Network Services I+II Mgr. Pavel Krumnikl Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy - LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE Co je Shared Network Infrastructure (SNI)? § Poskytuje bezpečný způsob jak se z IBM vnitřní sítě dostat do vnitřní sítě zákazníka § SNI je speciální síťová architektura uvnitř IBM Global Services data center. § Bezpečnostní požadavky jsou velmi náročné § Je založena na několika síťových segmentech s různým přístupovými právy Tier Definitions for SNI (e.g. eSNI “simplified”) Implementation Example (e.g. eSNI “simplified”) Abbreviations § CML – Central Management LAN § CSL – Central Service LAN § SML – Shared Management LAN § SSL – Shared Service LAN § DML – Dedicated Management LAN § DAL – Dedicated Access LAN § IAL – Infrastructure Access LAN § IAL_IBM – Infrastructure Access LAN IBM Jaká jsou výhody/nevýhody SNI Výhody § Standardní řešení pro IBM § Bezpečné řešení § Opětovné využití prostředí § Snížení nákladů § Standardizace Nevýhody § Sdílení má obrovské nároky na bezpečnost, větší než management pouze pro jednoho zákazníka § Ne vždy je možné sjednotit všechny standardy § Může nastat problém se stejnými IP adresami v sítích různých zákazníků § Může být omezeno zákonem v některých zemích Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE Organizační struktura – Network management NOC - Level 1 support § Reaguje na vstupy z různých nástrojů. Řídí řešení problémů a řídí tok informací mezi ostatními týmy. § Využívá jednoduché a jasné procesy. Musí dobře znát používané nástroje, systémy a procesy. § Nezbytné je fungování ve 24x7 režimu § Příklady § Koordinuje řešení výpadek na zařízení poskytovatele. § Udržuje tikety v různých systémech a informuje ostatní týmy o aktuálním stavu problému § Informuje správnou skupinu uvnitř IBM když je potřeba vyměnit HW u zákazníka NOC - Level 2 support § Řeší problémy přicházející od Level 1 supportu a z dalších systémů. Level 2 support je těžší definovat z hlediska procesů, vzhledem k tomu, že problém, dokud se nevyskytne, tak není definován. § Level 2 je převážně o zkušenostech a znalostech o sítích. § Příklady § V případně chyb na lince poskytovatele zjistit typ chyb, jejich pravděpodobný původ a informovat poskytovatele, který zajistí vyřešení § Pomoci uživateli např. se správným nastavením proxy v IE (ve spolupráci s HD) § Najít chybu v routování, když se uživatel nemůže připojit na server Level 3 support § Level 3 support pracuje s komplexními problémy. Jsou zapojeni do řešení různých problémů, které mají širší dopad (více zemí). „Pomalá síť“ je příklad problému, který obvykle končí u level 3. § Řeší většinou jakékoli nestandardní zapojení § Spolupracuje a často řídí komplexní změny v sítích. Je založen nejen na síťovýc zkušenostech, ale také na znalostech v ostatních produktech (Web, DNS, FW, SAP, LN, Terminal Services, atd.) § Příklady § Nalezení a opravení špatně nastavených routovacích protokolů § Asistování poskytovateli s hledáním a řešením problémů se sporadickými výpadky v síti poskytovatele § Hledání důvodu pomalého výkonu aplikace § Zapojení do změny poskytovatele připojení Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE Network Management Toolset § Tivoli TEC – Zobrazuje problémové události na LAN/WAN zařízeních § Tivoli Netview – Poskytuje síťovou mapu k jednodušší lokalizaci problému § Entuity Eye of the Storm – Poskytuje rozšířené možnosti určení problému, obvykle pro důležité (core) zařízení – Monitoruje zařízení přes SNMP - více než 70 možných chyb. § Speciální programy pro management zařízení určitého výrobce – Cisco Works – 3Com Network Supervisor – Nortel Enterprise Switch Manager § CACTI Statistics – WAN performance § TACACS/RADIUS – Autentikační server § Machine Sheets Database – Databáze zařízení Network Management Toolset Tivoli TEC (Tivoli Enterprise Console) § Zobrazuje hlášky o událostech, na které je potřeba reagovat § Je centrálním systémem na sbírání událostí, zjištění jejich závislostí a jejich zobrazením § Je určen k použití především 1. levelem Tivoli Netview § Up/Down monitorování LAN, WAN zařízení a firewallů § Monitoruje pomocí ping, SNMP nebo dostává alerty z jiných nástrojů (EotS, CACTI) § Může přeposílat hlášky do TECu § Poskytuje síťovou mapu pro bližší určení problému § Je používán všemi úrovněmi pro zjištění a analýzu problému Entuity Eye of the Storm § Rozšířené monitorování centrálních síťových zařízení (LAN i WAN) a firewallů pomocí SNMP § Hlásí do Netview/TECu problémy, které teprve mohou nastat § Má rozšířené možnosti detekování problémů § Je používán všemi úrovněmi pro zjištění a analýzu problému Entuity Eye of the Storm – výpis portů Entuity Eye of the Storm – device report Entuity Eye of the Storm Cisco Works § Umožňuje hromadnou konfiguraci Cisco zařízení § Umožňuje instalaci nových verzí systému (IOS/CatOS) Cisco zařízení § Ulehčuje zjišťování problémů na Cisco zařízeních § Reporty – Reload history – Availability – Config change history – atd. § Campus Manager § Cisco View 3Com Network Supervisor § Umožňuje změnu a zálohování konfigurace 3com zařízení § Umožňuje instalaci nových verzí systému 3com zařízení § Má funkce na zjišťování problémů na 3com zařízeních Nortel Enterprise Switch Manager § Umožňuje změnu a zálohování konfiguraci Nortel zařízení § Umožňuje instalaci nových verzí systému Nortel zařízení § Má funkce na zjišťování problémů na Nortel zařízeních Nortel - Enterprise Switch Manager Nortel - Device Manager Cacti Statistics § Zobrazuje vytíženost WAN linek § V případě užití QoS (Quality of Service) zobrazuje i využití v jednotlivých kategoriích § Poskytuje statistické informace, které mohou přispět k řešení kapacitních problémů § Sbírá netflow data - pomáhá určovat „top talkers“, „top conversations“, „top applications“ § Je určen k použití především 2. a 3. levelem k identifikaci problémů na WAN sítích dříve než je pocítí zákazník Cacti – grafy linek Cacti – Top Talkers Machine Sheets Database § Seznam všech zařízení § Obsahuje důležité informace o zařízeních – Typ zařízení – Lokalita – IP adresa, hostname – Kontakty na ostatní skupiny/providera – Informace o zabezpečení a kontrolách – Atd. Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE LAN Management § LAN = Local Area Network § Typy zařízení – Cisco, Nortel, 3com, Alel, Allied Telesyn, Blue Coat, Digital, D-link, Enterasys, HP, IBM, Intel, Intermac, Kingston, KTI Networks, LANart, LinkSys, Netgear, Nokia, Olicom, Planet, Symbol, Synoptics, Xtreme § Důležitost zařízení – Core (router, switch, který připojuje router nebo servery) • Širší spektrum monitorování (Eye of the Storm) – Non-core (switch, kam jsou připojení koncoví uživatelé) LAN – jednoduché zapojení LAN – složitější zapojení LAN – Data Centrum Příklad datacentra Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE WAN Management § Možnosti WAN připojení – Pronajatá linka (leased line) – DSL/ADSL/ISDN – Internet tunel § WAN propojení poskytují převážně externí firmy (poskytovatelé telekomunikačních služeb) § NOC je kontaktní bod mezi providery a zákazníkem Současné trendy pro WAN § MPLS = Multiprotocol Label Switching (http://www.isdn.cz/clanek.php?cid=3869) § QoS = Quality of Service (http://eldar.cz/manasek/felbox/36mps/qos/index.htm) WAN Management – poskytovatelé Požadavky na WAN Monitoring & Statistics § Nastavením QoS na WAN linkách vede k účelnějšímu využití dané linky § 80 – 100 % WAN link utilization (“we pay 100, we use 100”) § Na monitorování QoS je potřeba efektivní nástroj QoS – definice kategorií § Category 1 – interactive applications with non-packet bursty traffic (e.g. telnet) – Packet loss should be avoided § Category 2 – Interactive applications with packet bursty traffic (e.g. http) – Few packet loss § Category 3 – Non-interactive batch traffic (e.g. Lotus Notes replication) – Packet loss possible § Category Default – Non classified traffic – High packet loss on congestions, best effort Metody odhalení problémů ve WAN Efektivní WAN management je založen na využití: § Up/Down Management (IF) – Odhalení HW problémů a výpadků § QoS Statistics and Reports (WHERE) – Odhalení problémů s výkonem a zahlcení linky § Netflow Traffic Analysis (WHAT and WHO) – Analýza, který typ komunikace způsobuje problémy a kdo je původcem Step One – Check IF there is an outage § Zjistit, jestli nenastal HW problém pomocí nástrojů a informací od providera Step Two – Check WHERE the problem is § Projít celou cestu od jednoho konce ke druhému, a zkontrolovat všechny, které mohou způsobit přehlcení linky, zahazování paketů nebo jiné problémy Graphs reported by IBM Reporting Solution (Cacti) § Network Workload & Statistics – QoS Traffic share per queue – QoS Queue depth per queue – QoS Packet drop per queue – Traffic Analysis – Errors and discards – Packets Rate – Switching – Collisions – Device CPU Usage – Device Memory Usage § Performance – Availability – Latency § Traffic Flow Analysis – Top Talkers – Top Applications – Top Conversations Reality is much more complex… Step Three – Check WHAT traffic and WHO § Prozkoumání typu komunikace, objem dat, v bodě zahlcení § Netflow dává informace jaký typ komunikace způsobuje přetížení a kdo je původcem Netflow Accounting must be enabled on all CPE routers Netflow accounting Výsledek a akce § Identifikace IP adresy způsobující problém, upozornění uživatele, odpojení, … § Žádný konkrétní zdroj, je potřeba linku zkoumat delší dobu, jestli je potřeba navýšení Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE Typické Problémy § Pomalá síť – LAN – Internet – WAN § Nedostupné zařízení LAN § Nedostupná lokace – WAN problém Příklad 1 – Pomalá síť (lokální) § Uživatel hlásí pomalou síť § Je potřeba zjistit, jestli pouze na lokální fileserver nebo jestli na vzdálený server nebo na Internet § Zjistit nastavení rychlosti/modu portu na switchi a nastavení síťové karty serveru (uživatelského PC) § Zjistit chybovost na portu na switchi § Výměna kabelu Příklad 2 – Pomalá síť (Internet/WAN) § Up/Down Management (IF) – Odhalení HW problémů a výpadků § QoS Statistics and Reports (WHERE) – Odhalení problémů s výkonem a zahlcení linky § Netflow Traffic Analysis (WHAT and WHO) – Analýza, který typ komunikace způsobuje problémy a kdo je původcem Příklad 3 – Nedostupný switch § Zjištění pomocí hlášky v Netview § Ověření hlášky (ping, SNMP) § Zkusit připojení z ostatních zařízení v lokaci § Kontaktovat lokální podporu pro ověření připojení elektřiny a síťových kabelů § Manuální restart zařízení § Výměna zařízení Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE Firewall § Typy firewallů § Standardně používané typy § Checkpoint ProviderOne § Využití FW Types of existing Firewalls § Software – Checkpoint Firewall-1 (diverse versions) – Cisco PIX § Operating Systems – Checkpoint Secure Platform (SPlat) – Sun Solaris – Microsoft Windows – Linux – Nokia IPSO § Hardware – PC Architecture – Sun – Nokia – Cisco PIX – Intrusion Firewall Standard for all replaced and new build firewalls § Software – Checkpoint Firewall-1 Next Generation with Application Intelligence – Cisco PIX § Operating Systems – Checkpoint Secure Platform – Cisco PIX Firewall OS § Hardware – IBM x-Series Servers – Cisco PIX Checkpoint - ProviderOne § Struktura – Management server – FW box(Nokia, SPlat) § Management server – Uložená FW pravidla – Centrální logování – Ověřování uživatelů § FW zařízení – Jednoduchý OS Checkpoint - ProviderOne Checkpoint - ProviderOne Checkpoint - ProviderOne Využití firewallů § Internet/DMZ/interní síť § Oddělení jednotlivých zemí § Připojení zemí/lokací přes VPN tunel do Corporate sítě Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE IP Services (IPSE) § DNS/DHCP § NTP § Proxy § SMTP QIP – centrální systém pro DNS/DHCP § Jeden centrální (zálohovaný) QIP management server § Změny se propagují na centrální QIP server v zemi, ze kterého pak na QIP servery ve větších lokacích § Typy lokací: – Méně než 250 uživatelů DHCP – IP helper – 251 až 499 uživatelů, lokální DHCP server, nebo IP helper – Více než 500 uživatelů (Super location), lokální DHCP poskytují redundantní servery § Pravidlo – Statické adresy pro servery a síťové prvky, – Dynamické adresy pro PC a tiskérny DNS § Centrální management DNS záznamů § Hlavni domeny (zakaznik.com, zakaznik.cz) § Poddomény (cz.zakaznik.com) § Správa domény může být delegována na jiný server NTP § Synchronizace času § NTP will be installed on Intranet DNS servers. § ABB NTP Master Source will be distributed over the regions – Europe: NTP Master Source will be the NTP server within E-SNI Ehningen with Internet Backup – NMEA: NTP Master Source will be the NTP server within E-SNI Ehningen with Internet Backup – Americas: NTP Master Source will be a NTP server within SNI Southburry with Internet Backup – Asia Pacific: NTP Master Source will be a NTP server within SNI Singapore with Internet Backup § NTP sources for ABB servers are the DNS servers in the appropriate DC. § Within the Regional DC level (Tier 2) the NTP servers in every DC will be fully meshed Proxy Solution § Clustered proxy servers will be placed in the country DCs to provide internet access within the country. § Existing ABB proxy solutions within the countries will be supported till end of migration. § The number of proxy servers to install depends on the number of users within the country. Each proxy server is sized to serve at least 2500 and 1500 concurrent users. § Proxy servers in UK and Germany will be combined due to the network design. § Proxy Servers are always shared with other IP services, like DNS/DHCP and NTP. § Countries with no own DC and internet access point will use the nearest proxy server in their appropriate regional DC (EHN, VAS, WIN or SIN) SMTP Relay Service § SMTP services are delivered using Notes infrastructure. § Only Notes Infrastructure will support the mail relaying. § IP Services supports the SMTP backbone with the DNS zone administration to assign the appropriate MX records. Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE Bezpečnost sítí § Standardy konfigurace § Ověřování skutečné konfigurace § Aktuálnost SW/HW § Revalidace uživatelů Bezpečnost sítí - Standardy konfigurace § Obecná pravidla § Nutno aplikovat na různá zařízení § Standardy pro Cisco, Nortel, … Bezpečnost sítí - Ověřování skutečné konfigurace § Správné nastavení při připojení nového zařízení § Kontrola probíhá v určitých intervalech (půl roku) § Zdokumentování výsledku § Oprava případných nedostatků Bezpečnost sítí - Aktuálnost SW/HW § Monitorování informací od výrobců – Záplaty – Nové verze § Hodnocení zjištěných rizik § Naplánování upgradu Bezpečnost sítí - Revalidace uživatelů § Pravidelná kontrola, zda uživatelé stále existují (jsou zaměstnaní) § Pravidelná kontrola, zda uživatelé stále potřebují přístup § Zálohy evidence Agenda § Shared Network Infrastructure § Organizační struktura § Monitorování síťových prvků - nástroje § LAN Management § WAN Management § Typické problémy – LAN/WAN § Firewall § IP Services § Bezpečnost sítí § Typické problémy – FW, IPSE Příklad 1 – Uživatel se nemůže připojit k síti § Zjistit IP adresu PC § Pokud nemá správnou podle lokace – může být problém s DHCP § Zkontrolovat DHCP službu na serveru § Zkontrolovat, jestli jsou volné IP adresy v DHCP rozsahu Příklad 2 – Nový server v DMZ § Zajistit potřebné povolení § Zjistit typ nezbytné komunikace § Zjistit přes který FW bude komunikace probíhat § Upravit příslušná FW pravidla Příklad 3 Odkazy § Tivoli Netview – http://www-306.ibm.com/software/tivoli/products/netview/ § Tivoli TEC – http://www-306.ibm.com/software/tivoli/products/enterprise-console/ § Eye of the Storm – http://www.entuity.com/ § Cisco Works – http://www.cisco.com/en/US/products/sw/cscowork/ps2425/index.html § CACTI – http://www.cacti.net/ Odkazy § Checkpoint – ProviderOne – http://www.checkpoint.com/ § QIP – http://www.lucent.com/solutions/netops_enter.html