Сетевое оборудованиеProCurve Networking by HP: безопасность и управление

Содержание

Слайд 2

HP EtherTwist

HP AdvanceStack

Большой вклад в развитие сетевой истории

HP ProCurve Hubs & Switches (с марта 1998 г.)

ProCurve Networking

HP EtherTwist HP AdvanceStack Большой вклад в развитие сетевой истории HP ProCurve
by HP

Слайд 3

Предоставляем выбор через Стандарты

Предоставляем выбор через Стандарты

Слайд 4

Знакомая эволюция …

Знакомая эволюция …

Слайд 5

Сети сосредоточенные на ядре

Каждый коммутатор добавленный на границе увеличивает загрузку «принятием решений»

Сети сосредоточенные на ядре Каждый коммутатор добавленный на границе увеличивает загрузку «принятием
на ядре – вынужденное наращивание мощности
Цена/производительность для коммутатров ядра не линейная – дорогая и неизбежная модернизация
Многие решаемые задачи НЕ МОГУТ перепоручаться ядру – не отвечает требованиям критичным ко времени приложений

Слайд 6

Adaptive EDGE сети

Каждый EDGE-коммутатор добавляет частицу “принятия решений” – линейное масштабирование и

Adaptive EDGE сети Каждый EDGE-коммутатор добавляет частицу “принятия решений” – линейное масштабирование
соответствие критичным ко времени приложениям
EDGE-коммутаторы границы сети основаны на стандартизованых компонентах – недорогое расширение
Коммутаторы ядра становятся проще (layer 2) и отвечают только за гарантию полосы пропускания и управление – снижение цены и сложности

Слайд 7

Создаём «умную» границу сети сегодня Да, но какой ценой?

В своих решениях, конкуренты пытаются

Создаём «умную» границу сети сегодня Да, но какой ценой? В своих решениях,
перепаковать коммутаторы для Ядра сети и поместить их в серверную комнату или этажный коммуникационный шкаф
Сегодня конкуренты пытаются продавать коммутаторы для Ядра сети как граничные коммутаторы, чтобы удовлетворить потребность в интеллектуальных коммутаторах на границе
Потребителям требуется экономичное по цене решение для построения интеллектуальной и управляемой границы сети!

Только HP ProCurve Networking разработал интеллектуальное решение для границы сети «с нуля», и корпоративные клиенты могут его позволить себе сегодня!

Слайд 8

The ProVision ASIC The Next Step in ProCurve Technology

The ProVision ASIC The Next Step in ProCurve Technology

Слайд 9

Inside the ProVision ASIC

Gig-ASIC
24 GbE ports per chip
28.8 Gbps Interface to fabric

Inside the ProVision ASIC Gig-ASIC 24 GbE ports per chip 28.8 Gbps
ASIC
Management CPU interface
Embedded MACs, classifier, various memory, packet processors
10Gig-ASIC
4 10-GbE ports per chip
28.8 Gbps Interface to fabric ASIC
Management CPU interface
Embedded MACs, classifier, various memory, packet processors

Architecture layout of a ProCurve 5406zl Switch

Fabric ASIC
Multi-stage capable cross-bar switching fabric
Interface connections to management CPU, Gig-ASIC and 10Gig-ASIC

Слайд 10

ProVision ASIC

ProVision ASIC

Слайд 11

ProCurve Networking

Edge Devices—LAN

Intelligent Edge Switches

ProCurve Switch
5304xl-32G (J8166A)

ProCurve Switch 5308xl-48G (J8167A)

ProCurve Switch

ProCurve Networking Edge Devices—LAN Intelligent Edge Switches ProCurve Switch 5304xl-32G (J8166A) ProCurve
5308xl (J4819A)

ProCurve Switch 5304xl (J4850A)

Edge Switches—Managed

ProCurve Switch 4140gl (J8151A)

ProCurve Switch 4160gl (J8152A)

ProCurve Switch 4108gl Bundle (J4861A)

ProCurve Switch 2848 (J4904A)

ProCurve Switch 2824 (J4903A)

ProCurve Switch 2650 (J4899B)

ProCurve Switch 2626 (J4900B)

ProCurve Switch 2650-PWR* (J8165A)

ProCurve Switch 2626-PWR* (J8164A)

ProCurve Switch 4148gl (J4888A)

ProCurve Switch 4108gl (J4865A)

ProCurve Switch 4104gl (J4887A)

ProCurve Switch 2524 (J4813A)

ProCurve Switch 2512 (J4812A)

ProCurve Switch
5372xl (J4848B)

ProCurve Switch
5348xl (J4849B)

ProCurve Switch 3400cl-48G (J4906A)

ProCurve Switch 3400cl-24G (J4905A)

ProCurve Switch 2600-8-PWR* (J8762A)

ProCurve Switch 5406zl-48G (J8699A)

ProCurve Switch
3500yl-48G-PWR* (J8693A)

ProCurve Switch 4202vl-48G (J8771A)

ProCurve Switch 5406zl (J8697A)

ProCurve Switch 5412zl (J8698A)

ProCurve Switch 5412zl-96G (J8700A)

ProCurve Switch 4202vl-72 (J8772A)

ProCurve Switch 4208vl (J8773A)

ProCurve Switch
4208vl-64G (J8774A)

ProCurve Switch
4208vl-96 (J8775A)

*Power over Ethernet

ProCurve Switch
3500yl-24G-PWR* (J8692A)

ProCurve Switch 4204vl (J8770A)

*Power over Ethernet

ProCurve Switch 2810-24G (J9021A)

ProCurve Switch 2810-48G (J9022A)

ProCurve Switch 2510-24 (J9019A)

Edge Switches—Web Managed

ProCurve Switch 1800-24G (J9028A)

ProCurve Switch 1800-8G (J9029A)

Слайд 12

Edge Switches—Unmanaged

Interconnect Fabric Switches

Aggregators

Traditional Core Switches

ProCurve Switch 408 (J4097B)

ProCurve Switch 2724

Edge Switches—Unmanaged Interconnect Fabric Switches Aggregators Traditional Core Switches ProCurve Switch 408
(J4897A)

ProCurve Switch 2324 (J4818A)

ProCurve Switch 2124 (J4868A)

ProCurve Switch 2708 (J4898A)

ProCurve Switch 2312 (J4817A)

Edge Devices—LAN (continued)

ProCurve Secure Router 7102dl (J8752A)

ProCurve Secure Router 7203dl (J8753A)

ProCurve Networking

ProCurve Routing Switch 9315m (J4874A)

ProCurve Routing Switch 9308m (J4138A)

ProCurve Routing Switch 9304m (J4139A)

ProCurve Routing Switch 9408sl (J8680A)

Inter-connect Switches

ProCurve Routing Switch 8108fl (J8727A)

ProCurve Routing Switch 8116fl (J8728A)

ProCurve Switch 6108 (J4902A)

ProCurve Switch 6400cl (J8433A)

ProCurve Switch 6410cl (J8474A)

ProCurve Switch 6200yl-24G-mGBIC (J8992A)

Edge Devices—WAN

Слайд 13

Network Management Software

ProCurve Manager 2.1

ProCurve Manager Plus 2.1 (J8778A, J9009A, J8991A, J8779A)

Network Management Software ProCurve Manager 2.1 ProCurve Manager Plus 2.1 (J8778A, J9009A,

ProCurve Identity Driven Manager 2.0 (J9012A, J9013A, J9014A)

ProCurve Mobility Manager 1.0 (J8990A)

ProCurve Networking

Слайд 14

Access Points

Secure Access

Wireless Edge Services

ProCurve Networking

Edge Devices—
Wireless LAN

ProCurve Wireless Edge Services xl

Access Points Secure Access Wireless Edge Services ProCurve Networking Edge Devices— Wireless
Module (J9001A)

ProCurve Redundant Wireless Services xl Module (J9003A) 

ProCurve Radio Port 210 (J9004A)

ProCurve Radio Port 220 (J9005A)

ProCurve Radio Port 230 (J9006A)

ProCurve Access Control Server 745wl (J9038A)

Слайд 15

Аналогия: безопасность при авиаперелётах

Проверка
личности

Сканирование на соответствие

Мониторинг поведения

Изолирование подозритель-ных субъектов

Контроль
Доступа

Аналогия: безопасность при авиаперелётах Проверка личности Сканирование на соответствие Мониторинг поведения Изолирование подозритель-ных субъектов Контроль Доступа

Слайд 16

ПроАктивная защита ProCurve для сетевой инфраструктуры

Оценить
Личность пользователя

Динамически применить тэги VLAN, ACL основываясь

ПроАктивная защита ProCurve для сетевой инфраструктуры Оценить Личность пользователя Динамически применить тэги
на политиках
- Enable mitigation

Оценить целостность клиента

Мониторинг поведения сети
- Алерты
- Аномалии
- специфические виды трафика

Автоматически ответить на угрозы основываясь на политиках
- Карантин

Слайд 17

Точка доступа

Точка доступа

Аутентификация на основе 802.1x для проводных и беспроводных клиентов

ProCurve 5300xl

LDAP сервер
Microsoft Active

Точка доступа Точка доступа Аутентификация на основе 802.1x для проводных и беспроводных
Directory
Novell eDirectory
OpenLDAP

Wireless PC

Wireless PC

Wireless PC

RADIUS сервер
Microsoft Internet Authentication Server
Funk Steel-Belted RADIUS
FreeRADIUS

Ключевые технологии:
IEEE 802.1x Port Security
RADIUS сервер
сервер LDAP
Multi-host 802.1x
Mac Lockdown

802.1x Port Security
порты закрыты и не пропускают трафик

Клиент А
Windows XP

Клиент B
Windows 2000 SP2

Слайд 18

Точка доступа

Точка доступа

Аутентификация на основе 802.1x для проводных и беспроводных клиентов

ProCurve 5300xl

Wireless PC

Wireless PC

Wireless

Точка доступа Точка доступа Аутентификация на основе 802.1x для проводных и беспроводных
PC

RADIUS сервер
Microsoft Internet Authentication Server
Funk Steel-Belted RADIUS
FreeRADIUS

802.1x Port Security
открывается порт для Клиента A

Клиент А
Windows XP

Клиент B
Windows 2000 SP2

Ключевые технологии:
IEEE 802.1x Port Security
RADIUS сервер
сервер LDAP
Multi-host 802.1x
Mac Lockdown

LDAP сервер
Microsoft Active Directory
Novell eDirectory
OpenLDAP

Слайд 19

Промышленный стандарт для мониторинга траффика в сложных, многоуровневых сетях с коммутацией и

Промышленный стандарт для мониторинга траффика в сложных, многоуровневых сетях с коммутацией и
маршрутизацией

Уровень
доступа

Дистрибуция

Ядро

ЦОД

Централизо-ванное
Управление

Интранет

Интернет

Измерения доступны на каждом порту, всё время = сеть видна целиком и «прозрачна»

sFlow

Слайд 20

sFlow в действии

packet header

src/dst i/f

sampling parms

forwarding

user ID

URL

i/f counters

Агент sFlow

forwarding tables

interface counters

sFlow

sFlow в действии packet header src/dst i/f sampling parms forwarding user ID
Datagram

eg 128B

rate
pool

src 802.1p/Q
dst 802.1p/Q
next hop
src/dst mask
AS path
communities
localPref

src/dst
Radius
TACACS

Коллектор и анализатор sFlow

Коммутатор / Маршрутизатор

Слайд 21

«Прозрачная сеть» с с данными на каждом порту коммутатора, поступающими всё время

«Прозрачная сеть» с с данными на каждом порту коммутатора, поступающими всё время

Коллектор / Анализатор sFlow

Всегда доступные, поступающие в реальном времени измерения с каждого порта пересылаются в коллектор sFlow, и формируют централизованную, «прозрачную» картину сети.
Решения по контролю сети позволяют достигнуть высокой производительности и высокой надёжности всей сетевой инфраструктуры.

sFlow

sFlow

sFlow

sFlow

sFlow

Слайд 22

Определение различных угроз и контроль производительности и надёжности сети

Идентификация угроз безопасности
Подозрительное и

Определение различных угроз и контроль производительности и надёжности сети Идентификация угроз безопасности
аномальное поведение
Вторжения в сеть
Нарушение политик (Policy violation)
Неавторизованный траффик
Попытки сканирования
Атаки типа «Отказ в обслуживании» (DoS)
ARP-штормы
Обеспечение качества обслуживания (QoS) в сетях VoIP и мультисервисных сетях (converged networks)
Определение проблем с сетью (network troubleshooting) и проблем с приложениями
Почему моя сеть такая медленная?
Учёт траффика (аккаунтинг) и выставление детализированных счетов, для «пристыжения» пользователей за использование сети не по назначению
Оптимизация маршрутов BGP
Управление широковещательным траффиком (multicast traffic)
Анализирование трендов в использовании сети, для дальнейшего планирования развития сети

Слайд 23

Межсетевой экран, IDS являются необходимыми для защиты периметра сети, но…

Защита периметра может

Межсетевой экран, IDS являются необходимыми для защиты периметра сети, но… Защита периметра
быть нарушена или «прорвана».
Нельзя полагаться на целостность защиты периметра или доступ ко всем хостам

Не установлены правила для атак типа «Day Zero»

Не заблокирован доступ к эл.почте, веб, получение плагинов

Небезопасный или неавторизованный доступ к беспроводной сети

Инфицированные компьютеры, принесённые извне

Слайд 24

Определение внутренних угроз и контроль безопасности с sFlow

Непрерывный, постоянный мониторинг всей сети

Определение внутренних угроз и контроль безопасности с sFlow Непрерывный, постоянный мониторинг всей
с sFlow позволяет немедленно определить аномальное поведение и внутренние угрозы

sFlow

Коллектор / Анализатор sFlow

sFlow

Опционально:
модуль проактивного управления
система учёта и тарификации трафика
модуль обнаружения вторжений

sFlow

Слайд 25

Мощнейшее решение самой острой и наболевшей проблемы всех CIO и системных администраторов

Мощнейшее решение самой острой и наболевшей проблемы всех CIO и системных администраторов
в мире: Больше защиты, обнаружения и мгновенное реагирование с интегрированным решением Virus Throttling

Больше защиты в локальной сети (LAN)

Слайд 26

ProCurve 5300xl Software Release 3 The Virus Problem …

Антивирусные программы служат для защиты

ProCurve 5300xl Software Release 3 The Virus Problem … Антивирусные программы служат
от вирусов
Это помогает, но они не могут опознать “day zero” угрозы
Day zero, вирусы типа «червь» размножаются очень быстро и наносят массу вреда
Множество инфицированных компьютеров
Перегрузка и блокировка сети
Примеры вирусов
SQLSlammer
Sasser

05:29 Jan 25 – 0 infected

06:00 Jan 25 – 74855 infected

Слайд 27

ProCurve 5300xl Software Release 3 Network Integrated Virus Throttling

Virus Throttling (ограничение распространения червей)

ProCurve 5300xl Software Release 3 Network Integrated Virus Throttling Virus Throttling (ограничение
- встроенная функция (не отдельное устройство) для построения гибкой сетевой инфраструктуры, без необходимости установки клиентского ПО
Обнаружение основано только на поведении сети для защиты от вирусов – против новых и неидентифицированных угроз – day zero
Предотвращает распространение вируса немедленно – «удушение» трафика на источнике
Занесение записи в журнал событий и предупреждающего SNMP trap-а на ProCurve Manager Plus для информирования IT для принятия дальнейших мер
Существует как бесплатное обновление микропрограммы, прост для повсеместного внедрения, защищая сеть от распространения вирусов
Изобретено и запатентовано в Лаборатории HP ProCurve Labs и реализовано для коммутаторов 5300xl by ProCurve Networking как элемент нашего портфолио по безопасности

Слайд 28

ProCurve интегрированный Virus Throttling КАК это работает

Вирус распространяется от зараженной машины быстро

ProCurve интегрированный Virus Throttling КАК это работает Вирус распространяется от зараженной машины
контактируя с другими машинами (SQLSlammer: >800/sec)
Здоровые машины подключаются к меньшему количеству машин и значительно реже (1/sec)
Решение: ограничитель частоты на контакты с другими машинами
Как только червь попытается распространиться, 5300 обнаружит аномальное поведение
«Удушение» трафика от инфицированной машины на границы VLAN позволяет значительно замедлить распространение вируса… или …
Предотвращение маршрутизации всего трафика от инфицированной машины на другие части сети

Virus
Throttling Built In

ProCurve
5300xl Switch

Virus

Immediate machine speed response limits spread of virus until human action can be taken

Anomalous behavior detection

Слайд 29

HP ProCurve Networking Управление сетью

HP ProCurve Networking Управление сетью

Слайд 30

HP ProCurve Manager

Автораспознавание устройств
Конфигурирование и управление оборудованием
Модульная архитектура для будущего расширения
Понятный интерфейс

HP ProCurve Manager Автораспознавание устройств Конфигурирование и управление оборудованием Модульная архитектура для
в стиле Windows-Explorer («Проводник»)
Сбор данных и уведомление о возможных отказах
Поддержка неограниченного количества устройств
Построение карт и сетевых топологий
LLDP (802.1ab) discovery
Автоматическая регистрация продуктов ProCurve через web

Цена: $0 (идет в комплекте с каждым управляемым коммутатором. Также доступна на веб-сайте: www.hp.com/go/hpprocurve)

Слайд 31

HP ProCurve Manager Plus

Весь функционал HP ProCurve Manager ПЛЮС:
Гибкое управление политиками в

HP ProCurve Manager Plus Весь функционал HP ProCurve Manager ПЛЮС: Гибкое управление
группах, быстрое конфигурирование новых устройств
Расширенные функции по управлению безопасностью сети
Управление конфигурацией группы устройств, загрузка готовых профилей
Создание и конфигурирование VLAN
Более детальный мониторинг и анализ трафика (XRMON, sFlow)
Обновление микропрограммы (автоматически или по желанию)

Бесплатная 30-дневная trial-версия идет в комплекте с HP ProCurve Manager.
List Price PCM+ 1.6: $ 2920

Слайд 32

IDM 2.0 - Identity Driven Management

Фундаментально новый подход для IT-Менеджеров по

IDM 2.0 - Identity Driven Management Фундаментально новый подход для IT-Менеджеров по
взаимодействию с сетью
- унификация границы сети (wire, wireless, WAN)
- управление ресурсами и политиками, нежели устройствами
- фокус на безопасность и интеграцию существующих приложений
- сеть адаптируется под приложения и/или бизнес потребности

Access Request Evaluation

Access Policy Selection

Access Rights Enforcement

Пользователь

Сетевые
ресурсы

Слайд 33

Identity Driven Manager 2.0

Динамическая установка параметров безопасности, доступа и производительности на

Identity Driven Manager 2.0 Динамическая установка параметров безопасности, доступа и производительности на
основании пользователя, местоположения, времени, и теперь статуса «целостности» клиента
Простое создание и управление группами пользовательских правил (политик доступа) для оптимизации производительности сети и повышения продуктивности пользователей, а также повышения общей эффективности (соответствующий доступ каждому)
На основании прописанных правил будут установлены параметры сети для обеспечения желаемой функциональности

VLAN

Bandwidth
Limit

Time

Location

QoS

Device
ID

Client
Integrity
Status

Установка
значений =>

На основании =>

ACLs

User
ID

Слайд 34

Identity Driven Per-Port ACL

Наделяет сеть более детализированными и гибкими правилами безопасности доступа
Методы

Identity Driven Per-Port ACL Наделяет сеть более детализированными и гибкими правилами безопасности
аутентификации 802.1X, Web, MAC
Позволяет всем быть подключенным к общему коммутатору разрешая доступ к общим сетевым ресурсам, в тоже время ограничивая доступ к закрытой информации на определенных портах
Правило может применяться индивидуально для каждого порта на базе IP адресов хоста, подсети IP, приложения (номера TCP/UDP портов), или типа протокола IP
Работает в режимах коммутации и маршрутизации

Только для бухгалтерии открыт доступ к финансовой системе (Сервер A)

Бухгалтер

Инженер

Временный
рабочий

Сервер
A

PCM+ and IDM

Предприятие

Пользователь подключается к сети используя 802.1X, web, или MAC аутентификацию

IDM конфигурирует коммутатор блокировать доступ к серверу А всем кроме сотрудников бухгалтерии

4

Каждый в сети может пользоваться общими приложениями

Слайд 35

Интернет

LAN
предприятия

Edge
Switch

Антивирусный Сервер
для восстановления

Корпоративный
Сервер

Сервер
политик
доступа

Конференц-зал

Конференц-зал

Применение Client Integrity User Experience

Зараженные

Интернет LAN предприятия Edge Switch Антивирусный Сервер для восстановления Корпоративный Сервер Сервер
компьютеры получат права доступа к серверу «восстановления»

Слайд 36

ProCurve Mobility Manager 1.0 (PMM) Расширение возможностей централизованного управления

Простые, высокопроизводительные средства для

ProCurve Mobility Manager 1.0 (PMM) Расширение возможностей централизованного управления Простые, высокопроизводительные средства
управления беспроводными локальными сетями ProCurve
В сочетании с PCM Plus образует экономичное решение для унифицированного управления сетью

Начало продаж: декабрь 2005 г.
Цена в России 1752 долл. США

Слайд 37

Сценарий для заказчика Применение и использование возможностей Deployment Assistance

IT Manager

План этажа офиса

Channel 1

Channel 6

Channel 11

Back Office

ProCurve

Сценарий для заказчика Применение и использование возможностей Deployment Assistance IT Manager План
Mobility Manager 1.0

Note: Site survey and visualization not provided by ProCurve Mobility Manager 1.0

PCM автоматически обнаруживает точки доступа, назначает их группе «Этаж1», применяет конфигурационные настройки, обновляет ПО (если нужно), активирует радиопередатчики, активирует механизм ACS (автоматический выбор частоты)

PCM глобально анализирует результаты ACS и прописывает значения каналов в конфигурацию точек доступа.

Подготовка объекта (определение мест для AP, установка мощности радиосигнала и др.) и установка

IT Manager создает конфигурационные шаблоны в PCM используя любые параметры настроек: установки безопасности (ключи WEP, WPA), dhcp ip lookup, SSIDs, и др.

Слайд 38

Сценарий для заказчика Расширение беспроводной сети

Office Floor Plan

Channel 1

Channel 6

Channel 11

Note: Site survey and visualization

Сценарий для заказчика Расширение беспроводной сети Office Floor Plan Channel 1 Channel
not provided by ProCurve Mobility Manager 1.0

PCM глобально ре-активировала ACS для всей группы

PCM глобально провела ACS, зафиксировала выбранные каналы и прописала их значения в конфигурации точек доступа

Добавились новые сотрудники, установлены дополнительные точки доступа для покрытия требуемых зон

PCM обнаружил новые AP, назначил их существующей группе, применил желаемые настройки и обновил ПО

2.1.0
Config4.2

Floor1

IT Manager

Back Office

ProCurve Mobility Manager 1.0

Слайд 39

Преимущества НР

Бесплатные обновления программного обеспечения (firmware) для всех коммутаторов
Бесплатное программное обеспечение для

Преимущества НР Бесплатные обновления программного обеспечения (firmware) для всех коммутаторов Бесплатное программное
управления сетью
HP ProCurve Manager
Интуитивный, лёгкий в использовании пользовательский интерфейс
Авто-обнаружение устройств, карты топологии, запуск веб-агента
Автопредупреждения и рекомендации по устранению неполадок
Пожизненная гарантия
Бесплатная пожизненная гарантия* на весь срок владения оборудованием с заменой на следующий рабочий день!
Без «подводных камней» - на весь период владения устройством, распространяется в т.ч. на все модули, вентиляторы, источники питания
Высочайший показатель времени наработки на отказ (MTBF от 79 000 до 319 000 часов(>36 лет!))
*Все продукты – кроме серий 8100fl, 9300m, 9400sl и 700wl
Имя файла: Сетевое-оборудованиеProCurve-Networking-by-HP:-безопасность-и-управление.pptx
Количество просмотров: 243
Количество скачиваний: 0