SÍŤOVÁ INFRASTRUKTURAMONITORING
Tomáš KošňarCESNET
29. 1. 2019Konference e-infrastruktury CESNET
OBSAH
Síťová infrastruktura
architektura, aktuální stav, vlastnosti, parametry, výhled do budoucnosti
Monitoring
přehled základních oblastí, výhled do budoucnosti
SÍŤOVÁ INFRASTRUKTURA
Charakteristika, požadavky
rozsáhlé sítě (/16 v4), unikátní a specifická zařízení, robustní “sessions“
aplikace citlivé na ztrátovost, zpoždění, jitter (obousměrně)
„velká data“ - místo vzniku místo uložení místo zpracování místo → → →uložení zpracování …→ →
Páteřní síť
→ volná kapacita, „bezpečný agregační poměr“
→ topologie, spolehlivost, stabilita parametrů
potřeby uživatelů odvozeny od projektů a ad hoc příležitostí plánování ?→
→ flexibilita
SÍŤOVÁ INFRASTRUKTURA
Budování a správa převážně vlastními silami
IP/MPLS vrstva
optická přenosová vrstva
fyzická vrstva
SÍŤOVÁ INFRASTRUKTURA
Fyzická a optická přenosová vrstva
fyzická vrstva - optická vlákna
~ 6000 km (1800km)
redundantní propojení páteřních uzlů
optická přenosová vrstva
DWDM
1-100 Gb/s kanály
2 komplementární systémy
spojení bod-bod
stavební prvek vyšší vrstvy sítě
fotonické, „lambda“ služby
SÍŤOVÁ INFRASTRUKTURA
IP/MPLS vrstva
100 GE jádro
uzly 40-100 GE nebo Nx10 GE
redundance připojení uzlů
sdílená IP síť (v4, v6 dual stack; u-cast, m-cast)
připojení k e-infrastruktuře - symetrické, bez regulace, možnost redundance
vyhrazené okruhy a sítě pro uživatele - EoMPLS, VPLS
SÍŤOVÁ INFRASTRUKTURA
externí propojení
100 Gb/s GÉANT
120 Gb/s NIX.CZ *
20 Gb/s ACONET (VIX)
20 Gb/s SANET (SIX)
20 Gb/s AMS-IX *
20 Gb/s Google *
10+10 Gb/s Tier-1
10 Gb/s PIONIER
E2E
Nx10 (GÉANT, LHCONE)
Nx10 CBF
100
20
10+10
120
20
20
1020
SÍŤOVÁ INFRASTRUKTURA
Základní provozní a bezpečnostní nastavení
kontrola zdrojových IP adres na vstupu do páteře (RPF check, filtry, BCP-38)
automatická “rate-limit policy“ na perimetru sítě (amplifikační DDoS útoky)
RTBH jako služba pro uživatele (BGP připojené sítě)
semi-automatická obrana proti dalším typickým útokům (aut. detekce →analýza opatření)→
RPKI (Resource Public Key Infrastructure) - podepisování záznamů spojených s oznamováním BGP cest
komplexní monitoring, 24x365 dohled + pohotovost síťových specialistů
CSIRT (CESNET-CERTS), FLAB
CESNET - zakládající člen FENIX @ NIX.CZ
SÍŤOVÁ INFRASTRUKTURA
Budoucnost, plány ?
nová generace sítě – příprava projektu
400 Gb/s páteř, 100 Gb/s přípojná kapacita→
vyšší flexibilita rychlých portů na hraně sítě
optimální provázání s ostatními komponentami e-infrastruktury
optimální připojení významných uživatelských datových zdojů, Science DMZ
diskuze s uživatelskými skupinami
významné zdroje dat kapacita, architektura a cyklus zpracování dat→
+ automatizace v oblasti obrany e-infrastruktury
MONITORING
Očekávání ?
komplexní
celá hierarchie
provozní, analytický, statistický, bezpečnostní, ...
infrastruktura, provoz
→ infrastruktura pod kontrolou
MONITORING
Monitoring infrastruktury
provozní, dohledový - icinga/nagios (“standardní síťařské sondy“ - CPU, paměť, síťová rozhraní, BGP,...)
analytický - G3
periodický plošný sběr dat z prvků infrastruktury
UI, reporty, vizualizace anomálií
MONITORING
Monitoring provozu
infrastruktura měřících bodů (externí perimetr) - bezpečnostní, analytický monitoring (HW akcelerované sondy)
analýza provozu na plné rychlosti export obohacených NetFlow dat (některé aplikační protokoly), distribuovaný kolektor detekce bezpečnostních incidentů v NEMEA, reporting událostí do WARDEN ad-hoc vytvářené analytické a detekční nástroje
MONITORING
Monitoring provozu
FTAS - plošný, statistický, analytický, bezpečnostní monitoring
sběr, zpracování, uchování, vizualizace NetFlow, sFlow dat
UI, reporty, detekce událostí + notifikace, WARDEN reporting
data z páteře, data od uživatelů
samostatné instalace v sítích uživatelů
organizace, síťové celky, projekty
MONITORING
- HW akcelerované sondy
- Honey Pots
- IDS a IPS systémy apod.
- monitoring infrastruktury (SNMP apod.)
Přehled
- plošný monitoring IP provozu na bázi toků (zdroje provozních informací)
MONITORING
Budoucnost, plány ?
infrastruktura
adaptace na novou generaci síťové části e-infrastruktury
telemetrie, RFC vs. vendor, apod.
provoz
+ automatizace v oblasti obrany e-infrastruktury
detekční nástroje řízení směrování (BGP FlowSpec)→
specifičtější monitoring klíčových částí e-infrastruktury
„blíže ke koncovým uživatelům“ - velké problémy v globální síti začínají „zanedbatelnými“ problémy v koncových sítích...
DĚKUJI ZA POZORNOST