A mind for networks ŘÍZENÍ PROVOZU a služby s přidanou hodnotou Petr Lasek
Allot Communications A.S., IPO Listopad 2006 Celosvětové působení Centrála a vývoj – Tel Aviv, Izrael 150 vývojových pracovníků – unikátní technologie Téměř 300 zaměstnanců První prodaný NetEnforcer 1999 Celosvětové zastoupení, support 24 x 7 Prodej přes partnery, integrátory Přes 13 000 instalací – operátoři, ISP, podniky April 9, 2017
Nárůst provozu ~20% nárůst >40% nárůst Source: RBC IPTV2008 April 9, 2017
Cena a příčina? April 9, 2017
Síťové x zákaznické služby Efektivní využití sítě Snížení OPEXu Nové služby s přidanou hodnotou Zvýšení ARPU Synergie DPI a QoS Integrované nebo samostatné April 9, 2017
Deep Packet Inspection Signatura i ve více paketech Včetně stavové informace 6 April 9, 2017
Příklad: HTTP vs. BitTorrent 7 April 9, 2017
Různé aplikace = různé požadavky Ztrátovost Zpoždění Jitter Pásmo E-mail High Low Přenos souborů Medium Web Hry Audio on Demand Video on Demand VoIP Video konference Každá aplikace vyžaduje jinou QoS 8 April 9, 2017 9 April 2017 8
Různí zákazníci = různé požadavky Next generation broadband applications Citlivost na zpoždění Video Conferencing High P2P Online Games VoIP Web TV Low-bandwidth applications In today's broadband networks, we have more and more subscribers looking for more and more bandwidth. Applications are becoming very complicated and hundreds of protocols are being used to share video and music files. Today, 65% of the traffic on the network is P2P. This is 65% that never existed a few years ago – video, VoIP replacing voice calls (like Skype), online gaming, web browsing, online purchasing and so forth. From a subscriber’s perspective, these applications are not equally critical and the way they should work and be treated by the network is highly dependant on the subscriber’s profile. This very simple statement is leading to the concept of customized SLA and differentiated services. Low Web Surfing Email File Transfer ERP / CRM Low High Důležitost pro firmu April 9, 2017
Traffic management = proces Akce (QoS) Monitorování: real-time i sledování dlouhodobých trendů Klasifikace April 9, 2017
Produkty NetEnforcer: samotný hardware Od 2Mbps do 40 Gbps NetXplorer: Centrální management a reporting Rozhraní pro integraci s dalšími systémy SMP: Subscriber Management Platform Integrace s IAS/OSS NetXplorer April 9, 2017
Architektura NetXplorer GUI klient GUI klient OSS RADIUS/DHCP Mediation / Billing Mapuje Subscriber<=>IP<=>Service Integrace s DHCP / RADIUS / OSS Subscriber Management NetXplorer NetXplorer Server NetXplorer Data Collector NetXplorer Collector NetXplorer Data Collector April 9, 2017
NetXplorer Centralizovaný management Definování pravidel Škálovatelnost Centrální řízení Definování pravidel Řízení aplikací Subscriber management Monitorování v reálném čase Troubleshooting sítě Analýza problémů Dlouhodobé reporty Plánování kapacit Sledování chování Analýza trendů Alarmy Okamžité varování Proaktivní management April 9, 2017
Monitorování v reálném čase April 9, 2017
Monitorování v reálném čase Dává uživateli: Možnost okamžitě zjistit další podrobnosti Snadná identifikace problémů April 9, 2017
10 nejaktivnějších aplikací za posledních 5 hodin „Popularity“ graf This report shows the 10 services with the most subscribers recorded over the past 5 hours. 10 nejaktivnějších aplikací za posledních 5 hodin April 9, 2017
Nejaktivnější uživatelé Add appropriate graph here April 9, 2017
Alarmy Proaktivní informace - email, trap, SMS Sledování: pravidla a systémové Systemové alerty Spojení DoS útok Přístupové informace Pravidla: Provoz: žádný / nějaký, <> než Spojení: Nové spojení za sekundu, celkový počet Útok v jednotlivých pravidlech No need to babysit the network Stay informed by email, pager or cellular phone * Link failure * Utilization above threshold * Connection rate above threshold (DoS attack?) * And more Define automatic responses to events or alarms * Block malicious traffic * Email service upgrade offer to top users April 9, 2017
Možnosti integrace 9 April 2017 SNMP SNMP Alarmy SOAP Integrace s portály .. CLI Skripty Accounting CSV Email Reporty přes SMTP 9 April 2017
Produktové řady NetEnforcer Family NetXplorer SMP NPP AC-400 ServiceProtector MediaSwift WebSafe
NetEnforcer Value Added Services SG-Sigma Core DPI Services AC-400
AC-1400 / 3000: Vlastnosti Low power consumption (<90W) 1U 19” 8 Gbps IPv6 ready Až 160 000 subsriberů Externí bypass Škalovatelné: 8 X 1GE SFP + 4 X 1GE UTP pro „služby“ Licence od 1Gbps do 4 Gbps FD (AC-3000) License od 45 Mbps do 1 Gbps FD (AC-1400)
Asymetrický provoz AC10200-B Internet User Internet Access 1G Session AC10200-A ISP Client Až 8 boxů.
UDS (User Defined Signatures) Method= GET Step 1: Client Request for CNN.COM User-Agent (Browser)= Mozilla/4.0…Windows NT 6.1 Host (The domain name)= www.cnn.com Step 2: Server Response with alternate location Server sends us to alternate Location= http://edition.cnn.com Content-Length= 268Bytes April 9, 2017
SMP - Subscriber management platform Integrace s RADIUS, DHCP, PCRF, AD (Q3) April 9, 2017
Vytvoření: Nových služeb Sledování: Chování zákazníků Nové služby Nové služby = nový zdroj příjmů Vytvoření: Nových služeb Sledování: Chování zákazníků Poklady: Pro účtování 9 April 20179 April 20179 April 20179 April 20179 April 2017
Vizualizace aktivit uživatelů DPI výhody Nové služby Vizualizace aktivit uživatelů Vizualizizace sítě Přesměrování provozu Vizualizace aplikací April 9, 2017
Síťové & Zákaznické služby MediaSwift WebSafe Service Protector Externí služby Media Caching URL Filtering DDoS & anti-botnet ochrana Řešení třetích stran Např. VoIP měření, AV
WebSafe – filtrování URL April 9, 2017
Allot WebSafe – Vlastnosti Allot nabízí: Filtrování nelegalního obsahu Doplněk pro Sigmu/AC10K/AC5K Šifrovaný URL blacklist Do 150,000 položek (externí zdroj, IWF) Podpora whitelistů Vyšší priorita než blacklist Do 10,000 položek Možnost : Přesměrovat nebo blokovat Available Q1/2010 April 9, 2017
1. User requests a forbidden page Jak to funguje? 2. URL filtering card processes the request and extracts the URL 4. SG drops the packets 1. User requests a forbidden page SG WWW User Web server www.illegalcontent.com www.illegalcontent.com Access Network www.illegalcontent.com 5. SG sends the user a Block page 3. URL is matched to the blacklist April 9, 2017
Allot WebSafe – proč? Povinnost ze zákona Reputace poskytovatele Minimální vliv na QoE Přesnost blokování Jednoduchá integrace a nasazení Centrální management The solution complies with existing regulations. It supports distribution of blacklist through interfaces with regulatory bodies. Fighting illegal content can improves the ISP brand Higher performance solution running on a separate blade ensuring no impact on subscriber’s QoE. Accurate blocking based on URL filtering technique rather than traditional methods (such as DNS poisoning, IP filtering etc.) Highly cost effective solution integrated within Allot Service Gateway solution, reducing the number of components needed in case of a standalone solution. Centralized management and control ensure the latest blacklist is updated on every device in the network. April 9, 2017
Caching April 9, 2017
Nárůst provozu na internetu 300% nárůst do roku 2012 Download P2P & HTTP video zabírá 65% provozu dnes a předpokládá se nárůst na 80% (Zdroj: Telegeography) Before starting with MediaSwift product introduction, it is important that you will get some background on recent market trends especially the ones relating to Internet Video and P2P. According to recent market researches, Internet traffic is rapidly growing (expected to grow in 300% globally by 2012) while among the fastest growing application we can find P2P and particularly Internet video applications, that already today consume around 65% of global internet traffic. According to Cisco Internet Video itself consumes nearly 1/3of the global BW. As can be seen in the graph, in the past two years Internet Video has become a key application in terms of BW consumption. The term Internet Video mainly refers to UGC (User Generated Content) websites as YouTube, professional video services such as HULU (which has recently become very popular in North America) or even regular website that offer video clips (NBC, CNN etc.). According to recent research by Cisco, Internet Video is already occupying today 1/3 of the global traffic and is expected to surpass P2P bandwidth in the next few years. Emerging markets even drive higher BW increase, in particularly APAC and LATAM that some regions there experience a overwhelming growth that exceeds 100% year to year growth. (Zdroj: Cisco White Paper, “The Exabyte Era”) April 9, 2017
MediaSwift - přehled Řešení pro P2P, HTTP a video Výrazné zvýšení QoE Integrace s DPI = efektivní řešení Úspora pásma Transparetní řešení We at Allot have notices these new trends and challenges and together with a technology partner (PeerApp) are launching a new service of Accelerating Internet Video and P2P delivery that is called MediaSwift. This service is the first network and subscriber service that Allot launches as a part of the Service Gateway concept. The product’s highlights include: Intelligent media acceleration solution – caching of HTTP video and P2P traffic transparently and based on multiple criteria. The new service is integrated with Allot DPI products utilizing smart traffic steering feature and expected to be released as an integrated blade in the SG-Sigma. Significantly improves users’ experience for Internet Video viewing, HTTP download and P2P file-sharing. New Revenue generating service allowing service providers to offer their subscriber new services April 9, 2017
Jak to funguje? MediaSwift Cache stores the file SG limits the BW of download traffic File Download File Download File request File request ISP User Service Gateway Internet User SG redirects only relevant traffic April 9, 2017
Mediaswift: Proč? Snížení OPEXu Nový zdroj příjmů 40+ % úspora pásma Snížení TCO & supportu Nový zdroj příjmů Zvýžení QoE/spokojenosti zákaníků Podpora pro 1G i 10G Reduce OPEX Save in average 40% of bandwidth costs on costly bandwidth on transit/peering links Lower TCO & support costs: cost-effective solution, low deployment costs and reduced support costs Generate New Revenues The ISP now can become a link in the Internet video value chain and partner up with content providers to deliver best QoE to subscribers. New opportunities to increase ARPU with new value-added services based on accelerated media delivery (such as Premium Video packages) Increases QoE will raise the demand for higher BW packager Increase subscriber QoE and customer loyalty Enhance user experience particularly for Internet Video Reduces customer churn through improved subscriber satisfaction April 9, 2017
ServiceProtector
9 April 20179 April 20179 April 20179 April 20179 April 2017 ServiceProtector Ochrana před DoS/DDoS útoky; červy; botnety; spamy Založeno na ADS (Anomaly Detection System) Detekce síťových útoků i útoků per zákazník Výhody Předcházení stížností Snížení OPEXu Předcházení blacklistingu Stabilita sítě Ochrana zákazníků Garance spokojenosti 9 April 20179 April 20179 April 20179 April 20179 April 2017
9 April 20179 April 20179 April 20179 April 20179 April 2017 Nasazení SP-Sensor blade* SP-Controller NetXplorer Cable Subscribers SP-Sensor Core IP Network Access DSL Subscribers Mezinárodní linky/peering NetEnforcer ServiceProtector is deployed where you need protection; at key aggregation points usually next to the threat; use enforcement devices such as NetEnforcer or Service Gateway appliances for blocking, limiting or redirecting offending traffic; alternatively use network infrastructure like BRAS or routers or even network security devices; ServiceProtector has a passive network probe appliance called the ServiceProtector Sensor that listens to network traffic from optical taps (as shown here) or via port mirror or port SPAN; In the near future, the ServiceProtector Sensor will also be implemented as a blade on the Service Gateway; In the meantime, the Sensor appliance can deployed as an appliance via optical taps or port SPAN; Each Sensor communicates with a central management, storage, and reporting appliance called the ServiceProtector Controller; A Controller can manage either kind of Sensor with no need to expand the storage (unless desired). This is because ServiceProtector uses summarized metadata about the traffic so its storage requirements will not scale linearly in proportion to the amount of traffic; Controller can manage up to 16 Sensors; NOTE: Passive deployment of Sensors – not inline Do not require collection intrusive collection of flow records from routers Can automatically capture packets and flows from the network for analysis, real-time signature creation and verification 10GE Sensors do not substantially increase the volume of data compared with 1GE Sensors Service Gateway Access Hosting Services DDoS protection Service Gateway 9 April 20179 April 20179 April 20179 April 20179 April 2017
DPI signatura umožní přesnou ochranu Cílená ochrana Hrubá ochrana Cílená ochrana Útok Ostatní provoz DPI signatura umožní přesnou ochranu
9 April 20179 April 20179 April 20179 April 20179 April 2017 Detailní informace 9 April 20179 April 20179 April 20179 April 20179 April 2017
9 April 20179 April 20179 April 20179 April 20179 April 2017 Okamžitá reakce a blokování Detekce do jedné minuty Čas 3 Blokování 2 Alarm s detailními informacemi 1 DoS útok Okamžitá reakce 9 April 20179 April 20179 April 20179 April 20179 April 2017
Proč? Vlastnost Výhoda Výkon Nezávislé na routeru Vizualizace 10GE, 98k cps; 5.5M spojení Nevyžaduje spolupráci routerů, net-flow atd. Nezávislé na routeru Vizualizace Packetové statistiky, nikoliv statistiky na základě spojení (bez samplování) V reálném čase Okamžitá odezva, přesná signatura Detekce i ochrana v jednom řešení Jeden výrobce 9 April 2017
Integrace – externí řešení April 9, 2017
Inteligentní přesměrování provozu April 9, 2017
Inteligentní přesměrování provozu April 9, 2017
Architektura řešení Access IP Core Network Access Billing Server NetXplorer Softswitch Media GW CDR PSTN IP Core Network VoIP Probe Access NetEnforcer Allot Service Gateway Access VoIP Probes April 9, 2017
Reference ISP a operátoři NTL, Verizon, FastWeb, BT, Megacable, Equant (FT), PCCW, Sprint, WakWak, TIM, Portugal Telecom, Telecom Malaysia, Prima, Northland, WOW, Optus, Bezeq, Spacenet, @NetHome, Truenet, VIVAX, Telecom Colombia, Telecom Tanzania, mweb …České Radiokomunikace, Dial Telecom, Český bezdrát, M-Soft, WMS, Vodafone ... Vzdělávání: NYCBoE, CMU, UCLA, Miami, LSU, Technion, Laval … Podniky Siemens, Kroger, Dixons PLC, INS, ZID, REI, Samsung, Symantec, Schneider, Elktra, Hitachi, CCF, EDF, Teva, BBVA, Ecco, Ownes & Minor, US Navy, REI, NiponPaint …ČEZ, Dalkie ČSA, OKD, SMVaK, Accelor Mittal ... April 9, 2017
Česká republika April 9, 2017
Otázky www.allot.com plasek@allot.com April 9, 2017