll – szolgáltatás állapot kapcsolatot igényel
Anycast routing technológia T-Online Adatpark és Dataplex Anycast routing és a DNS
Nemzetközi kapcsolatok
Privát Peering Partnerek BIX
2x2,5Gbps DT
10Gbps
3x2,5Gbps Telia
ISP2
ISP1
nGbps
nGbps
T-COM IP gerinc DN S
10G.E
B G
P: 2, 1
DSL
nx1GBps
Qu
ery 1
10G.E
DNS Szerverek 2. 1.
10G.E
–R esp on 10G.E s nx1GBpse1
BG
P: 1
,2
10G.E
T-Online Dataplex Content Switching Module
10G.E
10G.E
10G.E
DNS Szerverek
T-Online – Adatpark
1. 2. Content Switching Module
Anycast routing technológia T-Online Adatpark és Dataplex Anycast routing és a DNS
Nemzetközi kapcsolatok
Privát Peering Partnerek BIX
2x2,5Gbps DT
10Gbps
3x2,5Gbps Telia
ISP2
ISP1
nGbps
nGbps
T-COM IP gerinc
10G.E
B G
P: 2, 1
DSL
nx1GBps
10G.E
10G.E
DNS Szerverek 2. 1.
nx1GBps
BG
P: 1
,2
10G.E
10G.E
T-Online Dataplex Content Switching Module
10G.E
10G.E
10G.E
DNS Szerverek
T-Online – Adatpark
1. 2. Content Switching Module
Szolgáltatás és a hálózat kapcsolata
Cisco CSM RHI – Route Health Injection Kapcsolat a routing és a szolgáltatás állapota között Működés:
CSM által monitorozott szolgáltatások
CSM által a routing táblába injektált route-ok (ha a szolgáltatás elérhető)
Az IP gerinc hálózatba elhelyezett specifikus BGP hirdetés
Szolgáltatás és a hálózat kapcsolata T-Online Adatpark és Dataplex Anycast routing és CSM RHI #1
Nemzetközi kapcsolatok
Privát Peering Partnerek BIX
2x2,5Gbps DT
10Gbps
3x2,5Gbps Telia
ISP2
ISP1
nGbps
nGbps
DSL
T-COM IP gerinc
10G.E nx1GBps
10G.E
10G.E
MAIL Szerverek 2. 1.
k ec Ch
nx1GBps
10G.E
10G.E
T-Online Dataplex Content Switching Module
10G.E
10G.E
10G.E
MAIL Szerverek
T-Online – Adatpark
Che ck
Content Switching Module
1. 2.
Szolgáltatás és a hálózat kapcsolata
e Ch
ck
Szolgáltatás és a hálózat kapcsolata
G B
k ec Ch
1 P:
up ck a -b
BG
P: 1
-m
ai
n
DataCenter hálózat Biztonság
Támadási formák: DoS, DDoS Virusok, Worm-ök és a Trojan Hálózati gyengeségek Sniffing IP spoofing ARP poisoning
Védekezési lehetőségek
DoS, DDoS Virusok, Worm-ök és a Trojan
IPS, Tűzfal és Load Balancing együttes alkalmazása Sniffing, IP spoofing, ARP poisoning
Hálózati oldalon Layer 2 ASIC asszisztált intelligenciák: DAI (Dynamic ARP inspection) ARP-response validation IP source-guard: Mac-IP-port-VLAN összerendelés az access layer-ben
Köszönöm a figyelmet!
email:
[email protected]
