Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Network Services I+II Mgr. Pavel Krumnikl VUT FI – Network Services
To replace the title / subtitle with your own: Click on the title block -> select all the text by pressing Ctrl+A -> press Delete key -> type your own text VUT FI – Network Services 11/13/2018
2
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy - LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
3
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
4
Co je Shared Network Infrastructure (SNI)?
Poskytuje bezpečný způsob jak se z IBM vnitřní sítě dostat do vnitřní sítě zákazníka SNI je speciální síťová architektura uvnitř IBM Global Services data center. Bezpečnostní požadavky jsou velmi náročné Je založena na několika síťových segmentech s různým přístupovými právy VUT FI – Network Services 11/13/2018
5
Tier Definitions for SNI (e.g. eSNI “simplified”)
Tier 0 - Internal Tier 1 - Highly Secured Tier 2 - Secured Tier 3 - Controlled Tier 4 - External (untrusted) IBM Intranet (with secure areas) Central Infrastructure (within sphere of control) Shared Infrastructure (within each site) Service Resources, Customer Resources Customer Networks, Business Partners, Internet Other Enterprise Customer Security Layer Layer Description Segments Allowed Communication VUT FI – Network Services 11/13/2018
6
Implementation Example (e.g. eSNI “simplified”)
IBM INTRANET Tier 0 Access Firewall Tier 1 CSL CML IAL_IBM Tier 2 Service Firewall IAL Management Firewall SSL SML Customer 1 Customer 3 DML DML Edge Firewall Tier 3 SSL DAL DAL Customer 2 DAL Internet Firewall Router Router Customer Firewall Tier 4 VUT FI – Network Services 11/13/2018
7
Abbreviations CML – Central Management LAN CSL – Central Service LAN
SML – Shared Management LAN SSL – Shared Service LAN DML – Dedicated Management LAN DAL – Dedicated Access LAN IAL – Infrastructure Access LAN IAL_IBM – Infrastructure Access LAN IBM VUT FI – Network Services 11/13/2018
8
Jaká jsou výhody/nevýhody SNI
Standardní řešení pro IBM Bezpečné řešení Opětovné využití prostředí Snížení nákladů Standardizace Nevýhody Sdílení má obrovské nároky na bezpečnost, větší než management pouze pro jednoho zákazníka Ne vždy je možné sjednotit všechny standardy Může nastat problém se stejnými IP adresami v sítích různých zákazníků Může být omezeno zákonem v některých zemích VUT FI – Network Services 11/13/2018
9
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
10
Organizační struktura – Network management
A pot file is a Design Template file, which provides you the “look” of the presentation You apply a pot file by opening the Task Pane with View > Task Pane and select Slide Design – Design Templates. Click on the word Browse… at bottom of Task Pane and navigate to where you stored BlueOnyx Deluxe.pot (black background) or BluePearl Deluxe.pot (white background) and click on Apply. You can switch between black and white background by navigating to that pot file and click on Apply. Another easier way to switch background is by changing color scheme. Opening the Task Pane, select Slide Design – Color Schemes and click on one of the two schemes. All your existing content (including Business Unit or Product Names) will be switched without any modification to color or wording. Start with Blank Presentation, then switch to the desired Design Template Start a new presentation as Blank Presentation You can switch to Blue Onyx Deluxe.pot by opening the Task Pane with View > Task Pane and select Slide Design – Design Templates. Click on the word Browse… at bottom of Task Pane and navigate to where you stored BlueOnyx Deluxe.pot (black background) and click on Apply. Your existing content will take on Blue Onyx’s black background, and previous black text will turn to white. You should add your Business Unit or Product Name by modifying it on the Slide Master You switch to the Slide Master view by View > Master > Slide Master. Click on the Title Page thumbnail icon on the left, and click on the Business Unit or Product Name field to modify it. Click on the Bullet List Page thumbnail icon on the left, and click on the Business Unit or Product Name field to modify it. Click on Close Master View button on the floating Master View Toolbar You can turn on the optional date and footer fields by View > Header and Footer Suggested footer on all pages including Title Page: Presentation Title | Confidential Date and time field can be fixed, or Update automatically. It appears to the right of the footer. Slide number field can be turned on as well. It appears to the left of the footer. VUT FI – Network Services 11/13/2018
11
NOC - Level 1 support Reaguje na vstupy z různých nástrojů. Řídí řešení problémů a řídí tok informací mezi ostatními týmy. Využívá jednoduché a jasné procesy. Musí dobře znát používané nástroje, systémy a procesy. Nezbytné je fungování ve 24x7 režimu Příklady Koordinuje řešení výpadek na zařízení poskytovatele. Udržuje tikety v různých systémech a informuje ostatní týmy o aktuálním stavu problému Informuje správnou skupinu uvnitř IBM když je potřeba vyměnit HW u zákazníka VUT FI – Network Services 11/13/2018
12
NOC - Level 2 support Řeší problémy přicházející od Level 1 supportu a z dalších systémů. Level 2 support je těžší definovat z hlediska procesů, vzhledem k tomu, že problém, dokud se nevyskytne, tak není definován. Level 2 je převážně o zkušenostech a znalostech o sítích. Příklady V případně chyb na lince poskytovatele zjistit typ chyb, jejich pravděpodobný původ a informovat poskytovatele, který zajistí vyřešení Pomoci uživateli např. se správným nastavením proxy v IE (ve spolupráci s HD) Najít chybu v routování, když se uživatel nemůže připojit na server VUT FI – Network Services 11/13/2018
13
Level 3 support Level 3 support pracuje s komplexními problémy. Jsou zapojeni do řešení různých problémů, které mají širší dopad (více zemí). „Pomalá síť“ je příklad problému, který obvykle končí u level 3. Řeší většinou jakékoli nestandardní zapojení Spolupracuje a často řídí komplexní změny v sítích. Je založen nejen na síťovýc zkušenostech, ale také na znalostech v ostatních produktech (Web, DNS, FW, SAP, LN, Terminal Services, atd.) Příklady Nalezení a opravení špatně nastavených routovacích protokolů Asistování poskytovateli s hledáním a řešením problémů se sporadickými výpadky v síti poskytovatele Hledání důvodu pomalého výkonu aplikace Zapojení do změny poskytovatele připojení VUT FI – Network Services 11/13/2018
14
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
15
Network Management Toolset
Tivoli TEC Zobrazuje problémové události na LAN/WAN zařízeních Tivoli Netview Poskytuje síťovou mapu k jednodušší lokalizaci problému Entuity Eye of the Storm Poskytuje rozšířené možnosti určení problému, obvykle pro důležité (core) zařízení Monitoruje zařízení přes SNMP - více než 70 možných chyb. Speciální programy pro management zařízení určitého výrobce Cisco Works 3Com Network Supervisor Nortel Enterprise Switch Manager CACTI Statistics WAN performance TACACS/RADIUS Autentikační server Machine Sheets Database Databáze zařízení VUT FI – Network Services 11/13/2018
16
Network Management Toolset
WAN Devices LAN Devices Cacti Entuity Eye of the Storm Cisco Works 3Com Network Supervisor Netview TEC VUT FI – Network Services 11/13/2018
17
Tivoli TEC (Tivoli Enterprise Console)
Zobrazuje hlášky o událostech, na které je potřeba reagovat Je centrálním systémem na sbírání událostí, zjištění jejich závislostí a jejich zobrazením Je určen k použití především 1. levelem VUT FI – Network Services 11/13/2018
18
Tivoli TEC (Tivoli Enterprise Console)
VUT FI – Network Services 11/13/2018
19
Tivoli Netview Up/Down monitorování LAN, WAN zařízení a firewallů
Monitoruje pomocí ping, SNMP nebo dostává alerty z jiných nástrojů (EotS, CACTI) Může přeposílat hlášky do TECu Poskytuje síťovou mapu pro bližší určení problému Je používán všemi úrovněmi pro zjištění a analýzu problému VUT FI – Network Services 11/13/2018
20
Tivoli Netview - Map VUT FI – Network Services 11/13/2018
21
Tivoli Netview – Event Browser
VUT FI – Network Services 11/13/2018
22
Entuity Eye of the Storm
Rozšířené monitorování centrálních síťových zařízení (LAN i WAN) a firewallů pomocí SNMP Hlásí do Netview/TECu problémy, které teprve mohou nastat Má rozšířené možnosti detekování problémů Je používán všemi úrovněmi pro zjištění a analýzu problému VUT FI – Network Services 11/13/2018
23
Entuity Eye of the Storm – výpis portů
VUT FI – Network Services 11/13/2018
24
Entuity Eye of the Storm – device report
VUT FI – Network Services 11/13/2018
25
Entuity Eye of the Storm
VUT FI – Network Services 11/13/2018
26
Cisco Works Umožňuje hromadnou konfiguraci Cisco zařízení
Umožňuje instalaci nových verzí systému (IOS/CatOS) Cisco zařízení Ulehčuje zjišťování problémů na Cisco zařízeních Reporty Reload history Availability Config change history atd. Campus Manager Cisco View VUT FI – Network Services 11/13/2018
27
Cisco Works – příklad reportu
VUT FI – Network Services 11/13/2018
28
Cisco Works – Campus Manager - user tracking
VUT FI – Network Services 11/13/2018
29
Cisco Works – Cisco View
VUT FI – Network Services 11/13/2018
30
3Com Network Supervisor
Umožňuje změnu a zálohování konfigurace 3com zařízení Umožňuje instalaci nových verzí systému 3com zařízení Má funkce na zjišťování problémů na 3com zařízeních VUT FI – Network Services 11/13/2018
31
Nortel Enterprise Switch Manager
Umožňuje změnu a zálohování konfiguraci Nortel zařízení Umožňuje instalaci nových verzí systému Nortel zařízení Má funkce na zjišťování problémů na Nortel zařízeních VUT FI – Network Services 11/13/2018
32
Nortel - Enterprise Switch Manager
VUT FI – Network Services 11/13/2018
33
Nortel - Device Manager
VUT FI – Network Services 11/13/2018
34
Cacti Statistics Zobrazuje vytíženost WAN linek
V případě užití QoS (Quality of Service) zobrazuje i využití v jednotlivých kategoriích Poskytuje statistické informace, které mohou přispět k řešení kapacitních problémů Sbírá netflow data - pomáhá určovat „top talkers“, „top conversations“, „top applications“ Je určen k použití především 2. a 3. levelem k identifikaci problémů na WAN sítích dříve než je pocítí zákazník VUT FI – Network Services 11/13/2018
35
Cacti – grafy linek Day Week Month Year VUT FI – Network Services
11/13/2018
36
Cacti – Top Talkers VUT FI – Network Services 11/13/2018
37
Machine Sheets Database
Seznam všech zařízení Obsahuje důležité informace o zařízeních Typ zařízení Lokalita IP adresa, hostname Kontakty na ostatní skupiny/providera Informace o zabezpečení a kontrolách Atd. VUT FI – Network Services 11/13/2018
38
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
39
LAN Management LAN = Local Area Network Typy zařízení
Cisco, Nortel, 3com, Alel, Allied Telesyn, Blue Coat, Digital, D-link, Enterasys, HP, IBM, Intel, Intermac, Kingston, KTI Networks, LANart, LinkSys, Netgear, Nokia, Olicom, Planet, Symbol, Synoptics, Xtreme Důležitost zařízení Core (router, switch, který připojuje router nebo servery) Širší spektrum monitorování (Eye of the Storm) Non-core (switch, kam jsou připojení koncoví uživatelé) VUT FI – Network Services 11/13/2018
40
LAN – jednoduché zapojení
VUT FI – Network Services 11/13/2018
41
LAN – Data Centrum VUT FI – Network Services 11/13/2018
42
Příklad datacentra VUT FI – Network Services 11/13/2018
43
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
44
WAN Management Možnosti WAN připojení
Pronajatá linka (leased line) DSL/ADSL/ISDN Internet tunel WAN propojení poskytují převážně externí firmy (poskytovatelé telekomunikačních služeb) NOC je kontaktní bod mezi providery a zákazníkem VUT FI – Network Services 11/13/2018
45
Současné trendy pro WAN
MPLS = Multiprotocol Label Switching ( QoS = Quality of Service ( VUT FI – Network Services 11/13/2018
46
WAN Management – poskytovatelé
MPLS cloud VUT FI – Network Services 11/13/2018
47
Požadavky na WAN Monitoring & Statistics
Nastavením QoS na WAN linkách vede k účelnějšímu využití dané linky 80 – 100 % WAN link utilization (“we pay 100, we use 100”) Na monitorování QoS je potřeba efektivní nástroj VUT FI – Network Services 11/13/2018
48
Metody odhalení problémů ve WAN
Efektivní WAN management je založen na využití: Up/Down Management (IF) Odhalení HW problémů a výpadků QoS Statistics and Reports (WHERE) Odhalení problémů s výkonem a zahlcení linky Netflow Traffic Analysis (WHAT and WHO) Analýza, který typ komunikace způsobuje problémy a kdo je původcem VUT FI – Network Services 11/13/2018
49
Step One – Check IF there is an outage
Zjistit, jestli nenastal HW problém pomocí nástrojů a informací od providera VUT FI – Network Services 11/13/2018
50
Step Two – Check WHERE the problem is
Projít celou cestu od jednoho konce ke druhému, a zkontrolovat všechny, které mohou způsobit přehlcení linky, zahazování paketů nebo jiné problémy VUT FI – Network Services 11/13/2018
51
Graphs reported by IBM Reporting Solution (Cacti)
Network Workload & Statistics QoS Traffic share per queue QoS Queue depth per queue QoS Packet drop per queue Traffic Analysis Errors and discards Packets Rate Switching Collisions Device CPU Usage Device Memory Usage Performance Availability Latency Traffic Flow Analysis Top Talkers Top Applications Top Conversations VUT FI – Network Services 11/13/2018
52
Reality is much more complex…
VUT FI – Network Services 11/13/2018
53
Step Three – Check WHAT traffic and WHO
Prozkoumání typu komunikace, objem dat, v bodě zahlcení Netflow dává informace jaký typ komunikace způsobuje přetížení a kdo je původcem VUT FI – Network Services 11/13/2018
54
Netflow Accounting must be enabled on all CPE routers
VUT FI – Network Services 11/13/2018
55
Netflow accounting VUT FI – Network Services 11/13/2018
56
Výsledek a akce Identifikace IP adresy způsobující problém, upozornění uživatele, odpojení, … Žádný konkrétní zdroj, je potřeba linku zkoumat delší dobu, jestli je potřeba navýšení VUT FI – Network Services 11/13/2018
57
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
58
Typické Problémy Pomalá síť Nedostupné zařízení LAN
Internet WAN Nedostupné zařízení LAN Nedostupná lokace – WAN problém VUT FI – Network Services 11/13/2018
59
Příklad 1 – Pomalá síť (lokální)
Uživatel hlásí pomalou síť Je potřeba zjistit, jestli pouze na lokální fileserver nebo jestli na vzdálený server nebo na Internet Zjistit nastavení rychlosti/modu portu na switchi a nastavení síťové karty serveru (uživatelského PC) Zjistit chybovost na portu na switchi Výměna kabelu VUT FI – Network Services 11/13/2018
60
Příklad 2 – Pomalá síť (Internet/WAN)
Up/Down Management (IF) Odhalení HW problémů a výpadků QoS Statistics and Reports (WHERE) Odhalení problémů s výkonem a zahlcení linky Netflow Traffic Analysis (WHAT and WHO) Analýza, který typ komunikace způsobuje problémy a kdo je původcem VUT FI – Network Services 11/13/2018
61
Příklad 3 – Nedostupný switch
Zjištění pomocí hlášky v Netview Ověření hlášky (ping, SNMP) Zkusit připojení z ostatních zařízení v lokaci Kontaktovat lokální podporu pro ověření připojení elektřiny a síťových kabelů Manuální restart zařízení Výměna zařízení VUT FI – Network Services 11/13/2018
62
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
63
Firewall Typy firewallů Standardně používané typy
Checkpoint ProviderOne Využití FW VUT FI – Network Services 11/13/2018
64
Types of existing Firewalls
Software Checkpoint Firewall-1 (diverse versions) Cisco PIX Operating Systems Checkpoint Secure Platform (SPlat) Sun Solaris Microsoft Windows Linux Nokia IPSO Hardware PC Architecture Sun Nokia Intrusion VUT FI – Network Services 11/13/2018
65
Firewall Standard for all replaced and new build firewalls
Software Checkpoint Firewall-1 Next Generation with Application Intelligence Cisco PIX Operating Systems Checkpoint Secure Platform Cisco PIX Firewall OS Hardware IBM x-Series Servers VUT FI – Network Services 11/13/2018
66
Checkpoint - ProviderOne
Struktura Management server FW box(Nokia, SPlat) Uložená FW pravidla Centrální logování Ověřování uživatelů FW zařízení Jednoduchý OS VUT FI – Network Services 11/13/2018
67
Checkpoint - ProviderOne
VUT FI – Network Services 11/13/2018
68
Checkpoint - ProviderOne
VUT FI – Network Services 11/13/2018
69
Checkpoint - ProviderOne
VUT FI – Network Services 11/13/2018
70
Využití firewallů Internet/DMZ/interní síť Oddělení jednotlivých zemí
Připojení zemí/lokací přes VPN tunel do Corporate sítě VUT FI – Network Services 11/13/2018
71
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
72
IP Services (IPSE) DNS/DHCP NTP Proxy SMTP VUT FI – Network Services
11/13/2018
73
QIP – centrální systém pro DNS/DHCP
Jeden centrální (zálohovaný) QIP management server Změny se propagují na centrální QIP server v zemi, ze kterého pak na QIP servery ve větších lokacích Typy lokací: Méně než 250 uživatelů DHCP – IP helper 251 až 499 uživatelů, lokální DHCP server, nebo IP helper Více než 500 uživatelů (Super location), lokální DHCP poskytují redundantní servery Pravidlo Statické adresy pro servery a síťové prvky, Dynamické adresy pro PC a tiskérny VUT FI – Network Services 11/13/2018
74
VUT FI – Network Services
11/13/2018
75
DNS Centrální management DNS záznamů
Hlavni domeny (zakaznik.com, zakaznik.cz) Poddomény (cz.zakaznik.com) Správa domény může být delegována na jiný server VUT FI – Network Services 11/13/2018
76
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
77
Bezpečnost sítí Standardy konfigurace Ověřování skutečné konfigurace
Aktuálnost SW/HW Revalidace uživatelů VUT FI – Network Services 11/13/2018
78
Bezpečnost sítí - Standardy konfigurace
Obecná pravidla Nutno aplikovat na různá zařízení Standardy pro Cisco, Nortel, … VUT FI – Network Services 11/13/2018
79
Bezpečnost sítí - Ověřování skutečné konfigurace
Správné nastavení při připojení nového zařízení Kontrola probíhá v určitých intervalech (půl roku) Zdokumentování výsledku Oprava případných nedostatků VUT FI – Network Services 11/13/2018
80
Bezpečnost sítí - Aktuálnost SW/HW
Monitorování informací od výrobců Záplaty Nové verze Hodnocení zjištěných rizik Naplánování upgradu VUT FI – Network Services 11/13/2018
81
Agenda Shared Network Infrastructure Organizační struktura
Monitorování síťových prvků - nástroje LAN Management WAN Management Typické problémy – LAN/WAN Firewall IP Services Bezpečnost sítí Typické problémy – FW, IPSE VUT FI – Network Services 11/13/2018
82
Příklad 1 – Uživatel se nemůže připojit k síti
Zjistit IP adresu PC Pokud nemá správnou podle lokace – může být problém s DHCP Zkontrolovat DHCP službu na serveru Zkontrolovat, jestli jsou volné IP adresy v DHCP rozsahu VUT FI – Network Services 11/13/2018
83
Příklad 2 – Nový server v DMZ
Zajistit potřebné povolení Zjistit typ nezbytné komunikace Zjistit přes který FW bude komunikace probíhat Upravit příslušná FW pravidla VUT FI – Network Services 11/13/2018
84
Odkazy Tivoli Netview Tivoli TEC Eye of the Storm Cisco Works CACTI VUT FI – Network Services 11/13/2018
85
Odkazy Checkpoint – ProviderOne QIP http://www.checkpoint.com/
VUT FI – Network Services 11/13/2018
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.