Организация тестовой лаборатории
Тестирование транспортной сети (L2-3, ixNetwork)
Нагрузочное тестирование трафиком приложений (L4-7, ixLoad)
Эмуляторы WAN (IXIA Anue)
Тестирование синхронизации в пакетных сетях
Тестирование сети доступа и ядра мобильного оператора
Тестирование устройств сетевой защиты (DDoS, атаки, botnet, malware)
Нагруpочное тестирование WiFi (радио и транспорт)
Организация тестовой лаборатории
Тестирование транспортной сети (L2-3, ixNetwork)
Нагрузочное тестирование трафиком приложений (L4-7, ixLoad)
Эмуляторы WAN (IXIA Anue)
Тестирование синхронизации в пакетных сетях
Тестирование сети доступа и ядра мобильного оператора
Тестирование устройств сетевой защиты (DDoS, атаки, botnet, malware)
Нагруpочное тестирование WiFi (радио и транспорт)
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Cisco Russia
Консолидация центров обработки данных, внедрение облачных решений и обеспечение простого доступа к сети с помощью BYOD оказывают значительное влияние на предоставление услуг подразделениями ИТ. Повышается значение сетевой инфраструктуры, которая играет важную роль в предоставлении доступа пользователям к приложениям. Особое внимание уделяется возможности подключения пользователей из удаленных и домашних офисов, что дало толчок к развитию и применению таких технологий как IWAN, PfR и инструментов по управлению QoS. Основная задача данного доклада, - показать как IWAN и Prime Infrastructure позволяет комплексно улучшить качество предоставляемых услуг и их управляемость. В рамках данной сессии будут рассмотрены сценарии настройки IWAN в Cisco Prime Infrastructure. На реальных примерах будут показаны возможности решения по управлению DMVPN, QoS, PfR и AVC, а также подходы по диагностике голосовых и видео услуг.
Втупайте в клуб Cisco, чтобы получить доступ к:
✓ Самым последним новостям в мире ИТ
✓ Бесплатным семинарам и вебинарам
✓ Получить скидки на участие в конференциях Cisco
http://cs.co/90019QBh
Решения для мониторинга ИТ-инфраструктуры. Как правильно сделать выбор? Часть 1СвязьКомплект
На что следует обращать внимание при мониторинге ИТ-инфраструктуры? Основные источники получения информации.
Докладчик: Игорь Панов, ведущий проекта http://www.NetworkGuru.ru
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Cisco Russia
Консолидация центров обработки данных, внедрение облачных решений и обеспечение простого доступа к сети с помощью BYOD оказывают значительное влияние на предоставление услуг подразделениями ИТ. Повышается значение сетевой инфраструктуры, которая играет важную роль в предоставлении доступа пользователям к приложениям. Особое внимание уделяется возможности подключения пользователей из удаленных и домашних офисов, что дало толчок к развитию и применению таких технологий как IWAN, PfR и инструментов по управлению QoS. Основная задача данного доклада, - показать как IWAN и Prime Infrastructure позволяет комплексно улучшить качество предоставляемых услуг и их управляемость. В рамках данной сессии будут рассмотрены сценарии настройки IWAN в Cisco Prime Infrastructure. На реальных примерах будут показаны возможности решения по управлению DMVPN, QoS, PfR и AVC, а также подходы по диагностике голосовых и видео услуг.
Втупайте в клуб Cisco, чтобы получить доступ к:
✓ Самым последним новостям в мире ИТ
✓ Бесплатным семинарам и вебинарам
✓ Получить скидки на участие в конференциях Cisco
http://cs.co/90019QBh
Решения для мониторинга ИТ-инфраструктуры. Как правильно сделать выбор? Часть 1СвязьКомплект
На что следует обращать внимание при мониторинге ИТ-инфраструктуры? Основные источники получения информации.
Докладчик: Игорь Панов, ведущий проекта http://www.NetworkGuru.ru
Андрей Николаенко, IBS. NVMf: 5 млн IOPS по сети своими рукамиIBS
Андрей Николаенко, системный архитектор в IBS, выступил на конференции HighLoad++ 2016.
Тезисы
В выпуске 4.8 ядра Linux появилась поддержка NVMf (NVM Express over Fabrics) — стандартизованной возможности присоединять по сети как блочные устройства твердотельные накопители, установленные в разъёмы PCI Express. NVMf лишён многих недостатков iSCSI, повторяющего по сети SCSI-команды со всеми их издержками времён дисковых накопителей, и главное — позволяет по полной использовать возможности сетей с прямым доступом к оперативной памяти (RDMA). Таким образом, можно под управлением одного узла собрать сверхбыстрый и сверхотзывчивый пул блочных устройств, не прибегая к покупке дорогого флэш-массива. Но как воспользоваться этим пулом, не загубив теоретические показатели программными обёртками?
В докладе будут рассмотрены варианты применения NVMf для различных конфигураций PostgreSQL, Oracle Database, Hadoop, файловых хранилищ, о разработках в направлении «программно-определяемой памяти» с применением NVMe-устройств, доступных по сети, обсуждены текущие проблемы, ограничения и перспективы. Особое внимание будет уделено практическим способам измерения производительности ввода-вывода с учётом задачи, решаемой подсистемой хранения.
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)Ontico
В выпуске 4.8 ядра Linux появилась поддержка NVMf (NVM Express over Fabrics) — стандартизованной возможности присоединять по сети как блочные устройства твердотельные накопители, установленные в разъёмы PCI Express. NVMf лишён многих недостатков iSCSI, повторяющего по сети SCSI-команды со всеми их издержками времён дисковых накопителей, и главное — позволяет по полной использовать возможности сетей с прямым доступом к оперативной памяти (RDMA). Таким образом, можно под управлением одного узла собрать сверхбыстрый и сверхотзывчивый пул блочных устройств, не прибегая к покупке дорогого флэш-массива. Но как воспользоваться этим пулом, не загубив теоретические показатели программными обёртками?
В докладе будут рассмотрены варианты применения NVMf для различных конфигураций PostgreSQL, Oracle Database, Hadoop, файловых хранилищ, о разработках в направлении «программно-определяемой памяти» с применением NVMe-устройств, доступных по сети, обсуждены текущие проблемы, ограничения и перспективы. Особое внимание будет уделено практическим способам измерения производительности ввода-вывода с учётом задачи, решаемой подсистемой хранения.
Создание и развитие отечественной платформы с открытым программным кодом для ...ARCCN
Доклад в рамках Международной конференции «Управление сетями электросвязи. Программно-конфигурируемые сети и виртуализация сетевых функций – SDN&NFV Russia 2016».
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchipARCCN
Доклад Васина Вячеслава (ЦПИКС) на семинаре Консорциума университетов по изучению и развитию передовых технологий в сфере компьютерных сетей. 20 октября 2016 года
Здоровье важнее - Fortinet решения для удаленных сотрудниковMUK Extreme
Fortinet Teleworker Solutions
- Leverages Existing FortiGate NGFW capabilities for large scale workforce support
- Extends Current Infrastructure & Management Tools
- Enables Secure, Remote Connectivity for the entire workforce
3. • SPAN Ports
• Taps
• Inline Bypass
• SPAN Ports
• Taps
• SPAN Ports
• Taps
• Inline Bypass
Core
Существующие ограничения доступа к трафику
Data Center
Campus ROBO
DMZЦентры обработки данных
Узлы связи и коммутации
Распределенные сети
Системы мониторинга
Управление
сетью
Сетевые
анализаторы
СОРМ
IDS, DLP…
Анализ качества
APM
SIEM
Рерсурсов
не хватит
4. January 18, 2014
Комплексная архитектура зеркалирования и обработки трафика
Carrier Networks
Wired and Mobile
Data Center
Private Cloud
Virtualization
Core
Remote Office
Branch Office
Campus
Network
Operations
Performance
Management
Security
Admin
Server Admin
Audit &
Privacy
Forensics
Visibility Architecture
App
Aware
Out of
Band
NPB
Сплитт
ер
Element
Mgmt
Virtual
& Cloud
Access
Policy
Mgmt
Inline
NPBInline
Bypass
Session
Aware
Data Center
Automation
Network
Access
Packet
Brokers
Applications Management
5. January 18, 20145
Campus
Branch
Data Center
Core
Cloud
Network Monitoring Tools
Protocol
Analyzer
Application
Performance
Packet
Capture
Web
Application
IDS
IPS
Database
Security DoS
Lawful
Intercept
SPAN SPAN
SPAN SPAN
2G 10G 1G 1G 10G 2G 10G 2G
Стандартный сценарий
6. January 18, 20146
Campus
Branch
Data Center
Core
Cloud
Network Monitoring Tools
Protocol
Analyzer
Application
Performance
Packet
Capture
Web
Application
IDS
IPS
Database
Security DoS
Lawful
Intercept
SPAN SPAN
SPAN SPAN
10G 1G 1G 1G 10G 2G
TAP
TAP
TAP
TAP
BYPASS
BYPASS
TAP
vTAP
TAP
2G
10G
10G
10G
10G
10G
10G
Сценарий с применением сплиттеров
7. January 18, 20147
Campus
Branch
Data Center
Core
Cloud
Network Monitoring Tools
Protocol
Analyzer
Application
Performance
Packet
Capture
Web
Application
IDS
IPS
Database
Security DoS
Lawful
Intercept
SPAN SPAN
SPAN SPAN
TAP
TAP
TAP
TAP
BYPASS
BYPASS
TAP
vTAP
TAP
10G 1G 1G 1G 10G 2G2G 10G2G2G 1G
Filtering
Flow Linking
Aggregation
Regeneration
Load Balancing
Burst Protection
Trimming &
Stripping
Time Stamping
De-duplication
Ixia Network Packet Brokers
Полноценная система захвата и зеркалирования
8. January 18, 2014
Эволюция умной Visibility
Все пакеты
TAP
Raw
Packets
Только трафик 10.0.0.0/8
Только трафик TCP Port 25
L2-4 Filters
NPB
Все уникальные пакеты идущие к 10.0.0.0/8
Только первые 128 bytes пакета, TCP Port
25
Hardware
AFM
NPB
Adv. Packet
Processing
Весь трафик из Грузии
Весь голосовой трафик из HTC One
Кто-то из ЮАР смотрит «Карточный
домик» на Netflix, на iPhone через сеть
Vodacom
NPB –
App Brokering
Meta Data
App
Filtering
9. January 18, 2014
Фильтрация: твой выбор
Трудный путьПростой путь
Использование фильтров других вендоров “…мы потратили около
четырех часов и определенное количество проб и ошибок чтоб
получить карту фильтров, ее применение и определение.”
“Ixia функционал - Dynamic Filtering , с другой стороны, отнял всего
10 минут чтоб сделать те же задачи в наших тестах.”
10. January 18, 201410
Умная обработка пакетов
Выделенные аппаратные средства добавляют данные либо убирают ненужные
– без потери информации
– на основе per packet
Все уникальные пакеты
идущие к 10.0.0.0/8
Только первые 128 bytes пакета,
TCP Port 25
Hardware AFM
NPB
Adv. Packet Processing
Advanced Packet Processing (AFM) Features
• Дедупликация
• Снятие заголовков
• Усечение (Trimming)
• Маскировка данных
• Временные метки
• Защита от «всплесков»
11. January 18, 201411
Дедупликация
Deduplication – только одна копия пакета отправляется к анализатору
Откуда появляются повторяющиеся пакеты?
– Несколько тапов агрегируют в один и тот же анализатор
– Один SPAN порт обычно генерирует повторяющиеся пакеты
( )
12. January 18, 201412
Снятие заголовков
Header Stripping – обнаруживает и удаляет протоколы туннелирования из заголовка,
для анализа инструментами, которые не поддерживают данные протоколы.
PayloadIP Header
Header Stripping
MPLS Label
Примеры использования:
• Translation: Удаляет заголовки протоколов,
которые не понимает анализатор и отдает пакет в
поддерживаемом формате.
– MPLS, VNTag, FabricPath, etc.
• vTap Termination: Терминирует трафик от Phantom
vTap
• ERSPAN termination: Терминирует трафик из
удаленных офисов/филиалов
13. January 18, 201413
Усечение пакетов
Packet Trimming – усечение пакетов до определенного размера и опционально
вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на
анализатор.
Примеры использования
• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
– Удалить SSL-encrypted payloads перед анализом
– Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть
использована для защиты от раскрытия конфиденциальной информации, такой как
личная информация (Personally Identifiable Information - PII) в соответствии с
требованиями многих мандатов, таких как PCI.
PayloadIP Header
Packet Slicing
14. January 18, 201414
Маскировка данных
Data Masking – Позволяет скрыть определенные данные, с сохранением общего
размера фрейма, чтоб личная информация (Personally Identifiable Information -
PII) не передавалась на анализатор.
Примеры использования
• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не
хранить, передавать или другим образом раскрывать PII внутренних или внешних
пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA
в области здравоохранения в США. Нарушения часто приводят к многомиллионным
штрафам.
PayloadIP Header
Data Masking
XXXX
15. January 18, 201415
Временные метки
Packet Timestamping – Добавляет в каждый пакет раздел содержащий
временную метку, для детального изучения задержки анализаторами.
Примеры использования
• Задержка: Анализатор может определить задержку между любыми тапами в сети,
путем сравнения временных меток в одном и том же пакете из разных мест сети.
PayloadIP Header
Packet Timestamping
Timestamp
использует PTP или NTP для
получения эталонного времени
16. January 18, 201416
Защита от «всплесков»
Burst Protection – Добавляет дополнительный буфер к 1G интерфейсам для
обеспечения защиты от таких событий как microburst и позволяет избежать потери
данных.
Примеры использования
• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G
анализатор, возможно кратковременное превышение 1Gbps трафика.
• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса,
данный функционал может обезопасить от кратковременного «всплеска»
анализатор с производительностью 1G.
17. January 18, 201417
ATIP – Deep Packet Inspection
• Использование ATIP для выполнения Deep Packet Inspection
• Распознавание
– Applications
– Application events
– Handset OS
– Browser
– Geolocation
• Подписка
– Обновление каждые 3 недели
18. January 18, 2014
Две главных топологии Visibility
Monitoring (out-of-band)
Анализаторы терминируют трафик и не
форвардят его обратно в сеть.
Типичные анализаторы:
– Application Performance Monitoring
(APM)
– Network Performance Monitoring (NPM)
– Intrusion Detection System
– Data recording
Inline (inband)
Решения анализируют и выборочно
отбрасывают трафик или форвардят
обратно в сеть.
Типичные inline анализаторы:
– Intrusion Prevention System (IPS)
– Data Loss Prevention (DLP)
– Web Cache
– SSL encrypt / decrypt
– Firewall
19. January 18, 201419
Внешний Bypass
Почему использовать внешний vs
интегрированный Bypass?
1. Внешний – надежность в 5 раз
лучше!
– MTBF (Mean Time Between Failure in
Hours)
• Внешний Bypass: 450,000
• Интегрированный Bypass: 80,000
2. Легче заменить вышедшие из строя
устройства
– Нет риска «падения» сети
3. Такой же размер как и
интегрированного bypass
– 2U
20. January 18, 201420
N+M отказоустойчивость анализаторов
Поддерживает любые варианты N+M
отказоустойчивости устройств
• N+M Redundancy: M резервных устройств для
защиты N активных устройств
• N+1 Redundancy: одно резервное устройство
для защиты N активных устройств
Поведение при неисправности устройств
• Резервное устройство забирает трафик
неисправного устройства
• Активное устройство возвращает себе трафик
после восстановления
• Отказ устройства выявляется с помощью
heartbeat пакетов
21. January 18, 201421
Быстрое обнаружение отказов - Heartbeats
Обнаружение отказов
• Heartbeats между bypass switch и NPB
• Heartbeats между NPB и устройством
• Отсутствие heartbeats указывает об отказе
Ключевые возможности
• Предустановленные heartbeats для проверки разных
устройств
• Настраиваемые heartbeats для сложных ситуаций
• Поддержка single-stage (blue) или multistage (red)
heartbeats
22. Сплиттеры. Медные и оптические ответвители.
Innovative FlexTap
1-100G SM and MM
High density design saves rack space
All-optical
Flexible deployment, up to 24 Taps in 1U
Secure, intelligent remote management and ProPush™
statistics
Zero delay technology eliminates packet drop
Single and high density bypass configurations
Multi-stream heartbeat with micro second response
Strengths
Deployment Flexibility Security and Reliability Industry Leading Recovery Times
Ixia TAPs and Bypass Switches Provide the Industry’s Broadest and Most Robust Access Portfolio
FlexTap (1 / 10 / 40 / 100G)
Gig Zero Delay Tap
iBypass HD 10 GigaBit Regeneration Tap
iTap Dual Port Aggregator
1Gigabit
10Gigabit
40Gigabit
100Gigabit
23. January 18, 201423
Продуктовая линейка IXIA NTO
211x5204
Carrier-Class/NEBS
High Performance
10/40/100G
Advanced
1/10G
Entry
• Flexible, scalable, high density
• 100G, 40G & 10G
• 4x 100G, 16 x 40G, or 64 x 10G
• High-density, Carrier-Grade
• 100G, 40G & 10G (NEBS)
• 4x 100G, 16 x 40G, or 64 x 10G
EnterpriseCapability
5236 5273
5288 5293
• 10G networks (NEBS)
• 24 x 10G
• High-performance 10G
• 24 x 10G
• Small Enterprise
• 4 x 10G + 20 x 1G
Flexible &
Scalable
10/40/100G
• ControlTower Architecture
• 16 x 40G, or 64 x 10G
5268
• Medium Enterprise
• 10/1G + Advanced
• ControlTower Architecture
• 16 x 40G, or 64 x 10G
5260/3
Strengths
Rich Feature Set Carrier Class Reliability Easy Configuration and Management
NTO Packet Brokers Bring Intelligence and Scalability to Visibility Architectures to Maximize Tool Capability
24. NTO 7300 Platform Summary
7U Chassis with 6 Slots
Best Density in the Industry! (584G/U)
– 384 Ports of 10Gb (via 40Gb
breakout)
– 288 Ports of Native 10Gb SFP+
– 96 Ports of 40Gb
– 24 Ports of 100Gb
High Availability Design
– Redundant Fans
– Redundant DC Power (1U AC Shelf)
– Redundant Fabrics
– Hot-Swap Capable (Post-RTS)
Switching Capacity: 3.8Tb/s
Control Tower Ready
NEBS 3 Ready
Ready at Initial Ship:
• 6 Slot Chassis w/non-block Fabric
• 48 port 1/10G Line Card
• 16 port 40G Card
• 4.0 Application Feature set
• NEBS
• AC or DC Power
25. January 18, 2014
Продуктовая линейка IXIA - Netoptics
Product Key Benefits
10G Load Balancing
xBalancer
• Combined feature set: Tap, Aggregation, Regeneration,
Dynamic Load Balancing
• Distribute traffic to multiple tools for parallel processing
Timestamping
Director xStream Pro
• Combined feature set: Tap, Aggregation, Regeneration, Static
Load Balancer, Timestamping
10G Monitoring Switch
Director xStream
• Combined feature set: Tap, Aggregation, Regeneration, Static
Load Balancer
1G Monitoring Switch
Director and Director Pro
• Aggregation, Regeneration
• Deep Packet Inspection
• L2-7 Filtering
10G Aggregation
iLink Agg xStream
• Aggregates multiple traffic streams for monitoring by a single
tool
Strengths
High Performance Broad Feature Sets Kernel Level Software
Forward relevant network traffic from multiple links to multiple monitoring tools for monitoring and analysis
25
26. January 18, 2014
Vision ONE – безопасность без потерь
Intelligent
• ATIP: DPI for app awareness
• SSL decryption
• Reliable adv. packet processing
• Supports inline & monitoring
• Terminates physical & vTap
traffic
Compact
• 1U high
• Connectivity
• 48 SFP+ for 1G or 10G
• 4 QSFP+ for 4x40G or 16x10G
• Growth via expansion slot
Reliable
• Based on NVOS 4.x
• Redundant, hot swappable power
supplies & fans
• NEBs capable
Multiuser ready
• Extensive role-based access control
• Automatic Filter Rule Compiler
• Intuitive GUI
• RESTful API
27. January 18, 201427
Virtualization and Cloud Platforms: Visibility for Virtualized Environments
Hypervisor
Support:
Strengths
Highest Performance Cross Platform Certified Kernel Level Software
Supports multiple hypervisors in the same management server - VMware and KVM
Сохраняет производительность, емкость,
пропускную способность для всех технологий
Снижает уровень инвестиций в виртуальные
средства путем перехода от физики до
виртуализации
Обеспечивает передачу данных от ЦОД до
систем мониторинга
Включает мониторинг виртуального сетевого
трафика в виртуальной среде которая не
может обработать VN-Tags
28. January 18, 201428
GTP Session Controller - GSC 7433
Первый в индустрии GTP Session Controller
GSC 7433
Полная видимость GTP сессий
Разгружает системы мониторинга от корреляции GTP сессий
Сохраняет GTP сессии от нескольких пробников
Session Distiller предоставляет выбор уникальной GTP
На основе проверенного Anue software interface
Масштабируемое решение для балансировки нагрузки
Распределение более 50 млн пользовательских сессий
Масштабируется от 32 до 64 ports в одном шасси 2RU
Session Safety Net обнаруживает отказ пробника и перераспределяет
трафик до восстановления
Доступность операторского класса
NEBS Level 3 Certified Product
Front to Back Air Flow
Redundant Management Ports
Strengths
Highest Performance Robust Load Balancin High Reliability
The Most Advanced GTP Session Capabilities Available in the Market
29. January 18, 2014
Visibility Architecture Management
Strengths
Global Management Capability Complete Portfolio Coverage
Visibility Management Allows Deployment of Global Visibility Architectures and Advanced Automation
Решение Ixia GMS отвечает
потребностям пользователей NTO в
трех ключевых областях:
• NTO Inventory Management
• NTO Performance and Fault Monitoring
• Multi-NTO Configuration Management
Ixia GMS ManagementNetOptics VMS
• Автообнаружение и настройка
Net Optics устройств
(Director, Director Pro, iTap)
• Собирает статистику используя
ProPush™ технологию и SNMP
• Планировщик для устройств и
управления политиками
Editor's Notes
Slide 8:
But all of these tools that IT now has need access to data on the production network. In fact, many of the tools function better when they get data from across the entire network including the Data Center and DMZ, the network core, and the different campus and remote office locations.
[Build 1]
However, the problem is, many of these tools aren’t getting the data access they need. Why? It’s usually due to two issues (1) there aren’t enough SPAN and Tap ports available on the network for all the tools, or (2) IT doesn’t have the budget for enough tool port capacity.
Alright, we learned a lot about Ixia's Visibility Architecture i.e. Network Access Solution & Ixia’s NPB (Network Packet Broker) solutions
Now Let’s talk about what happens to your customers with out Ixia’s visibility Architecture.
Well, as you look at the slide, this customer has many different Security & Monitoring Tools but they are just getting feed from limited SPAN ports in their networks.
Need less to say that SPAN Port : 1)Likely to drop packets when the switch is busy, 2) Does not pass Layer 1 and 2 errors and finally C) Not scalable to support many tools
Results : The customer doesn’t have a total Visibility in the Network, Under utilized Tools and Risk of Security & compliance
Now Let’s say customer realize this while they upgraded their Networks to 10G and went ahead and implemented Network Tap, Virtual Tap and Bypass Switches to gain visibility into their Networks.
But This is not enough, why? Of course it is a step in the right direction but it created another challenge i.e. Now customer has many links coming from the 10G Networks but
Existing Tools can not handle 10G of traffic
So Now what ?
Well, What the customer now need is Network Packet Brokers that can Aggregate the multiple links, Regenerate the traffic to multiple Tools, Filter selective traffics and send it to the specific tools, Load balance inline traffics among multiple security Tools, remove Duplicate packet going to the monitoring Tools etc.
So, with this Customer will get Total Network Visibility by Using Ixia’s Visibility Architecture