1 / 66

A mind for networks

A mind for networks. ŘÍZENÍ PROVOZU a DPI. Allot Communications. A.S., IPO Listopad 2006 Celosvětové působení Centrála a vývoj – Tel Aviv, I z rael 1 5 0 vývojových pracovníků – unikátní technologie Téměř 300 zaměstnanců První prodaný NetEnforcer 1999

tamah
Download Presentation

A mind for networks

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. A mind for networks ŘÍZENÍ PROVOZU a DPI

  2. Allot Communications • A.S., IPO Listopad 2006 • Celosvětové působení • Centrála a vývoj – Tel Aviv, Izrael • 150 vývojových pracovníků – unikátní technologie • Téměř 300zaměstnanců • První prodaný NetEnforcer 1999 • Celosvětové zastoupení, support 24 x 7 • Prodej přes partnery, integrátory • Přes 10 000 instalací – operátoři, ISP, podniky

  3. Nárůst provozu ~20% nárůst >40% nárůst Source: RBC IPTV2008

  4. Proč? • Co se stane když nefunguje síť? • Nedostupnost aplikací • Objednávka, faktura, stav skladu • Nedostupnost informací! • VoIP = nikam se nedovoláte • Šiřící se malware (např. červ) = problém • Vše „zadarmo“ – Skype, P2P • Skype, Vonage – volání zdarma x potřebné pásmo • P2P – filmy, mapy atd. zdarma x pásmo, legálnost?

  5. Důvod? • Zahlcení sítě? • Chtěný provoz ale v nechtěné míře • Neužitečný provoz: • Hromadné maily (i v dobré víře – hoax) • Přístup k nerelevantním zdrojům (yuotube ...) • Multimediální aplikace – internetové rádia ... • Stahování souborů – P2P ... • Šířící se malware

  6. Komplementární s řešením bezpečnosti • Bezpečnost = předejít nechtěné situaci • Řízení provozu = zajištění „chtěného“ stavu • Kritické aplikace musí fungovat za všech okolností • Funkční síť není jen o redundanci a propustnosti

  7. Cena a příčina?

  8. Telefon • Alexander Graham Bell (1847-1922) • Telefon (1876 , electronic speech machine) • 130 let vývoje!!!!!

  9. VoIP • Jedna infrastruktura = hlavní výhoda • Pakety, maximální efektivity • Jedna infrastruktura = hlavní nevýhoda • Bez garance, zahlcení jinými aplikacemi

  10. Řešení? Vrstva OSI Popis Výrobci Inteligentní řízení sítě z pohledů aplikací i uživatelů Obsah(DPI)L 7 Přepínače a směrovače L 2-4 L 0-2 Přístupové sítě “DPI is a critical technology as the Internet moves from ‘best efforts’ for every application to a hierarchy of speeds depending on application.” Zdroj: Telecom Telescope, Citigroup, Září 2006

  11. Optimalizace služeb Přeměna “hloupé” sítě na síť která díky DPI dokáže rozpoznat přenášený obsah a dokáže tuto síť dynamicky optimalizovat podle potřeb uživatelů Bez Allotu S Allotem P2P Upload P2P Download Řízená a viditelná Neřízená VoIP WebTV Video Conferencing Gaming email Allot NetEnforcer

  12. Intelligent IP Service Optimization

  13. Skutečné DPI = L7 • Rozpoznávání více než 250 předefinovaných protokolů/aplikací • Příklady: • FTPpodle jména souboru i příkazu (upload a download) • H.323 (VoIP/video), RTSP (RealAudio), MGCP and SIP,Skype, MS-Exchange, SKYPE in SKYPE out. • P2P Aplikace. • Oracle (database a jméno uživatele) • HTTP (URL,jméno souboruvčetně zástupných znaků, Hosts name, Method, MIME type) • ...a řada dalších:WinAMP; MSPlayer; Realone; Quicktime; iTunes; Citrix NFuse; Warez; Ares; Morpheus 4; Swapper.NET; Shareaza; Limewire; Bearshare; Piolet; Blubster; MSN; Yahoo; ICQ; Hotline; MMS; Soulseek; Softether; Filetopia; and Earthstation5. • CO JE TO DPI?

  14. Deep Packet Inspection Signaturai ve více paketech Včetně stavové informace 17

  15. Analýza na základě řetězce znaků Důvod: Řadu aplikací lze identifikovat podle řetězce znaků Výhoda Jednoduché pokud je na konkrétním místě Jedinečnost není vždy zaručena 19

  16. Analýza na základě numerických vlastností Neověřuje se pouze obsah: Velikost paketů Délka obsahu Pozice v paketu V řadě případů nejen ve více paketech, ale ve více spojeních 20

  17. Skype: Client Server UDP Messages 18 byte message N+8 Evolution 11 byte message 23 byte message N+8+5 Either 18, 51 or 53 byte message 21

  18. Heuristická analýza Heuristika = v mnoha případech „pokus a omyl“ Příklad: Statistika: průměrná délka paketů je v rozmezí X-Y „Chování“: login využívá TCP a následuje UDP na UDP portech Velmi účinné pokud se používá šifrování 22

  19. Příklad: HTTP vs. BitTorrent 23

  20. P2P: Vývoj Vývoj P2P aplikací • První generace – fixní porty, např. KaZaA v 1- Jednoduchá identifikace • Dynamické porty, např. KaZaA v 2, eDonkey, Gnutella, BitTorrent - signatury • P2P využívající SSL, např. SoftEther, EarthStation- SSL signatury • Kryptované P2P aplikace- Na základě provozních charakteristik, např.šifrovaný BitTorrent, obfuscated eMule, Skype- Statistické metody + provoz, např.Winny 2.7.6, Ares • Nutnost průběžného doplňování

  21. P2P – dnes už to není jen o nelegálním sdílení • Distribuovaná architektura • Decentralizované řízení • Hodně uzlů • Každý uzel může využít zdroje jiného (pásmo, disk) • Většina dnešních programů vyžaduje něco „nabídnout“ • Dynamické prostředí • Problém se zákonem

  22. P2P Historie

  23. P2P architektura Decentralizované strukturované (Kademlia) Decentralizované Nestrukturované (Gnutella) Centralizované (Napster) Hybridní (eDonkey) Hierarchické

  24. Napster –“Proof of Concept“ • Login: • Login k index serveru • Server drží pouze index nikoliv soubory • Hledání: • Dotaz k index serveru • Server najde které PC má soubor • Klient obdrží informaci, kde soubor je (IP) • Stahování: • Přímé spojení a stahování • Spojení ukončeno v okamžiku stažení

  25. Gnutella – vyhledávání (flood) Decentralizované vyhledávání = prakticky nelze blokovat Nemám! Nemám! Nemám ! Mám! Nemám! Nemám!

  26. Gnutella – Vyhledávání (flood)

  27. BitTorrent • Protokol a software (firma BitTorrent, Inc.) • Řada klientů (~40) • Efektivní rozdělení souborů, pásma … • Podle CableLabs BT tvoří 55% provozu v kabelových sítích • Podle jiných 18 - 35% of all internet traffic worldwide • U některých operátorů až 75%

  28. BitTorrent - pojmy • Seed / seeder • Swarm • Tracker • .torrent • Leech

  29. BT charakteristiky • „Férový přístup“ • Pokud chcete nahrávat je nutno něco nabídnout • Download mnoha části paralelně • Agresivní – snaha otevřít maximální počet spojení a zkonzumovat veškeré pásmo

  30. Distribuované části – redukce zátěže

  31. Skype • P2P VoIP síť • Konkurence VoIP službám • Více než 100 M užoivatelů (10M online) • Nestandardní řešení • Uzavřené řešení • Bezpečnostní risk (?) • Supernod = „spotřeba pásma“ • Agresivní – těžko blokovatelné (dynamické změny) • Joost – P2P IPTV

  32. Skype • Skype – distribuované uzly • Skype Clients (SCs) • Supernodes (SNs), >20,000 (v mnoha případech univerzity) • Centralizované servery • HTTP Server (updaty) • Login Server (autentikace) HTTP Server SN SC SC SN SN SC SC Login Server SC

  33. Peer-to-Peer • Největší zátěž • Domácí uživatelé - 60%během dne; až90%během noci • 5% uživatelů dokáže „zkonzumovat“ až 90% pásma • Upload P2P – od „cizích“ uživatelů • P2P nemožné identifikovat bez DPI, protože: • Používají port hopping • Vydávají se za jiné aplikace – port, tunelování v HTTP • Šifrování

  34. Různé aplikace = různé požadavky Každá aplikace vyžaduje jinou QoS 41 4 October 2014

  35. Různí zákazníci = různé požadavky Next generation broadband applications Video Conferencing Citlivost na zpoždění High Online Games P2P VoIP Web TV Low-bandwidth applications Low WebSurfing Email File Transfer ERP / CRM Low High Důležitost pro firmu

  36. Traffic management = proces Akce (QoS) Monitorování: real-time i sledování dlouhodobých trendů Klasifikace

  37. Řízení provozu = PROCES Popis Fáze • Monitorování Co se v síti děje, vizualizace provozu, alerty • Klasifikace Rozpoznávání aplikací (L7, např. codecy) • Prosazení QoS / optimalizace Blokování, garance pásma (min/max), priority, CBR, dynamicky Zpětná vazba (accounting), vazba na billing • Dlouhodobé sledování

  38. NetXplorer Produkty • NetEnforcer:samotný hardware • Od 2Mbps do 20 Gbps • NetXplorer:Centrální management a reporting • Rozhraní pro integraci s dalšími systémy • SMP: Subscriber Management Platform • Integrace s IAS/OSS

  39. NetXplorer Architektura GUI klient GUI klient OSS RADIUS/DHCP Mediation / Billing • Mapuje Subscriber<=>IP<=>Service • Integrace s DHCP / RADIUS / OSS Subscriber Management NetXplorer Server NetXplorer DataCollector NetXplorer Collector NetXplorer DataCollector

  40. NetXplorer

  41. Policy editor Line Pipe Virtual Channels

  42. Klasifikační kritéria • Zdroj a cíl (MAC, IP, subnet, host name) • Služba – protokoly a aplikace až po L7 • VLAN tag (802.1q) • Diffserv/ToS • Čas

  43. QoS možnosti • Min/max pásmapropravidlo a/nebo spojení • Priority (10 úrovni – 1:100) • Maximální počet spojení • Definice co se stane při dosažení limitu • Qos pro příchozí i odchozí směr • Změna hodnoty ToS • Příklady: • “Omezení P2P provozu na max 256K během pracovní doby” • “Maximální priorita pro VoIP, garance pásma podle kodeku pro 5 hovorů” • “Email nízká priorita, SAP jen oprávnění pracovníci”

  44. Monitorování v reálném čase

  45. Monitorování v reálném čase Dává uživateli: • Možnost okamžitě zjistit další podrobnosti • Snadná identifikace problémů

  46. Možnost přecházet mezi grafy Gives your customers: • Přechod z grafu do grafu podle kontextu • Možnost modifikovat kriteria

  47. Dlouhodobý reporting Provoz v definovaných pravidlech za poslední týden v konkrétních hodinách

  48. „Popularity“graf 10 nejaktivnějších aplikací za posledních 5 hodin

  49. Nejaktivnější uživatelé • Add appropriate graph here

  50. Různé výstupy Gives your customers: • Výstupy podle potřeby

More Related