Network Services I+II Mgr. Pavel Krumnikl VUT FI – Network Services To replace the title / subtitle with your own: Click on the title block -> select all the text by pressing Ctrl+A -> press Delete key -> type your own text VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy - LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

Co je Shared Network Infrastructure (SNI)? Poskytuje bezpečný způsob jak se z IBM vnitřní sítě dostat do vnitřní sítě zákazníka SNI je speciální síťová architektura uvnitř IBM Global Services data center. Bezpečnostní požadavky jsou velmi náročné Je založena na několika síťových segmentech s různým přístupovými právy VUT FI – Network Services 11/13/2018

Tier Definitions for SNI (e.g. eSNI “simplified”) Tier 0 - Internal Tier 1 - Highly Secured Tier 2 - Secured Tier 3 - Controlled Tier 4 - External (untrusted) IBM Intranet (with secure areas) Central Infrastructure (within sphere of control) Shared Infrastructure (within each site) Service Resources, Customer Resources Customer Networks, Business Partners, Internet Other Enterprise Customer Security Layer Layer Description Segments Allowed Communication VUT FI – Network Services 11/13/2018

Implementation Example (e.g. eSNI “simplified”) IBM INTRANET Tier 0 Access Firewall Tier 1 CSL CML IAL_IBM Tier 2 Service Firewall IAL Management Firewall SSL SML Customer 1 Customer 3 DML DML Edge Firewall Tier 3 SSL DAL DAL Customer 2 DAL Internet Firewall Router Router Customer Firewall Tier 4 VUT FI – Network Services 11/13/2018

Abbreviations CML – Central Management LAN CSL – Central Service LAN SML – Shared Management LAN SSL – Shared Service LAN DML – Dedicated Management LAN DAL – Dedicated Access LAN IAL – Infrastructure Access LAN IAL_IBM – Infrastructure Access LAN IBM VUT FI – Network Services 11/13/2018

Jaká jsou výhody/nevýhody SNI Standardní řešení pro IBM Bezpečné řešení Opětovné využití prostředí Snížení nákladů Standardizace Nevýhody Sdílení má obrovské nároky na bezpečnost, větší než management pouze pro jednoho zákazníka Ne vždy je možné sjednotit všechny standardy Může nastat problém se stejnými IP adresami v sítích různých zákazníků Může být omezeno zákonem v některých zemích VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

Organizační struktura – Network management A pot file is a Design Template file, which provides you the “look” of the presentation You apply a pot file by opening the Task Pane with View > Task Pane and select Slide Design – Design Templates. Click on the word Browse… at bottom of Task Pane and navigate to where you stored BlueOnyx Deluxe.pot (black background) or BluePearl Deluxe.pot (white background) and click on Apply. You can switch between black and white background by navigating to that pot file and click on Apply. Another easier way to switch background is by changing color scheme. Opening the Task Pane, select Slide Design – Color Schemes and click on one of the two schemes. All your existing content (including Business Unit or Product Names) will be switched without any modification to color or wording. Start with Blank Presentation, then switch to the desired Design Template Start a new presentation as Blank Presentation You can switch to Blue Onyx Deluxe.pot by opening the Task Pane with View > Task Pane and select Slide Design – Design Templates. Click on the word Browse… at bottom of Task Pane and navigate to where you stored BlueOnyx Deluxe.pot (black background) and click on Apply. Your existing content will take on Blue Onyx’s black background, and previous black text will turn to white. You should add your Business Unit or Product Name by modifying it on the Slide Master You switch to the Slide Master view by View > Master > Slide Master. Click on the Title Page thumbnail icon on the left, and click on the Business Unit or Product Name field to modify it. Click on the Bullet List Page thumbnail icon on the left, and click on the Business Unit or Product Name field to modify it. Click on Close Master View button on the floating Master View Toolbar You can turn on the optional date and footer fields by View > Header and Footer Suggested footer on all pages including Title Page: Presentation Title | Confidential Date and time field can be fixed, or Update automatically. It appears to the right of the footer. Slide number field can be turned on as well. It appears to the left of the footer. VUT FI – Network Services 11/13/2018

NOC - Level 1 support Reaguje na vstupy z různých nástrojů. Řídí řešení problémů a řídí tok informací mezi ostatními týmy. Využívá jednoduché a jasné procesy. Musí dobře znát používané nástroje, systémy a procesy. Nezbytné je fungování ve 24x7 režimu Příklady Koordinuje řešení výpadek na zařízení poskytovatele. Udržuje tikety v různých systémech a informuje ostatní týmy o aktuálním stavu problému Informuje správnou skupinu uvnitř IBM když je potřeba vyměnit HW u zákazníka VUT FI – Network Services 11/13/2018

NOC - Level 2 support Řeší problémy přicházející od Level 1 supportu a z dalších systémů. Level 2 support je těžší definovat z hlediska procesů, vzhledem k tomu, že problém, dokud se nevyskytne, tak není definován. Level 2 je převážně o zkušenostech a znalostech o sítích. Příklady V případně chyb na lince poskytovatele zjistit typ chyb, jejich pravděpodobný původ a informovat poskytovatele, který zajistí vyřešení Pomoci uživateli např. se správným nastavením proxy v IE (ve spolupráci s HD) Najít chybu v routování, když se uživatel nemůže připojit na server VUT FI – Network Services 11/13/2018

Level 3 support Level 3 support pracuje s komplexními problémy. Jsou zapojeni do řešení různých problémů, které mají širší dopad (více zemí). „Pomalá síť“ je příklad problému, který obvykle končí u level 3. Řeší většinou jakékoli nestandardní zapojení Spolupracuje a často řídí komplexní změny v sítích. Je založen nejen na síťovýc zkušenostech, ale také na znalostech v ostatních produktech (Web, DNS, FW, SAP, LN, Terminal Services, atd.) Příklady Nalezení a opravení špatně nastavených routovacích protokolů Asistování poskytovateli s hledáním a řešením problémů se sporadickými výpadky v síti poskytovatele Hledání důvodu pomalého výkonu aplikace Zapojení do změny poskytovatele připojení VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

Network Management Toolset Tivoli TEC Zobrazuje problémové události na LAN/WAN zařízeních Tivoli Netview Poskytuje síťovou mapu k jednodušší lokalizaci problému Entuity Eye of the Storm Poskytuje rozšířené možnosti určení problému, obvykle pro důležité (core) zařízení Monitoruje zařízení přes SNMP - více než 70 možných chyb. Speciální programy pro management zařízení určitého výrobce Cisco Works 3Com Network Supervisor Nortel Enterprise Switch Manager CACTI Statistics WAN performance TACACS/RADIUS Autentikační server Machine Sheets Database Databáze zařízení VUT FI – Network Services 11/13/2018

Network Management Toolset WAN Devices LAN Devices Cacti Entuity Eye of the Storm Cisco Works 3Com Network Supervisor Netview TEC VUT FI – Network Services 11/13/2018

Tivoli TEC (Tivoli Enterprise Console) Zobrazuje hlášky o událostech, na které je potřeba reagovat Je centrálním systémem na sbírání událostí, zjištění jejich závislostí a jejich zobrazením Je určen k použití především 1. levelem VUT FI – Network Services 11/13/2018

Tivoli TEC (Tivoli Enterprise Console) VUT FI – Network Services 11/13/2018

Tivoli Netview Up/Down monitorování LAN, WAN zařízení a firewallů Monitoruje pomocí ping, SNMP nebo dostává alerty z jiných nástrojů (EotS, CACTI) Může přeposílat hlášky do TECu Poskytuje síťovou mapu pro bližší určení problému Je používán všemi úrovněmi pro zjištění a analýzu problému VUT FI – Network Services 11/13/2018

Tivoli Netview - Map VUT FI – Network Services 11/13/2018

Tivoli Netview – Event Browser VUT FI – Network Services 11/13/2018

Entuity Eye of the Storm Rozšířené monitorování centrálních síťových zařízení (LAN i WAN) a firewallů pomocí SNMP Hlásí do Netview/TECu problémy, které teprve mohou nastat Má rozšířené možnosti detekování problémů Je používán všemi úrovněmi pro zjištění a analýzu problému VUT FI – Network Services 11/13/2018

Entuity Eye of the Storm – výpis portů VUT FI – Network Services 11/13/2018

Entuity Eye of the Storm – device report VUT FI – Network Services 11/13/2018

Entuity Eye of the Storm VUT FI – Network Services 11/13/2018

Cisco Works Umožňuje hromadnou konfiguraci Cisco zařízení Umožňuje instalaci nových verzí systému (IOS/CatOS) Cisco zařízení Ulehčuje zjišťování problémů na Cisco zařízeních Reporty Reload history Availability Config change history atd. Campus Manager Cisco View VUT FI – Network Services 11/13/2018

Cisco Works – příklad reportu VUT FI – Network Services 11/13/2018

Cisco Works – Campus Manager - user tracking VUT FI – Network Services 11/13/2018

Cisco Works – Cisco View VUT FI – Network Services 11/13/2018

3Com Network Supervisor Umožňuje změnu a zálohování konfigurace 3com zařízení Umožňuje instalaci nových verzí systému 3com zařízení Má funkce na zjišťování problémů na 3com zařízeních VUT FI – Network Services 11/13/2018

Nortel Enterprise Switch Manager Umožňuje změnu a zálohování konfiguraci Nortel zařízení Umožňuje instalaci nových verzí systému Nortel zařízení Má funkce na zjišťování problémů na Nortel zařízeních VUT FI – Network Services 11/13/2018

Nortel - Enterprise Switch Manager VUT FI – Network Services 11/13/2018

Nortel - Device Manager VUT FI – Network Services 11/13/2018

Cacti Statistics Zobrazuje vytíženost WAN linek V případě užití QoS (Quality of Service) zobrazuje i využití v jednotlivých kategoriích Poskytuje statistické informace, které mohou přispět k řešení kapacitních problémů Sbírá netflow data - pomáhá určovat „top talkers“, „top conversations“, „top applications“ Je určen k použití především 2. a 3. levelem k identifikaci problémů na WAN sítích dříve než je pocítí zákazník VUT FI – Network Services 11/13/2018

Cacti – grafy linek Day Week Month Year VUT FI – Network Services 11/13/2018

Cacti – Top Talkers VUT FI – Network Services 11/13/2018

Machine Sheets Database Seznam všech zařízení Obsahuje důležité informace o zařízeních Typ zařízení Lokalita IP adresa, hostname Kontakty na ostatní skupiny/providera Informace o zabezpečení a kontrolách Atd. VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

LAN Management LAN = Local Area Network Typy zařízení Cisco, Nortel, 3com, Alel, Allied Telesyn, Blue Coat, Digital, D-link, Enterasys, HP, IBM, Intel, Intermac, Kingston, KTI Networks, LANart, LinkSys, Netgear, Nokia, Olicom, Planet, Symbol, Synoptics, Xtreme Důležitost zařízení Core (router, switch, který připojuje router nebo servery) Širší spektrum monitorování (Eye of the Storm) Non-core (switch, kam jsou připojení koncoví uživatelé) VUT FI – Network Services 11/13/2018

LAN – jednoduché zapojení VUT FI – Network Services 11/13/2018

LAN – Data Centrum VUT FI – Network Services 11/13/2018

Příklad datacentra VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

WAN Management Možnosti WAN připojení Pronajatá linka (leased line) DSL/ADSL/ISDN Internet tunel WAN propojení poskytují převážně externí firmy (poskytovatelé telekomunikačních služeb) NOC je kontaktní bod mezi providery a zákazníkem VUT FI – Network Services 11/13/2018

Současné trendy pro WAN MPLS = Multiprotocol Label Switching (http://www.isdn.cz/clanek.php?cid=3869) QoS = Quality of Service (http://eldar.cz/manasek/felbox/36mps/qos/index.htm) VUT FI – Network Services 11/13/2018

WAN Management – poskytovatelé MPLS cloud VUT FI – Network Services 11/13/2018

Požadavky na WAN Monitoring & Statistics Nastavením QoS na WAN linkách vede k účelnějšímu využití dané linky 80 – 100 % WAN link utilization (“we pay 100, we use 100”) Na monitorování QoS je potřeba efektivní nástroj VUT FI – Network Services 11/13/2018

Metody odhalení problémů ve WAN Efektivní WAN management je založen na využití: Up/Down Management (IF) Odhalení HW problémů a výpadků QoS Statistics and Reports (WHERE) Odhalení problémů s výkonem a zahlcení linky Netflow Traffic Analysis (WHAT and WHO) Analýza, který typ komunikace způsobuje problémy a kdo je původcem VUT FI – Network Services 11/13/2018

Step One – Check IF there is an outage Zjistit, jestli nenastal HW problém pomocí nástrojů a informací od providera VUT FI – Network Services 11/13/2018

Step Two – Check WHERE the problem is Projít celou cestu od jednoho konce ke druhému, a zkontrolovat všechny, které mohou způsobit přehlcení linky, zahazování paketů nebo jiné problémy VUT FI – Network Services 11/13/2018

Graphs reported by IBM Reporting Solution (Cacti) Network Workload & Statistics QoS Traffic share per queue QoS Queue depth per queue QoS Packet drop per queue Traffic Analysis Errors and discards Packets Rate Switching Collisions Device CPU Usage Device Memory Usage Performance Availability Latency Traffic Flow Analysis Top Talkers Top Applications Top Conversations VUT FI – Network Services 11/13/2018

Reality is much more complex… VUT FI – Network Services 11/13/2018

Step Three – Check WHAT traffic and WHO Prozkoumání typu komunikace, objem dat, v bodě zahlcení Netflow dává informace jaký typ komunikace způsobuje přetížení a kdo je původcem VUT FI – Network Services 11/13/2018

Netflow Accounting must be enabled on all CPE routers VUT FI – Network Services 11/13/2018

Netflow accounting VUT FI – Network Services 11/13/2018

Výsledek a akce Identifikace IP adresy způsobující problém, upozornění uživatele, odpojení, … Žádný konkrétní zdroj, je potřeba linku zkoumat delší dobu, jestli je potřeba navýšení VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

Typické Problémy Pomalá síť Nedostupné zařízení LAN Internet WAN Nedostupné zařízení LAN Nedostupná lokace – WAN problém VUT FI – Network Services 11/13/2018

Příklad 1 – Pomalá síť (lokální) Uživatel hlásí pomalou síť Je potřeba zjistit, jestli pouze na lokální fileserver nebo jestli na vzdálený server nebo na Internet Zjistit nastavení rychlosti/modu portu na switchi a nastavení síťové karty serveru (uživatelského PC) Zjistit chybovost na portu na switchi Výměna kabelu VUT FI – Network Services 11/13/2018

Příklad 2 – Pomalá síť (Internet/WAN) Up/Down Management (IF) Odhalení HW problémů a výpadků QoS Statistics and Reports (WHERE) Odhalení problémů s výkonem a zahlcení linky Netflow Traffic Analysis (WHAT and WHO) Analýza, který typ komunikace způsobuje problémy a kdo je původcem VUT FI – Network Services 11/13/2018

Příklad 3 – Nedostupný switch Zjištění pomocí hlášky v Netview Ověření hlášky (ping, SNMP) Zkusit připojení z ostatních zařízení v lokaci Kontaktovat lokální podporu pro ověření připojení elektřiny a síťových kabelů Manuální restart zařízení Výměna zařízení VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

Firewall Typy firewallů Standardně používané typy Checkpoint ProviderOne Využití FW VUT FI – Network Services 11/13/2018

Types of existing Firewalls Software Checkpoint Firewall-1 (diverse versions) Cisco PIX Operating Systems Checkpoint Secure Platform (SPlat) Sun Solaris Microsoft Windows Linux Nokia IPSO Hardware PC Architecture Sun Nokia Intrusion VUT FI – Network Services 11/13/2018

Firewall Standard for all replaced and new build firewalls Software Checkpoint Firewall-1 Next Generation with Application Intelligence Cisco PIX Operating Systems Checkpoint Secure Platform Cisco PIX Firewall OS Hardware IBM x-Series Servers VUT FI – Network Services 11/13/2018

Checkpoint - ProviderOne Struktura Management server FW box(Nokia, SPlat) Uložená FW pravidla Centrální logování Ověřování uživatelů FW zařízení Jednoduchý OS VUT FI – Network Services 11/13/2018

Checkpoint - ProviderOne VUT FI – Network Services 11/13/2018

Checkpoint - ProviderOne VUT FI – Network Services 11/13/2018

Checkpoint - ProviderOne VUT FI – Network Services 11/13/2018

Využití firewallů Internet/DMZ/interní síť Oddělení jednotlivých zemí Připojení zemí/lokací přes VPN tunel do Corporate sítě VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

IP Services (IPSE) DNS/DHCP NTP Proxy SMTP VUT FI – Network Services 11/13/2018

QIP – centrální systém pro DNS/DHCP Jeden centrální (zálohovaný) QIP management server Změny se propagují na centrální QIP server v zemi, ze kterého pak na QIP servery ve větších lokacích Typy lokací: Méně než 250 uživatelů DHCP – IP helper 251 až 499 uživatelů, lokální DHCP server, nebo IP helper Více než 500 uživatelů (Super location), lokální DHCP poskytují redundantní servery Pravidlo Statické adresy pro servery a síťové prvky, Dynamické adresy pro PC a tiskérny VUT FI – Network Services 11/13/2018

VUT FI – Network Services 11/13/2018

DNS Centrální management DNS záznamů Hlavni domeny (zakaznik.com, zakaznik.cz) Poddomény (cz.zakaznik.com) Správa domény může být delegována na jiný server VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

Bezpečnost sítí Standardy konfigurace Ověřování skutečné konfigurace Aktuálnost SW/HW Revalidace uživatelů VUT FI – Network Services 11/13/2018

Bezpečnost sítí - Standardy konfigurace Obecná pravidla Nutno aplikovat na různá zařízení Standardy pro Cisco, Nortel, … VUT FI – Network Services 11/13/2018

Bezpečnost sítí - Ověřování skutečné konfigurace Správné nastavení při připojení nového zařízení Kontrola probíhá v určitých intervalech (půl roku) Zdokumentování výsledku Oprava případných nedostatků VUT FI – Network Services 11/13/2018

Bezpečnost sítí - Aktuálnost SW/HW Monitorování informací od výrobců Záplaty Nové verze Hodnocení zjištěných rizik Naplánování upgradu VUT FI – Network Services 11/13/2018

Agenda Shared Network Infrastructure Organizační struktura Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018

Příklad 1 – Uživatel se nemůže připojit k síti Zjistit IP adresu PC Pokud nemá správnou podle lokace – může být problém s DHCP Zkontrolovat DHCP službu na serveru Zkontrolovat, jestli jsou volné IP adresy v DHCP rozsahu VUT FI – Network Services 11/13/2018

Příklad 2 – Nový server v DMZ Zajistit potřebné povolení Zjistit typ nezbytné komunikace Zjistit přes který FW bude komunikace probíhat Upravit příslušná FW pravidla VUT FI – Network Services 11/13/2018

Odkazy Tivoli Netview http://www-306.ibm.com/software/tivoli/products/netview/ Tivoli TEC http://www-306.ibm.com/software/tivoli/products/enterprise-console/ Eye of the Storm http://www.entuity.com/ Cisco Works http://www.cisco.com/en/US/products/sw/cscowork/ps2425/index.html CACTI http://www.cacti.net/ VUT FI – Network Services 11/13/2018

Odkazy Checkpoint – ProviderOne QIP http://www.checkpoint.com/ http://www.lucent.com/solutions/netops_enter.html VUT FI – Network Services 11/13/2018