Ixia Network Visibility Solutions

1. Новый инфраструктурный уровень доступа к трафику
Системы зеркалирования трафика
Паливода Александр
Системный инженер
opali@muk.ua

2. Технологические партнеры
ИБ
APM
NPM
Партнеры
Production
Network
NMS/SIEM
Автоматизация

3. • SPAN Ports
• Taps
• Inline Bypass
• SPAN Ports
• Taps
• SPAN Ports
• Taps
• Inline Bypass
Core
Существующие ограничения доступа к трафику
Data Center
Campus ROBO
DMZЦентры обработки данных
Узлы связи и коммутации
Распределенные сети
Системы мониторинга
Управление
сетью
Сетевые
анализаторы
СОРМ
IDS, DLP…
Анализ качества
APM
SIEM
Рерсурсов
не хватит

4. January 18, 2014
Комплексная архитектура зеркалирования и обработки трафика
Carrier Networks
Wired and Mobile
Data Center
Private Cloud
Virtualization
Core
Remote Office
Branch Office
Campus
Network
Operations
Performance
Management
Security
Admin
Server Admin
Audit &
Privacy
Forensics
Visibility Architecture
App
Aware
Out of
Band
NPB
Сплитт
ер
Element
Mgmt
Virtual
& Cloud
Access
Policy
Mgmt
Inline
NPBInline
Bypass
Session
Aware
Data Center
Automation
Network
Access
Packet
Brokers
Applications Management

5. January 18, 20145
Campus
Branch
Data Center
Core
Cloud
Network Monitoring Tools
Protocol
Analyzer
Application
Performance
Packet
Capture
Web
Application
IDS
IPS
Database
Security DoS
Lawful
Intercept
SPAN SPAN
SPAN SPAN
2G 10G 1G 1G 10G 2G 10G 2G
Стандартный сценарий

6. January 18, 20146
Campus
Branch
Data Center
Core
Cloud
Network Monitoring Tools
Protocol
Analyzer
Application
Performance
Packet
Capture
Web
Application
IDS
IPS
Database
Security DoS
Lawful
Intercept
SPAN SPAN
SPAN SPAN
10G 1G 1G 1G 10G 2G
TAP
TAP
TAP
TAP
BYPASS
BYPASS
TAP
vTAP
TAP
2G
10G
10G
10G
10G
10G
10G
Сценарий с применением сплиттеров

7. January 18, 20147
Campus
Branch
Data Center
Core
Cloud
Network Monitoring Tools
Protocol
Analyzer
Application
Performance
Packet
Capture
Web
Application
IDS
IPS
Database
Security DoS
Lawful
Intercept
SPAN SPAN
SPAN SPAN
TAP
TAP
TAP
TAP
BYPASS
BYPASS
TAP
vTAP
TAP
10G 1G 1G 1G 10G 2G2G 10G2G2G 1G
Filtering
Flow Linking
Aggregation
Regeneration
Load Balancing
Burst Protection
Trimming &
Stripping
Time Stamping
De-duplication
Ixia Network Packet Brokers
Полноценная система захвата и зеркалирования

8. January 18, 2014
Эволюция умной Visibility
Все пакеты
TAP
Raw
Packets
Только трафик 10.0.0.0/8
Только трафик TCP Port 25
L2-4 Filters
NPB
Все уникальные пакеты идущие к 10.0.0.0/8
Только первые 128 bytes пакета, TCP Port
25
Hardware
AFM
NPB
Adv. Packet
Processing
Весь трафик из Грузии
Весь голосовой трафик из HTC One
Кто-то из ЮАР смотрит «Карточный
домик» на Netflix, на iPhone через сеть
Vodacom
NPB –
App Brokering
Meta Data
App
Filtering

9. January 18, 2014
Фильтрация: твой выбор
Трудный путьПростой путь
Использование фильтров других вендоров “…мы потратили около
четырех часов и определенное количество проб и ошибок чтоб
получить карту фильтров, ее применение и определение.”
“Ixia функционал - Dynamic Filtering , с другой стороны, отнял всего
10 минут чтоб сделать те же задачи в наших тестах.”

10. January 18, 201410
Умная обработка пакетов
Выделенные аппаратные средства добавляют данные либо убирают ненужные
– без потери информации
– на основе per packet
Все уникальные пакеты
идущие к 10.0.0.0/8
Только первые 128 bytes пакета,
TCP Port 25
Hardware AFM
NPB
Adv. Packet Processing
Advanced Packet Processing (AFM) Features
• Дедупликация
• Снятие заголовков
• Усечение (Trimming)
• Маскировка данных
• Временные метки
• Защита от «всплесков»

11. January 18, 201411
Дедупликация
Deduplication – только одна копия пакета отправляется к анализатору
Откуда появляются повторяющиеся пакеты?
– Несколько тапов агрегируют в один и тот же анализатор
– Один SPAN порт обычно генерирует повторяющиеся пакеты
( )

12. January 18, 201412
Снятие заголовков
Header Stripping – обнаруживает и удаляет протоколы туннелирования из заголовка,
для анализа инструментами, которые не поддерживают данные протоколы.
PayloadIP Header
Header Stripping
MPLS Label
Примеры использования:
• Translation: Удаляет заголовки протоколов,
которые не понимает анализатор и отдает пакет в
поддерживаемом формате.
– MPLS, VNTag, FabricPath, etc.
• vTap Termination: Терминирует трафик от Phantom
vTap
• ERSPAN termination: Терминирует трафик из
удаленных офисов/филиалов

13. January 18, 201413
Усечение пакетов
Packet Trimming – усечение пакетов до определенного размера и опционально
вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на
анализатор.
Примеры использования
• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
– Удалить SSL-encrypted payloads перед анализом
– Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть
использована для защиты от раскрытия конфиденциальной информации, такой как
личная информация (Personally Identifiable Information - PII) в соответствии с
требованиями многих мандатов, таких как PCI.
PayloadIP Header
Packet Slicing

14. January 18, 201414
Маскировка данных
Data Masking – Позволяет скрыть определенные данные, с сохранением общего
размера фрейма, чтоб личная информация (Personally Identifiable Information -
PII) не передавалась на анализатор.
Примеры использования
• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не
хранить, передавать или другим образом раскрывать PII внутренних или внешних
пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA
в области здравоохранения в США. Нарушения часто приводят к многомиллионным
штрафам.
PayloadIP Header
Data Masking
XXXX

15. January 18, 201415
Временные метки
Packet Timestamping – Добавляет в каждый пакет раздел содержащий
временную метку, для детального изучения задержки анализаторами.
Примеры использования
• Задержка: Анализатор может определить задержку между любыми тапами в сети,
путем сравнения временных меток в одном и том же пакете из разных мест сети.
PayloadIP Header
Packet Timestamping
Timestamp
использует PTP или NTP для
получения эталонного времени

16. January 18, 201416
Защита от «всплесков»
Burst Protection – Добавляет дополнительный буфер к 1G интерфейсам для
обеспечения защиты от таких событий как microburst и позволяет избежать потери
данных.
Примеры использования
• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G
анализатор, возможно кратковременное превышение 1Gbps трафика.
• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса,
данный функционал может обезопасить от кратковременного «всплеска»
анализатор с производительностью 1G.

17. January 18, 201417
ATIP – Deep Packet Inspection
• Использование ATIP для выполнения Deep Packet Inspection
• Распознавание
– Applications
– Application events
– Handset OS
– Browser
– Geolocation
• Подписка
– Обновление каждые 3 недели

18. January 18, 2014
Две главных топологии Visibility
Monitoring (out-of-band)
 Анализаторы терминируют трафик и не
форвардят его обратно в сеть.
 Типичные анализаторы:
– Application Performance Monitoring
(APM)
– Network Performance Monitoring (NPM)
– Intrusion Detection System
– Data recording
Inline (inband)
 Решения анализируют и выборочно
отбрасывают трафик или форвардят
обратно в сеть.
 Типичные inline анализаторы:
– Intrusion Prevention System (IPS)
– Data Loss Prevention (DLP)
– Web Cache
– SSL encrypt / decrypt
– Firewall

19. January 18, 201419
Внешний Bypass
Почему использовать внешний vs
интегрированный Bypass?
1. Внешний – надежность в 5 раз
лучше!
– MTBF (Mean Time Between Failure in
Hours)
• Внешний Bypass: 450,000
• Интегрированный Bypass: 80,000
2. Легче заменить вышедшие из строя
устройства
– Нет риска «падения» сети
3. Такой же размер как и
интегрированного bypass
– 2U

20. January 18, 201420
N+M отказоустойчивость анализаторов
Поддерживает любые варианты N+M
отказоустойчивости устройств
• N+M Redundancy: M резервных устройств для
защиты N активных устройств
• N+1 Redundancy: одно резервное устройство
для защиты N активных устройств
Поведение при неисправности устройств
• Резервное устройство забирает трафик
неисправного устройства
• Активное устройство возвращает себе трафик
после восстановления
• Отказ устройства выявляется с помощью
heartbeat пакетов

21. January 18, 201421
Быстрое обнаружение отказов - Heartbeats
Обнаружение отказов
• Heartbeats между bypass switch и NPB
• Heartbeats между NPB и устройством
• Отсутствие heartbeats указывает об отказе
Ключевые возможности
• Предустановленные heartbeats для проверки разных
устройств
• Настраиваемые heartbeats для сложных ситуаций
• Поддержка single-stage (blue) или multistage (red)
heartbeats

22. Сплиттеры. Медные и оптические ответвители.
 Innovative FlexTap
 1-100G SM and MM
 High density design saves rack space
 All-optical
 Flexible deployment, up to 24 Taps in 1U
 Secure, intelligent remote management and ProPush™
statistics
 Zero delay technology eliminates packet drop
 Single and high density bypass configurations
 Multi-stream heartbeat with micro second response
Strengths
Deployment Flexibility Security and Reliability Industry Leading Recovery Times
Ixia TAPs and Bypass Switches Provide the Industry’s Broadest and Most Robust Access Portfolio
FlexTap (1 / 10 / 40 / 100G)
Gig Zero Delay Tap
iBypass HD 10 GigaBit Regeneration Tap
iTap Dual Port Aggregator
1Gigabit
10Gigabit
40Gigabit
100Gigabit

23. January 18, 201423
Продуктовая линейка IXIA NTO
211x5204
Carrier-Class/NEBS
High Performance
10/40/100G
Advanced
1/10G
Entry
• Flexible, scalable, high density
• 100G, 40G & 10G
• 4x 100G, 16 x 40G, or 64 x 10G
• High-density, Carrier-Grade
• 100G, 40G & 10G (NEBS)
• 4x 100G, 16 x 40G, or 64 x 10G
EnterpriseCapability
5236 5273
5288 5293
• 10G networks (NEBS)
• 24 x 10G
• High-performance 10G
• 24 x 10G
• Small Enterprise
• 4 x 10G + 20 x 1G
Flexible &
Scalable
10/40/100G
• ControlTower Architecture
• 16 x 40G, or 64 x 10G
5268
• Medium Enterprise
• 10/1G + Advanced
• ControlTower Architecture
• 16 x 40G, or 64 x 10G
5260/3
Strengths
Rich Feature Set Carrier Class Reliability Easy Configuration and Management
NTO Packet Brokers Bring Intelligence and Scalability to Visibility Architectures to Maximize Tool Capability

24. NTO 7300 Platform Summary
7U Chassis with 6 Slots
Best Density in the Industry! (584G/U)
– 384 Ports of 10Gb (via 40Gb
breakout)
– 288 Ports of Native 10Gb SFP+
– 96 Ports of 40Gb
– 24 Ports of 100Gb
High Availability Design
– Redundant Fans
– Redundant DC Power (1U AC Shelf)
– Redundant Fabrics
– Hot-Swap Capable (Post-RTS)
Switching Capacity: 3.8Tb/s
Control Tower Ready
NEBS 3 Ready
Ready at Initial Ship:
• 6 Slot Chassis w/non-block Fabric
• 48 port 1/10G Line Card
• 16 port 40G Card
• 4.0 Application Feature set
• NEBS
• AC or DC Power

25. January 18, 2014
Продуктовая линейка IXIA - Netoptics
Product Key Benefits
10G Load Balancing
xBalancer
• Combined feature set: Tap, Aggregation, Regeneration,
Dynamic Load Balancing
• Distribute traffic to multiple tools for parallel processing
Timestamping
Director xStream Pro
• Combined feature set: Tap, Aggregation, Regeneration, Static
Load Balancer, Timestamping
10G Monitoring Switch
Director xStream
• Combined feature set: Tap, Aggregation, Regeneration, Static
Load Balancer
1G Monitoring Switch
Director and Director Pro
• Aggregation, Regeneration
• Deep Packet Inspection
• L2-7 Filtering
10G Aggregation
iLink Agg xStream
• Aggregates multiple traffic streams for monitoring by a single
tool
Strengths
High Performance Broad Feature Sets Kernel Level Software
Forward relevant network traffic from multiple links to multiple monitoring tools for monitoring and analysis
25

26. January 18, 2014
Vision ONE – безопасность без потерь
 Intelligent
• ATIP: DPI for app awareness
• SSL decryption
• Reliable adv. packet processing
• Supports inline & monitoring
• Terminates physical & vTap
traffic
 Compact
• 1U high
• Connectivity
• 48 SFP+ for 1G or 10G
• 4 QSFP+ for 4x40G or 16x10G
• Growth via expansion slot
 Reliable
• Based on NVOS 4.x
• Redundant, hot swappable power
supplies & fans
• NEBs capable
 Multiuser ready
• Extensive role-based access control
• Automatic Filter Rule Compiler
• Intuitive GUI
• RESTful API

27. January 18, 201427
Virtualization and Cloud Platforms: Visibility for Virtualized Environments
Hypervisor
Support:
Strengths
Highest Performance Cross Platform Certified Kernel Level Software
Supports multiple hypervisors in the same management server - VMware and KVM
 Сохраняет производительность, емкость,
пропускную способность для всех технологий
 Снижает уровень инвестиций в виртуальные
средства путем перехода от физики до
виртуализации
 Обеспечивает передачу данных от ЦОД до
систем мониторинга
 Включает мониторинг виртуального сетевого
трафика в виртуальной среде которая не
может обработать VN-Tags

28. January 18, 201428
GTP Session Controller - GSC 7433
Первый в индустрии GTP Session Controller
GSC 7433
 Полная видимость GTP сессий
 Разгружает системы мониторинга от корреляции GTP сессий
 Сохраняет GTP сессии от нескольких пробников
 Session Distiller предоставляет выбор уникальной GTP
 На основе проверенного Anue software interface
 Масштабируемое решение для балансировки нагрузки
 Распределение более 50 млн пользовательских сессий
 Масштабируется от 32 до 64 ports в одном шасси 2RU
 Session Safety Net обнаруживает отказ пробника и перераспределяет
трафик до восстановления
 Доступность операторского класса
 NEBS Level 3 Certified Product
 Front to Back Air Flow
 Redundant Management Ports
Strengths
Highest Performance Robust Load Balancin High Reliability
The Most Advanced GTP Session Capabilities Available in the Market

29. January 18, 2014
Visibility Architecture Management
Strengths
Global Management Capability Complete Portfolio Coverage
Visibility Management Allows Deployment of Global Visibility Architectures and Advanced Automation
Решение Ixia GMS отвечает
потребностям пользователей NTO в
трех ключевых областях:
• NTO Inventory Management
• NTO Performance and Fault Monitoring
• Multi-NTO Configuration Management
Ixia GMS ManagementNetOptics VMS
• Автообнаружение и настройка
Net Optics устройств
(Director, Director Pro, iTap)
• Собирает статистику используя
ProPush™ технологию и SNMP
• Планировщик для устройств и
управления политиками