High Density Traffic Control Tool Anue NTO ( ) -1-
Anue5236 Net Tool Optimizer 구성및적용사례 -2-
실구축및적용사례 망이용대가과금시스템적용 : KCT, C&M, CJ 등 SO 사업자 TAP #1 10G-SR/LR/ZR/ER... TAP #10 관문라우터 1G ISP 망 인터넷전화사업자... TAP #11 10G TAP #20 1G-SX/LX/LH/ZX 망이용대가과금데이터분석, 처리시스템 과금데이터필터링 1G+1G 로드밸런싱 과금데이터필터링 과금데이터수집서버 1G+1G 로드밸런싱 -3-
실구축및적용사례 DDoS 탐지, 분석및네트워크매니지먼트시스템구축 그룹사10G 백본구간및내부1G 구간 실시간이상트래픽탐지. 식별, 실시간통계및분석 특정시점 / 시간대이상트래픽추출, 악성트래픽식별및트래픽통제정책생성및적용. 10G Fiber TAP Anue5204 Net Tool Optimizer 1G Fiber TAP GigaStor 포렌직분석시스템 -4-
실구축및적용사례 KT 무선망과금 1). 강남센터 VoIP 및 Wi-Fi 3G/4G 데이터사용량에대한과금시스템용공급. 2). 지역별, 사용자별, 프로토콜별필터링및로드밸런싱 -5-
실구축및적용사례 네트워크전수데이터수집및 Forensic 분석시스템구축 간헐적으로발생되는문제점해결을위한장시간의네트워크트래픽보관 빠른분석을통해네트워크다운타임을줄이기위해강력한데이터추출기법제공 장애감지, 침입탐지및방화벽에서발생한이벤트확인을위한증빙자료추출 외부보안침투에대한유해트래픽분석제공 중앙에서그원인분석가능하도록중앙원격모니터링제공 -6-
실구축및적용사례 SK 브로드밴드 VoIP 품질관리및과금 1). 동작국사및인천국사의 VoIP 서비스의품질측정및관리용공급, 운용중. 2). SIP, Megaco 등의 VoIP 관련프로토콜패킷만필터링하여사용 -7-
실구축및적용사례 SK 브로드밴드 VoIP 품질관리및과금 1). 동작국사의 VoIP 서비스의품질측정및관리용공급, 운용중. 2). SIP VoIP signaling 단방향패킷만필터링및모니터링을통해품질측정및관리. -8-
실구축및적용사례 SK C&C 품질측정및분석 1). SK 그룹사의 VoIP 서비스품질측정및 Data 분석용공급. 2). 필터링을통한 VoIP 패킷과 Data 패킷분리. -9-
실구축및적용사례 DB 보안및통합관제시스템 운영계 멤버쉽 A A 안심클릭 A A 인터넷 EMS FDS OOO 서비스 OO 서비스 Oracle MS- SQL Oracle Oracle Oracle MS- SQL Packet Sniffing Packet Sniffing OO 센터 OOO 서비스 Anue5204 Anue5204 Anue5236 Net Tool Optimizer Oracl e Server-OO 센터 GigaStor 16T 8-ports GigaStor 8T 4-ports -10-
ANUE-5236 NTO ( 주요기능및특징 TM ) -11-
5204 Net Tool Optimizer (20) 10/100/1000 ports (4) Dual Media ports (4) 10Gb ports - 2 rear unit bays for 10Gb XFP Management Ports Redundant Power Supplies -12-
5236 Net Tool Optimizer Management Ports (20) 10Gb/1Gb SFP+ ports (4) 1Gb RJ-45 ports (4) 10Gb ports - 2 rear unit bays for 10Gb XFP Redundant Power Supplies and Fans -13-
5273 Net Tool Optimizer Redundant Power Supplies and Fans Dual Management Ports (20) 10Gb/1Gb SFP+ ports (4) 1Gb RJ-45 ports (4) 10Gb ports - 2 rear unit bays for 10Gb XFP Craft Interface for Emergency Out-of -Band Reset Local and Remote Alarm Relay Support -14-
가. 장비일반및성능 1). Platform 가 ). 제품명 : ANUE 5236-NTO ( ) - 1U 19 rack mountable chassis (EIA-310-D/ IEC 60297-3-100) 나 ). 지원인터페이스 - XFP: 10GBase- SR/LR/ZR/ER - SFP+: 10GBase-SR/LR/ZR/ER -SFP: 1GBase-SX/LX/ZX - built-in: 10/100/1000 Copper (20) 10G/1G SFP+ Ports (4) 1G RJ45 Ports (4) 10G/1G SFP+ or (4) 10G XFP 2). 시스템별지원인터페이스 가 ). 라이선스기반포트단위 Activate 및인터페이스업그레이드나 ). 10G/1G SFP+: 24-ports 다 ). 1G: 4-ports 3). Throughput 성능 : 포트당 100% full-line rate -15-
4). ANUE-5236 NTO 주요기능, 성능및특징 가 ). Advanced Port-level real-time Statistics & Tool Management View Tool Utilization에대한완벽한통계 설치되어있는툴이현재의설정보다더넓은네트워크를커버할수있거나커버능력이초과되어추가의툴이필요한경우등을실시간데이터로제공 각툴에전달되는데이터소스와필터레벨에서 Drill-Down 나 ). 3-stage Boolean Filtering & Load-Balancing Layer 2-4 범주와프로토콜에서 IPv4, IPv6 필터링 AND, OR, DENY 기능 Range와 Disjoint 리스트 각툴이필요로하는데이터만을전송할수있어툴의능력을최대화 (Pass by Criteria, Deny by Criteria, Pass All, Deny All) 다 ). SNMP Support & Enterprise MIB 툴원격관리및모니터링 라 ). SPAN 포트공유를위한 Overlap packets dynamic filtering SPANs와 TAPs 공유시오버랩되는패킷을자동으로처리 공유되는툴에필요한데이터를정확히전달 마 ). 라이선스기반포트단위 Active & 포트인터페이스업그레이드 네트워크가 1G 에서 10G 로변경되는경우에도 Net Tool Optimizer 에지속적인가시성제공 향후네트워크추세에도대비할수있는 NTO 로비용투자효과보장. -16-
다. Packet Filtering 1). Layer-2/3/4 Filtering -17-
Anue5236 NTO 다. Packet Filtering 3). SPAN 가 ). 원하는포트트래픽을지정된포트로 SPAN 처리 4). Broadcast Flooding 관련차단 가 ). Deny by Criteria 정책을이용한 Broadcast storm 및 broadcast flooding 차단 -18-
라. Full-line rate 성능검증결과 1). Tolly Group 성능검증결과 -19-
Tolly Group Independently Tested & Certified Full Line Rate Performance & Accuracy for 5200 series 2). Tolly Group 성능검증결과 : Executive Summary -20-
나. Redundancy 및 Fail-over 1). 전원이중화 (Redundancy Dual Power Supply) 가 ). (1) Internal AC, (1) External DC 로 1:1 Redundancy Fail-over 동작. 나 ). 1 개의 RPS chassis 에 3 개의 RPS 모듈을탑재하여, 최대 3 대의 Anue5236 을 coverage 함. AC for Primary AC for Secondary Redundancy Power Supply Chassis & Module 12 VDC for Redundancy Rear View of 5236 DC + AC 12 VDC for Redundancy DC + AC 12 VDC for Redundancy DC + AC. AC Input - Input: 90-240 VAC RMS auto-switching / 50-60Hz - Nominal: 1.27A, 140W - Maximum: 3.2A, 353W - Load: nominally 140W, 478 BTU/hour. DC Input - Input: 12 VDC - Nominal: 10A, 120W - Maximum: 25A, 300W - Load: nominally 120W, 410 BTU/hour -21-
다. Traffic 제어 1). Storm 성트래픽제어 가 ). 과도한 broadcast, multicast 트래픽등 storm 성 L2 프레임에대한제한기능 -22-
다. Traffic 제어 1). Filtering 기능 가 ). 원치않는 Traffic 차단을위하여 L2/L3/L4/ 프로토콜등필요한항목에대한필터링 Layer 2 MAC Address Ethertype VLAN Tag IPv4 & IPv6 Layer 3 IPv4 & IPv6 Address IP Protocol DSCP/ECN VLAN w/ip Layer 4 L4 Port (TCP/UDP Port) TCP Control -23-
나 ). 3 단계필터링 Dynamic Filters - Anue Exclusive 최고의필터링기술 융통성 - Aggregation 과 port sharing 모두에가장좋은방법 정확성 - 필요로하는모든데이터를각 Tool 에서획득 용이성 & 효율성 - 단한번의신속한필터작성 Ingress & Egress Filters 다른 access device 는필터링방법에이제한된필터기능을사용하고있음 Anue 는이필터링기능을 Dynamic Filter 와조합하여, Anue 만의독특하고뛰어난 3 단계필터링을사용하도록하고있음 Anue 는최초로 Dynamic Filter 를적용한 3 단계필터링제공 현재출시된제품중가장정확한필터 근본적으로필터당 Throughput 능력을높임 - 23 배향상 모든 filtering 은 GUI 를통해간단히실행 누구든 filter 작성가능 - CLI 전혀필요하지않음 Ingress Filter Dynamic Filter Egress Filter -24-
The Old Way Ingress or Egress Filtering Do Not Support Simultaneously Data Aggregating & Port Sharing SPAN Tap SPAN Filters DROPS Red traffic not sent to tool #2 Tool #1 Needs Red Traffic Tool #2 Needs Red & Blue Ingress Filtering Filtering occurs on traffic input Strength: Many Ports to One Tool (Aggregation) Filtering occurs before aggregation Weakness: One Port to Many Tools (SPAN/Tap sharing) Upstream tools take traffic from downstream tools Requires complex CLI coding SPAN Tool #1 Egress Filtering Filtering occurs on traffic output Weakness: Many Ports to One Tool (Aggregation) Tap DROPS Tool #2 No filtering before aggregation Egress filter can be overwhelmed Strength: One Port to Many Tools (SPAN/Tap sharing) SPAN Filters Each tool sees all the traffic -25-
The Anue Way - Dynamic Many-to-Many TM (DMMC) Combines the Best of Ingress and Egress Filtering Excellent Aggregation Tool #1 Needs Red Traffic Tool #2 Needs Red & Blue Excellent Port Sharing Anue has solved the problem of simultaneous aggregation and port sharing Both tools receive all of the required traffic accurately and completely No packet loss for downstream tools, as with Ingress Filters No dropped packets resulting from overloading Egress Filters -26-
다 ). Ingress Filter 를사용해야할때 Source 에서민감한트래픽제거시 - 예 ) CEO의기밀트래픽을제거하는경우 CEO 의 source address 제거 불필요한트래픽원천제거시 - 예 ) Broadcast 등 Storm 성트래픽원천제거 라 ). Egress Filter 를사용해야할때 특정툴에필터링을미세하게조절해야할때 - 예 ) VOIP 모니터시불필요한 HTTP 제거 -27-
Traditional Ingress Filters Do Not Account for Overlapping Filters The first tool takes all its traffic, but This deprives downstream tools from getting key parts of the data they need VLAN 1-3 Wireshark Wireshark VLAN 1-3 VLAN 3-6 Tool VLAN 4-6 TCP SPAN Port or TAP VLAN 3-6 IDS Tool IDS TCP Network Coverage is Compromised! -28-
마 ). Overlap 패킷처리 Dynamic Filtering 하나의네트워크포트에서나오는트래픽이여러개의 Tool 포트로모니터링되어야하는경우 Figure 1 Tool 의필터규칙이교차하는부분의트래픽이여러개의 Tool 포트로모니터링되어야하는경우 - Figure 2 이것이왜중요한가? 공통으로교차되는트래픽이올바르게처리되어야만각 Tool 이원하는데이터를정확히수신할수있기때문이다. Overlap 규칙을올바르게처리하기위해반드시고려해야할부분이무엇인가? Accuracy 모든툴이필요한모든데이터를반드시수신해야한다.- Figure 3 Ease of Use 사용자가 overlap packets 을확인하여복잡한필터규칙을작성해야하는부담을줄여야한다. Robust & Dynamic 새로운툴, 포트, 그리고필터가추가되거나변경되는경우에도필터는지속적으로작용하여야한다. Tool Port #1 Tool Port #1 VLAN 1-3 TCP Network Port TCP Tool Port #2 Tool Port #3 VLAN 3-6 TCP Tool Port #2 VLAN 3-6 VLAN 1-3 Figure 1 하나의네트워크포트에서 3 개의툴로트래픽멀티캐스트 Tool Port #3 Figure 2 각툴의필터규칙이교차하는부분 Figure 3 각툴이필요로하는모든데이터를수신할수있도록주의를기울여야한다. -29-
마 ). 필터라이브러리 (Filter Library) Anue-5236 NTO 필터라이브러리장점 Filter와 filtering application 노하우를손쉽게캡쳐하여체계화시킬수있다. 누구나필터를적절하게활용할수있다. 스태프의생산성을향상시킨다. 작업로드의균형을맞춰주며몇몇의전문인력에게만의존하지않아도되므로리스크를줄일수있다. Collections 에서필요한 filter 를신속하게찾을수있음 -30-
사 ). 필터작성시간비교 ( 실제고객예제 - GUI vs. CLI-Based Filtering) - Anue의완벽한통합 GUI Control Panel을통한시간단축 - [(4개의 subnet) AND (2개의 destination port number)] 필터링작성비교 ; (src net A/24 or B/24 or C/24 or D/24) and (dst net A/24 or B/24or C/24 or D/24) and (tcp port 80 or 443) ipsrc A ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80 ipsrc A ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443 ipsrc A ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80 ipsrc A ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443 ipsrc A ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80 ipsrc Ai ip_srcmask k/24i ip_dst dtci ip_dstmask dt k/24t tcp port_dst tdt443 ipsrc A ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80 ipsrc A ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443 ipsrc B ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80 ipsrc B ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443 ipsrc B ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80 ipsrc B ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443 ipsrc B ip_ srcmask /24 ip_ dst C ip_ dstmask /24 tcp port_ dst 80 소요시간 4 시간 ipsrc B ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443 ipsrc B ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80 ipsrc B ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443 ipsrc C ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80 ipsrc C ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443 ipsrc C ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80 ipsrc C ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443 ipsrc C ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80 ipsrc C ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443 ipsrc C ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80 ipsrc C ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443 ipsrc D ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80 ipsrc D ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443 ipsrc D ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80 ipsrc D ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443 ipsrc D ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80 ipsrc D ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443 ipsrc D ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80 ipsrc D ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443 Vs. 소요시간 10 분 다른제조사의필터를사용했을때 거의 4 시간이소요되었고 map 을만들고필터를정의하여적용하는데다소시행착오가있었습니다. 그에반해 Anue 의 Dynamic Filtering 으로동일한작업을하는데에는 10 분밖에걸리지않았습니다. -31- -31-
아 ). 세션기반로드밸런싱 (Session Aware Load Balancing) Tool 을효과적으로활용하여 : 트래픽을확실하게모니터하고툴에투자한비용효과를높일수있다. 트래픽이다수의 Tool port 로다이내믹하게분배됨 세션이온전히유지되므로각툴은완벽한세션을확인할수있음 Layer 2/3/4 parameter 기반동등한트래픽배분 세개의모니터링 Tool 을하나의 Load Balanced Group 으로 Grouping -32-
네트워크이벤트를기반으로 User-Defined Trigger Net Tool Optimizer 의 Advanced Statistics 가적용됨 Pre-built 스크립트가자동으로반응하여 Statistics 와 Filter 설정을변경 -33-
바 ). 확장된통계 (Statistics) Anue 의모든 Statistics 는다양한형식으로접근가능 GUI 를통한직접적인억세스 차트작성지원 포괄적인통계 & 툴매니지먼트뷰 (with CSV) 새로운 Enterprise MIB 를통한 SNMP 억세스 기존의시스템및프로세스에간편하게통합 3.0 Automated Script 를통한자동화억세스 Automated access via 3.0 Automated Scripts 스크립트가모든 Statistics 로억세스 -34-
바 ). 확장된통계 (Statistics): Real Time Statistics 특정시간트래픽정보 Zoom-in -35-
사 ). Config 동기화기능 User Defined Export/Import - New!! 새로운핵심기능 Export/Import p 할구성의정확한부분선택 Automation applications - 자동화스크립트로실행할 filter 와 connection 간단정의 System management - Flexible back up - 멀티플시스템의 configuration setting 을관리 -36-
아 ). 접속및접근권한제어 : Security: Filter Access Control 을사용하여중요데이터보호 Non-Sensitive 데이터로는계속억세스가능 Sensitive 네트워크포트로부터의특정데이터를보호 Ex) PCI 나 SOX 데이터를포함한 VLAN 은 administrator 만이접근가능. 그포트에서나오는다른 VLAN은모든 tool이접근가능. 양쪽 filter 모두수정에대해 lock down 되어있음 Administrator 만이기밀 VLAN 을포함하고있는 Secure Traffic Filter 에 tool 을붙일수있음 기밀데이터를포함하지않은 cleansed traffic filter 로는모두억세스할수있음 -37-
마. IPv6 지원 (default) 1). IPv6 @ Filtering 2). IPv6 @ Load-Balancing -38-
기타 Monitoring Product Hanvit SI / VSS Monitoring -39-
Hanvit SI 구분 Model 동작사양 FT-10G1 1G/10G 1X1 Fiber TAP 1GBase-LX/10GBase-LR or 1GBase-SX/10GBase-SR 소용량 TAP FT-10G2 1G/10G 1X2 Fiber TAP 1GBase-LX/10GBase-LR or 1GBase-SX/10GBase-SR / 2 Monitoring Port Regeneration TAP RT-10G4 RT-10G8 1G/10G 1X4 Fiber Regeneration TAP 1G/10G 1X8 Fiber Regeneration TAP 1GBase-LX/10GBase-LR or 1GBase-SX/10GBase-SR / 4 Monitoring i Port 1GBase-LX/10GBase-LR or 1GBase-SX/10GBase-SR / 8 Monitoring Port MCS-4X24SF 1G/10G Splitter & Aggregator 24 1G SFP / 4 10G SFP+ / Dual Power / Aggregation, Regeneration, Load-Balancing, Filter Aggregator MCS-G24S 1G Splitter & Aggregator 24 1G SFP / Dual Power / Aggregation, Load- Balancing, Filter MCS-G24SA 1G Splitter & Aggregator 24 1G SFP / Dual Power / Aggregation, Load- Balancing Bypass Switch BT-1G 1G Bypass Switch 2 1GBase-LX/SX / 2 Combo (Fiber or Copper) BT-10G 10G Bypass Switch 2 10GBase-LR/SR / 2 XFP -40-
VSS Monitoring 구분 Model 동작사양 V 1.1 C.C-F 10/100/1000 1X1 Copper TAP 10/100/100Base-T 소용량 TAP V 1.2 C.C-F-A 10/100/1000 1X2 Aggregation TAP 10/100/100Base-T / 2 Monitoring Port V 1.1 S.C-J 1G 1X1 Fiber-Copper TAP 2 1G Fiber Network Port and 1 1G Copper Monitoring Port Replicator V 1.4 C.C-F-Span 10/100/1000 / 1X4 Port Replicator 10/100/100Baset-T / / 4 Monitoring Port V 1.4 S.C-JF-Span 1G 1X4 SX-TX Replicator 1 1G Fiber Network Port and 4 10/100/1000Base-T Monitoring Port Aggregation TAP V 1.2 S.C-J-A V 1.2 S.S-J-A 1G 1X2 Fiber-Copper Aggregation TAP 1G 1X2 Fiber Aggregation TAP 2 1G Fiber Network Port and 2 1G Copper Monitoring Port 2 1G Fiber Network Port and 2 1G Fiber Monitoring Port V 8 8 Port Distributed TAP 8 10/100/1000Base-T SPAN Input Port or Monitoring Port / Dual Power / Load-Balancing Distributed TAP V 12.4 12X4 Distributed TAP 12 Network Port, 4 monitoring Port / 10/100/1000Base-T, 1GBase-SX/LX/ZX / Dual Power / Load-Balancing 16 Network Port, 8 monitoring Port / V 16.8 16X8 Distributed TAP 10/100/1000Base-T, 1GBase-SX/LX/ZX / Dual Power / Load-Balancing -41-
Thank You! 문의 : 유진혁차장 Tel.869-7411 Fax.010-3238-0993 hyuk@pit.or.kr -42-