1. Сетевое оборудование ProCurve Networking by HP: безопасность и управление
Сергей Перроте
Менеджер по работе со стратегическими клентами ;
ProCurve Networking by HP, Россия

2. Большой вклад в развитие сетевой истории
ProCurve представляет архитектуру ProVision ASIC
ProCurve отгружает первый Gigabit UTP (1999)
ProCurve завершает разработку
LLDP & LLDP-MED (2005)
ProCurve завершает разработку стандарта 802.1X Port Access Control (1998)
HP представляет Fast IR для мобильных устройств (1994)
ProCurve Networking by HP
HP изобретает сервер печати (print server) (1992)
HP ProCurve Hubs & Switches (с марта 1998 г.)
ProCurve проходит ценовой барьер в $100/порт для коммутаторов 10/100 (1998)
HP начинает отгрузки первого в индустрии сетевого принтера (1990)
ProCurve завершает разработку стандарта 10GbE Copper (2003)
HP демонстрирует прототип физического уровня 10 Гигабит (10Gig physical layer) (1998)
HP AdvanceStack
HP представляет завершённые разработки Gigabit Ethernet physical layer (1996)
HP delivered it’s first networking products in 1972 for it’s HP1000 family of real-time mini-computers. Since then, HP has been an networking innovator and leader.
In 1979 it began building what is now one of the largest and most trafficked TCP/IP intranet in commercial operation. In 1985, building on it’s founding work to create the EIA 41.8 building wiring standard, HP began developing the technology that became the basis for the world’s most installed data network -- 10Base-T. Then HP went on to commercialize 10Base-T in a new low cost form factor called the stackable hub and HP’s first network brand was launched with HP EtherTwist.
At the same time as HP launched 10Base-T, it also launched the world’s first network printer in 1990 and followed it up with the world’s first print servers, called HP JetDirect, in In 1994, HP rolled out a new line of hubs under the new brand of HP AdvanceStack.
Most recently, HP helped launch the Gigabit Ethernet standards effort and contributed the entire physical layer specification to the standards effort in As a result, Gigabit Ethernet became a standard in record time.
Looking forward to even higher speed Ethernet networks, HP demonstrated a 10Gigabit physical layer at N+I in May At that same show, HP introduced its high performance Gigabit Ethernet switches under the new brand of HP ProCurve Hubs and Switches featuring proactive networking. HP broke the $100/port price barrier for 10/100 switches in the summer of 1998.
HP has been there all along and it will be there tomorrow with the commitment and the capability to become a top tier networking provider of Ethernet networks providing total communications in the LAN environment. Today, HP is the fastest growing LAN switch company with the number 5 share position and poised to take the number 4 spot.
HP начинает отгрузки первого в индустрии стекируемого концентратора (1990)
HP EtherTwist
HP изобретает технологию 10Base-T ( )
HP запускает одну из первых в мире сетей Интранет, используя TCP/IP (1979)
Основана штаб-квартира ProCurve в г.Розвиль, Калифорния, США (1979)
HP представляет работу мини-компьютеров в сети: mini-computer networking (1972)

3. Предоставляем выбор через Стандарты
ProCurve (открытые)
Патентованные
Маршрутизация
RIP/OSPF
EIGRP
Коммутация
802.1s
PVST+
VLANs
802.1Q
ISL
Аггрегирование портов
802.3ad (LACP)
FEC
Обнаружение устройств
802.1AB (LLDP)
LLDP-MED
CDP
PDA - Phone Discovery Algorithm
Питание через Ethernet
802.3af
Cisco PoE
Роуминг
802.11(fast roaming)
WLCPP
Безопасность
802.1X
LEAP
Целостность клиента (Client Access Integrity)
Trusted Network Connect (TNC/TCG)
Cisco NAC
Беспроводные
802.11i
Cisco Compatible Extensions (CCX)

4. Знакомая эволюция … Centraled Distributed Client/Server Computing
Distributed Computing
Mainframe Computing
Centraled
Distributed No
Intelligence
Traditional Core 1
Hybrid Network
Essential Intelligence
Intelligence 2
Next Gen Network
Optimal
Intelligence
Fabric 3
This is not unfamiliar territory, in fact, a very similar evolution was experienced by the computing industry beginning some 25 years ago.
Originally, centralized computing ruled the computing world similar to today’s “traditional core” networking architectures. Mini-computers and servers gradually moved intelligence and functionality out closer to the end-user -- similar to what we will describe in this presentation as a “hybrid” network design. And finally, the advent of distributed computing (PC) moved nearly all of the computing power, intelligence and functionality closer to the individual’s desktop, similar to the Intelligent Edge of the network design.
Anecdotally, in the late 70’s, computer industry pioneer Ken Olsen (founder of Digital Equipment Corporation) was famously noted as commenting “there’s no reason for any individual to have a computer in his home.” History proved to show that Mr. Olsen, though a visionary in his own right, failed to see the evolution from server computing to PCs (distributed computing) and as a result, Digital struggled to maintain the mini-computer/server philosophy while others who embraced the move to distributed computing were *much* more successful.
Smart Provisioning - ProCurve Adaptive EDGE Architecture

5. Сети сосредоточенные на ядре
Каждый коммутатор добавленный на границе увеличивает загрузку «принятием решений» на ядре – вынужденное наращивание мощности
Цена/производительность для коммутатров ядра не линейная – дорогая и неизбежная модернизация
Многие решаемые задачи НЕ МОГУТ перепоручаться ядру – не отвечает требованиям критичным ко времени приложений

6. Adaptive EDGE сети
Каждый EDGE-коммутатор добавляет частицу “принятия решений” – линейное масштабирование и соответствие критичным ко времени приложениям
EDGE-коммутаторы границы сети основаны на стандартизованых компонентах – недорогое расширение
Коммутаторы ядра становятся проще (layer 2) и отвечают только за гарантию полосы пропускания и управление – снижение цены и сложности

7. Создаём «умную» границу сети сегодня Да, но какой ценой?
В своих решениях, конкуренты пытаются перепаковать коммутаторы для Ядра сети и поместить их в серверную комнату или этажный коммуникационный шкаф
Сегодня конкуренты пытаются продавать коммутаторы для Ядра сети как граничные коммутаторы, чтобы удовлетворить потребность в интеллектуальных коммутаторах на границе
Потребителям требуется экономичное по цене решение для построения интеллектуальной и управляемой границы сети!
The Adaptive EDGE Architecture was created to provide unparalleled support of the nearly limitless applications that will be deployed on Ethernet networks in the foreseeable future. Both today’s and tomorrow’s key business application areas are addressed by the Adaptive EDGE Architecture and the HP ProCurve Networking family of products and services today at an affordable price.
The competition also may position their products at the edge, but at what price to the customer.
Only HP ProCurve Networking has engineered an intelligent edge solution from the ground up that every enterprise can afford today!
Только HP ProCurve Networking разработал интеллектуальное решение для границы сети «с нуля», и корпоративные клиенты могут его позволить себе сегодня!

8. The ProVision ASIC The Next Step in ProCurve Technology
2005
2004
2006
2003
2002
2001
2000
1999
1998
1997
1996
L3/L4 Flows
Programmable
Hard coded L2
Data Path
76.8 Gbps
3.8 Gbps
120 Mbps
Throughput
5300
4000
2000
Product Family
24 10/100
4 1GbE & 16 1GbE
2.5 Million
272
0.25μ
3th
8 10/100
1 GbE ?
105
0.35μ
2th
4 10
1 10/100
? μ
1st
Ports
Gates
Die Size (mm2)
Process
ASIC Specs
ACLs/IPv6/BMP
L3/L4 Flows
Programmable
Hard coded L2
Data Path
691 Gbps
76.8 Gbps
3.8 Gbps
120 Mbps
Throughput
5400/3500
5300
4000
2000
Product Family
24 10/100
4 1GbE & 16 1GbE
2.5 Million
272
0.25μ
3th
8 10/100
1 GbE ?
105
0.35μ
2th
4 10
1 10/100
? μ
1st
24 10/100/1000
4 10 GbE
Ports
6 Million
273
0.13μ
4th
Gates
Die Size (mm2)
Process
ASIC Specs
Hard coded L2
Data Path
1 Gbps
Throughput
2000
Product Family
4 10
1 10/100
0.08 Million 88
0.5μ
1st
Ports
Gates
Die Size (mm2)
Process
ASIC Specs
Switch
On-a-Chip
Programmable
Hard coded L2
Data Path
3.8 Gbps
120 Mbps
Throughput
4000
2000
Product Family
8 10/100
1 GbE
0.4 Million
105
0.35μ
2th
4 10
1 10/100 ?
? μ
1st
Ports
Gates
Die Size (mm2)
Process
ASIC Specs
HP has been in the networking business for much of it’s history as a company.
It has a long list of networking innovations to it’s credit.
Perhaps the most significant was the invention and standardization of Ethernet on unshielded twisted pair (UTP) that became 10Base-T.
More than any other evolution of Ethernet, 10Base-T made possible the ultimate domination of Ethernet as the networking technology for LANs.
Since the first 10Base-T products began shipping in early 1990, Ethernet has “rolled over” Arcnet, Token Ring, FDDI, and ATM. There are no challengers today or for the foreseeable future.
While HP was was not the first player to the market, it has produced a remarkable line of switching innovations that have served customers well. These efforts have moved HP back into position to challenge industry networking leaders.
Recently, we showed a growth of 50% in port shipments comparing Q3’01 with Q3’02.
In layer 3 ports, a key indicator of the success of our control to the edge strategy for security, convergence and mobility, we saw a growth of 165% from Q2’02 to Q3’02 thanks to the incredible success and acceptance of the new 5300 series switches.

9. Inside the ProVision ASIC
Gig-ASIC
24 GbE ports per chip
28.8 Gbps Interface to fabric ASIC
Management CPU interface
Embedded MACs, classifier, various memory, packet processors
10Gig-ASIC
4 10-GbE ports per chip
Architecture layout of a ProCurve 5406zl Switch
Fabric ASIC
Multi-stage capable cross-bar switching fabric
Interface connections to management CPU, Gig-ASIC and 10Gig-ASIC

10. ProVision ASIC Cisco 4506 vs ProVision 48 port 10/100/1000
The 5400 Architecture brings a number of advanced capabilities to your network. The third major area is built-in ASIC resiliency.
ProVision hardware integration – Many functions required in a switch have been implemented in the single ASIC on the module. What takes a number of chips in competitors’ products is achieved in a single ProVision ASIC. This keeps the part count down, raising overall reliability of the module. The modules are also smaller, allowing higher port density. The high level of integration also allows more capability at a lower cost. With intelligence based on the ProVision ASIC costing less, pervasive intelligence is possible. The AEA vision, which requires pervasive intelligence at the Edge, is made affordable through the integrated intelligent switch capabilities of the ASIC.
Another reliability feature built into the ASIC is error detection memory. Any errors found in the ASIC memory can be corrected, adding to reliability. As technology allows the ASIC capabilities to increase dramatically through smaller size, the number of random errors increases. This error correction keeps the routing tables, policy enforcement information and other critical information accurate, with a higher reliability for the overall network.
Traffic sent across the switch backplane uses a protocol to make sure that packets are not lost. High reliability.
Eight hardware queues for the main switch processor keep denial of service attacks from affecting the switch, but still let critical network management traffic through. The outcome of these features, as well as others designed into the ASIC, is a highly reliable, well-engineered, robust chassis data environment that leads to increased network uptime, keeping overall network costs down.

11. ProCurve Networking Edge Devices—LAN Intelligent Edge Switches
ProCurve Switch 5406zl (J8697A)
ProCurve Switch 5406zl-48G (J8699A)
ProCurve Switch 5412zl (J8698A)
ProCurve Switch 5412zl-96G (J8700A)
ProCurve Switch
3500yl-24G-PWR* (J8692A)
ProCurve Switch
3500yl-48G-PWR* (J8693A)
ProCurve Switch 5304xl (J4850A)
ProCurve Switch
5304xl-32G (J8166A)
ProCurve Switch
5348xl (J4849B)
ProCurve Switch 5308xl (J4819A)
ProCurve Switch 5308xl-48G (J8167A)
ProCurve Switch
5372xl (J4848B)
ProCurve Switch 3400cl-24G (J4905A)
ProCurve Switch 3400cl-48G (J4906A)
*Power over Ethernet
Edge Switches—Managed
ProCurve Switch 4202vl-48G (J8771A)
ProCurve Switch 4202vl-72 (J8772A)
ProCurve Switch 4204vl (J8770A)
ProCurve Switch 4208vl (J8773A)
ProCurve Switch
4208vl-64G (J8774A)
ProCurve Switch
4208vl-96 (J8775A)
ProCurve Switch 4104gl (J4887A)
ProCurve Switch 4140gl (J8151A)
ProCurve Switch 4148gl (J4888A)
ProCurve Switch 4108gl (J4865A)
ProCurve Switch 4160gl (J8152A)
ProCurve Switch 4108gl Bundle (J4861A)
NEW
NEW
ProCurve Switch 2824 (J4903A)
ProCurve Switch 2848 (J4904A)
ProCurve Switch G (J9021A)
ProCurve Switch G (J9022A)
ProCurve Switch 2626 (J4900B)
ProCurve Switch PWR* (J8164A)
ProCurve Switch 2650 (J4899B)
NEW
ProCurve Switch PWR* (J8165A)
ProCurve Switch PWR* (J8762A)
ProCurve Switch (J9019A)
ProCurve Switch 2512 (J4812A)
ProCurve Switch 2524 (J4813A)
*Power over Ethernet
Edge Switches—Web Managed
NEW
NEW
ProCurve Switch G (J9029A)
ProCurve Switch G (J9028A)

12. ProCurve Networking Edge Devices—LAN (continued) Edge Devices—WAN
Edge Switches—Unmanaged
ProCurve Switch 2708 (J4898A)
ProCurve Switch 2724 (J4897A)
ProCurve Switch 2312 (J4817A)
ProCurve Switch 2324 (J4818A)
ProCurve Switch 2124 (J4868A)
ProCurve Switch 408 (J4097B)
Edge Devices—WAN
ProCurve Secure Router 7102dl (J8752A)
ProCurve Secure Router 7203dl (J8753A)
Inter-connect Switches
Traditional Core Switches
ProCurve Routing Switch 9408sl (J8680A)
ProCurve Routing Switch 9304m (J4139A)
ProCurve Routing Switch 9308m (J4138A)
ProCurve Routing Switch 9315m (J4874A)
Interconnect Fabric Switches
ProCurve Routing Switch 8108fl (J8727A)
ProCurve Routing Switch 8116fl (J8728A)
Aggregators
ProCurve Switch 6400cl (J8433A)
ProCurve Switch 6410cl (J8474A)
ProCurve Switch 6200yl-24G-mGBIC (J8992A)
ProCurve Switch 6108 (J4902A)

13. ProCurve Networking Network Management Software ProCurve Manager 2.1
ProCurve Manager Plus 2.1 (J8778A, J9009A, J8991A, J8779A)
ProCurve Identity Driven Manager 2.0 (J9012A, J9013A, J9014A)
ProCurve Mobility Manager 1.0 (J8990A)

14. ProCurve Networking Edge Devices— Wireless LAN Wireless Edge Services
ProCurve Wireless Edge Services xl Module (J9001A)
ProCurve Redundant Wireless Services xl Module (J9003A) 
ProCurve Radio Port 210 (J9004A)
ProCurve Radio Port 220 (J9005A)
ProCurve Radio Port 230 (J9006A)
Secure Access
NEW
ProCurve Switch xl Access Controller Module (J8162A)
ProCurve Access Control Server 745wl (J9038A)
Access Points
ProCurve Wireless Access Point 420 (J8130A/J8131A)
ProCurve Wireless Access Point 530 (J8986A/J8987A)

15. Аналогия: безопасность при авиаперелётах
Аналогия: безопасность при авиаперелётах
Проверка
личности
Сканирование на соответствие
Контроль
Доступа
Мониторинг поведения
Изолирование подозритель-ных субъектов
Pilot Co-Pilot
GATE 37

16. ПроАктивная защита ProCurve для сетевой инфраструктуры
Контроль доступа
Защита инфраструктуры
Pilot Co-Pilot
GATE 37
Оценить
Личность пользователя
Оценить целостность клиента
Динамически применить тэги VLAN, ACL основываясь на политиках
- Enable mitigation
Мониторинг поведения сети
- Алерты
- Аномалии
- специфические виды трафика
Автоматически ответить на угрозы основываясь на политиках
- Карантин

17. Аутентификация на основе 802.1x для проводных и беспроводных клиентов
Анализатор статистики sFlow
LDAP сервер
Microsoft Active Directory
Novell eDirectory
OpenLDAP
Коллектор sFlow
RADIUS сервер
Microsoft Internet Authentication Server
Funk Steel-Belted RADIUS
FreeRADIUS
Сервер аутентификации
БД сотрудников
LDAP request
802.1x Authentication request
LDAP request
Ключевые технологии:
IEEE 802.1x Port Security
RADIUS сервер
сервер LDAP
Multi-host 802.1x
Mac Lockdown
Интернет Интранет
ЦОД
802.1x Port Security
порты закрыты и не пропускают трафик
ProCurve 5300xl
Точка доступа
802.1x Connection request
Точка доступа
Wired PC
Wired PC
Wireless PC
Wireless PDA
Wireless PC
Wireless PC
Клиент B
Windows 2000 SP2
Клиент А
Windows XP

18. Аутентификация на основе 802.1x для проводных и беспроводных клиентов
Анализатор статистики sFlow
LDAP сервер
Microsoft Active Directory
Novell eDirectory
OpenLDAP
Коллектор sFlow
RADIUS сервер
Microsoft Internet Authentication Server
Funk Steel-Belted RADIUS
FreeRADIUS
Сервер аутентификации
БД сотрудников
LDAP response
LDAP response
802.1x Authentication response (Port Open/Close)
Ключевые технологии:
IEEE 802.1x Port Security
RADIUS сервер
сервер LDAP
Multi-host 802.1x
Mac Lockdown
Интернет Интранет
ЦОД
802.1x Port Security
открывается порт для Клиента A
ProCurve 5300xl
Точка доступа
802.1x Connection response (Port Open/Close)
Точка доступа
Wired PC
Wired PC
Wireless PC
Wireless PDA
Wireless PC
Wireless PC
Клиент B
Windows 2000 SP2
Клиент А
Windows XP

19. Промышленный стандарт для мониторинга траффика в сложных, многоуровневых сетях с коммутацией и маршрутизацией
Интранет
sFlow
Централизо-ванное
Управление
Ядро
Дистрибуция
Уровень
доступа
ЦОД
Интернет
Измерения доступны на каждом порту, всё время = сеть видна целиком и «прозрачна»
Эффективный контроль позволяет достигнуть высокой производительности сети и повысить надёжность работы

20. Коллектор и анализатор sFlow
Коммутатор / Маршрутизатор
sFlow Datagram
forwarding tables
Агент sFlow
packet header
src/dst i/f
sampling parms
forwarding
user ID
URL
i/f counters
eg 128B
rate
pool
src 802.1p/Q
dst 802.1p/Q
next hop
src/dst mask
AS path
communities
localPref
src/dst
Radius
TACACS
interface counters
Switching
ASIC
1 in N sampling
Коллектор и анализатор sFlow

21. Коллектор / Анализатор sFlow
«Прозрачная сеть» с с данными на каждом порту коммутатора, поступающими всё время
sFlow
Коллектор / Анализатор sFlow
sFlow
sFlow
sFlow
Всегда доступные, поступающие в реальном времени измерения с каждого порта пересылаются в коллектор sFlow, и формируют централизованную, «прозрачную» картину сети.
Решения по контролю сети позволяют достигнуть высокой производительности и высокой надёжности всей сетевой инфраструктуры.
sFlow
Сервер
Wired PC
Wired PC
Сервер
Wired PC

22. Определение различных угроз и контроль производительности и надёжности сети
Идентификация угроз безопасности
Подозрительное и аномальное поведение
Вторжения в сеть
Нарушение политик (Policy violation)
Неавторизованный траффик
Попытки сканирования
Атаки типа «Отказ в обслуживании» (DoS)
ARP-штормы
Обеспечение качества обслуживания (QoS) в сетях VoIP и мультисервисных сетях (converged networks)
Определение проблем с сетью (network troubleshooting) и проблем с приложениями
Почему моя сеть такая медленная?
Учёт траффика (аккаунтинг) и выставление детализированных счетов, для «пристыжения» пользователей за использование сети не по назначению
Оптимизация маршрутов BGP
Управление широковещательным траффиком (multicast traffic)
Анализирование трендов в использовании сети, для дальнейшего планирования развития сети

23. Межсетевой экран, IDS являются необходимыми для защиты периметра сети, но…
Не установлены правила для атак типа «Day Zero»
Не заблокирован доступ к эл.почте, веб, получение плагинов
Небезопасный или неавторизованный доступ к беспроводной сети
Инфицированные компьютеры, принесённые извне
Неавторизованный доступ к серверам
Сервер
Сервер
Сервер
Защита периметра может быть нарушена или «прорвана».
Нельзя полагаться на целостность защиты периметра или доступ ко всем хостам

24. Определение внутренних угроз и контроль безопасности с sFlow
Опционально:
модуль проактивного управления
система учёта и тарификации трафика
модуль обнаружения вторжений
Непрерывный, постоянный мониторинг всей сети с sFlow позволяет немедленно определить аномальное поведение и внутренние угрозы

25. Мощнейшее решение самой острой и наболевшей проблемы всех CIO и системных администраторов в мире: Больше защиты, обнаружения и мгновенное реагирование с интегрированным решением Virus Throttling
Note to speaker: This is a transition slide and should be used to set up the Virus Throttling section. Key messages are:
Invented and patented by HP labs, this product stops “day zero” threats
Virus Throttling is built in, not bolted on to the network infrastructure – no client software required
Available as a free update, it is easy to deploy widely
**************
Now we will shift gears to discuss an exciting new technology for mitigating network attacks.
As CPU speeds increase, bandwidth grows, networks become more business critical and clients become more mobile, computer virus epidemics are only getting worse. It is estimated that more than 97,000 viruses, worms and Trojan horses directly threaten computer users as new malicious agents are developed and propagated each day.
Companies need new and improved ways to contain and mitigate these threats before they wreak havoc on their networks and cost incalculable sums in lost productivity.
At RSA 2005, ProCurve Networking by HP will announce a integrated Virus Throttling.
Больше защиты в локальной сети (LAN)

26. ProCurve 5300xl Software Release 3 The Virus Problem …
05:29 Jan 25 – 0 infected
Антивирусные программы служат для защиты от вирусов
Это помогает, но они не могут опознать “day zero” угрозы
Day zero, вирусы типа «червь» размножаются очень быстро и наносят массу вреда
Множество инфицированных компьютеров
Перегрузка и блокировка сети
Примеры вирусов
SQLSlammer
Sasser
06:00 Jan 25 – infected
************
The most common method of protecting a network is to implement anti-virus software on each individual client. These solutions utilize signature recognition to identify the physical characteristics of a documented virus and, once recognized, prevent it from entering the network.
Unfortunately, these tools are fundamentally reactive and only effective when dealing with known viruses. They are not able to recognize or stop new threats that sprout daily.
Furthermore, reacting to unknown threats at “human speed” is simply not enough. In 2003, the SQL Slammer worm infected nearly 75,000 computers in 31 minutes and caused major network disruptions worldwide.

27. ProCurve 5300xl Software Release 3 Network Integrated Virus Throttling
Обнаружение основано только на поведении сети для защиты от вирусов – против новых и неидентифицированных угроз – day zero
Предотвращает распространение вируса немедленно – «удушение» трафика на источнике
Занесение записи в журнал событий и предупреждающего SNMP trap-а на ProCurve Manager Plus для информирования IT для принятия дальнейших мер
Существует как бесплатное обновление микропрограммы, прост для повсеместного внедрения, защищая сеть от распространения вирусов
Изобретено и запатентовано в Лаборатории HP ProCurve Labs и реализовано для коммутаторов 5300xl by ProCurve Networking как элемент нашего портфолио по безопасности
Key takeaway: Virus Throttling (worm containment) is built in, not bolted on for a more resilient network infrastructure with no client software required.
************
Included in a software release for the ProCurve Switch 5300xl Series, connection-rate filtering based on virus-throttling technology is a new, HP-developed solution that addresses today’s security concerns.
Unlike anti-virus software that is only effective in stopping known viruses, Virus Throttling technology can contain and mitigate attacks from unknown threats.
Utilizing Virus Throttling in conjunction with anti-virus software, companies can realize a truly resilient infrastructure. It is particularly effective in protecting a network from worms.
Unlike viruses that are embedded in s and need to be opened to execute, worms are a growing problem that utilize the network to spread. Virus Throttling technology effectively stops worms in their tracks.
Virus Throttling from ProCurve is a brand new security concept that is not client-based. In fact, it is the first real-time security feature to be integrated into a network fabric. The technology is patented by HP and uniquely ProCurve.

28. ProCurve интегрированный Virus Throttling КАК это работает
Вирус распространяется от зараженной машины быстро контактируя с другими машинами (SQLSlammer: >800/sec)
Здоровые машины подключаются к меньшему количеству машин и значительно реже (1/sec)
Решение: ограничитель частоты на контакты с другими машинами
Как только червь попытается распространиться, 5300 обнаружит аномальное поведение
«Удушение» трафика от инфицированной машины на границы VLAN позволяет значительно замедлить распространение вируса… или …
Предотвращение маршрутизации всего трафика от инфицированной машины на другие части сети
************
Virus-throttling is unique in that it identifies the behavioral characteristics of a network under attack (i.e. the number of connections a computer is attempting to make per second) instead of the physical characteristics of a known virus (i.e. program code).
Computers typically attempt to connect with one or two other computers or network elements per second. Conversely, computers infected with worms attempt numerous connections each second to spread. For example, computers infected with SQL Slammer attempted 800 connections per second.
Whenever computers are trying to make an abnormally large amount of connections in a short amount of time (definable by IT management), ProCurve switches with Virus Throttling technology will automatically block the activity and send an alert.
In recognizing network behavior instead of program code, they are able to automatically detect, hamper, contain and mitigate attacks by previously unknown threats in “machine time,” giving IT professionals the time necessary to implement a response in “human time.”
Virus
ProCurve
5300xl Switch
Virus
Throttling Built In
Immediate machine speed response limits spread of virus until human action can be taken
Anomalous behavior detection

29. HP ProCurve Networking Управление сетью

30. HP ProCurve Manager
Автораспознавание устройств
Конфигурирование и управление оборудованием
Модульная архитектура для будущего расширения
Понятный интерфейс в стиле Windows-Explorer («Проводник»)
Сбор данных и уведомление о возможных отказах
Поддержка неограниченного количества устройств
Построение карт и сетевых топологий
LLDP (802.1ab) discovery
Автоматическая регистрация продуктов ProCurve через web
Цена: $0 (идет в комплекте с каждым управляемым коммутатором. Также доступна на веб-сайте:
HP ProCurve Manager is included in-box with all manageable HP ProCurve devices. It provides mapping and polling capabilities, device auto-discovery and topology, device configuration and management, and troubleshooting data and alerts for your HP ProCurve network.
Network status summary: Upon boot-up, a Network Status screen displays high-level information on network devices, end nodes, events, and traffic levels. From here, the user can research any one of these areas to get more details.
Alerts and troubleshooting: An Events Summary screen displays alerts to the user and categorizes them by severity, making it easier to track where bottlenecks and issues exist in the network. Alerts present detailed information on the problem, even down to the specific port.
Automatic device discovery: This feature is customized for fast discovery of all HP ProCurve manageable network devices. The user can define which IP subnets to discover.
Topology and mapping: This feature automatically creates a map of discovered network devices. Maps are color-coded to reflect device status and can be viewed at multiple levels (physical view, subnet view, or VLAN view).

31. HP ProCurve Manager Plus
Гибкое управление политиками в группах, быстрое конфигурирование новых устройств
Расширенные функции по управлению безопасностью сети
Управление конфигурацией группы устройств, загрузка готовых профилей
Создание и конфигурирование VLAN
Более детальный мониторинг и анализ трафика (XRMON, sFlow)
Обновление микропрограммы (автоматически или по желанию)
Бесплатная 30-дневная trial-версия идет в комплекте с HP ProCurve Manager.
List Price PCM+ 1.6: $ 2920
HP ProCurve Manager Plus fulfills the need for a robust, low-cost, and easy-to-use network management tool for customers to manage their HP ProCurve network devices.
HP ProCurve Manager Plus is a complete, Windows-based network management solution that provides both basic and advanced management features for HP ProCurve devices, including features such as automated software updates, group and policy management, VLAN management across the network, and in-depth traffic monitoring.
Device management: Many device-focused tasks can be performed directly by the software, or the user can access Web and command-line interfaces with the click of a button to manage individual devices from inside the tool.
All of the features of HP ProCurve Manager
In-depth traffic analysis: An integrated, low-overhead traffic monitor interface shows detailed information on traffic throughout the network. Using enhanced traffic analysis protocols such as Extended RMON and sFlow, the user can monitor overall traffic levels, segments with the highest traffic, or even the top users within a network segment.
Group and policy management: The user can create device groups and set group policies for managing those devices. Predetermined configurations can be automatically applied to new devices that have just been added to the network.
Easier configuration management: Changes in configuration are tracked and logged, and archived configurations can be applied to one or many devices. Configurations can be compared over time or between two devices, with the differences highlighted for the user.
Advanced VLAN management: A new, easy-to-use VLAN management interface allows the user to create and assign VLANs across the entire network, without having to access each network device individually.
Device software updates: This feature automatically obtains new device software images from HP and updates devices, allowing the user to download the latest version or choose the desired version. Updates can be scheduled easily across large groups of devices, all at user-specified times.
Investment protection: The modular software architecture of HP ProCurve Manager Plus will allow HP to offer network administrators add-on software solutions that complement their needs.
PCM+ - это усовершенствованный инструмент сетевого управления на базе Windows, который предоставляет администраторам возможность простого конфигурирования, обновления, мониторинга и устранения неисправностей на устройствах ProCurve. Программное обеспечение может использоваться самостоятельно или интегрироваться с OpenView NNM. Если при установке была выбрана опция интеграции с NNM, то функции обнаружения, отображения топологии и управления событиями будут выполнятся NNM, в то время как настройка, обновление микропрограммного обеспечения и мониторинг трафика будут выполнятся с помощью PCM+. Это позволяет администраторам контролировать сети многих производителей и одновременно конфигурировать отдельные функции управления сетями ProCurve. Функции PCM+ могут расширяться за счёт дополнительной интеграции подключаемых модулей, например, Identity Driven Manager, что предоставляет дополнительные возможности для повышения мобильности, безопасности и конвергенции

32. IDM 2.0 - Identity Driven Management
- унификация границы сети (wire, wireless, WAN)
- управление ресурсами и политиками, нежели устройствами
- фокус на безопасность и интеграцию существующих приложений
- сеть адаптируется под приложения и/или бизнес потребности
Access Request Evaluation
Access Policy Selection
Access Rights Enforcement
Пользователь
Сетевые
ресурсы

33. Identity Driven Manager 2.0
New
Динамическая установка параметров безопасности, доступа и производительности на основании пользователя, местоположения, времени, и теперь статуса «целостности» клиента
Простое создание и управление группами пользовательских правил (политик доступа) для оптимизации производительности сети и повышения продуктивности пользователей, а также повышения общей эффективности (соответствующий доступ каждому)
На основании прописанных правил будут установлены параметры сети для обеспечения желаемой функциональности
Go to slide view to see animation and previous vs. new features of IDM.
Two key new features in IDM 2.0 are user-based ACLs and Client Integrity Status.
ACLs: ACLs in IDM 2.0 are dynamically written on the switch that a user connects to based on any or all of five criteria – user ID, device ID, time, location, and now client integrity status. Access Controls Lists are filters on users enforced at the port or AP that allows or denies access to protocols, destination IP addresses, or destination TCP/UDP ports. The addresses (TCP/UDP or IP) may also be specified in ranges as well as individual addresses.
Client Integrity Status: New in this release IDM can now integrate with 3rd party client integrity checking software (such as Sygate, Zonelabs, etc.) to make certain that users don’t have sub-standard security settings. IDM receives and indicator from client system's security agents (3rd parties) of the state of health of that client. These 3rd party clients will do the integrity checking and will report it to IDM in the standard RADIUS data stream. When IDM sees the client status indicator, it can send a ‘dirty’ client to a remediation VLAN or server.
Each user can be placed in an access policy group (APG) by the administrator. When a user is authenticated, IDM looks at the rules for the user’s access policy group. The rules are based on device ID, time, location and client integrity status. When a rule match is found then an associated ‘Access Profile’ is invoked that sets a policy on the user’s port that can include VLANs, bandwidth limitations, QoS and now ACLs.
Установка
значений =>
New
Bandwidth
Limit
VLAN
QoS
ACLs
New
Client
Integrity
Status
User ID
Device ID
На основании =>
Time
Location

34. Identity Driven Per-Port ACL
New
Предприятие
Каждый в сети может пользоваться общими приложениями 3 2
Наделяет сеть более детализированными и гибкими правилами безопасности доступа
Методы аутентификации 802.1X, Web, MAC
Позволяет всем быть подключенным к общему коммутатору разрешая доступ к общим сетевым ресурсам, в тоже время ограничивая доступ к закрытой информации на определенных портах
Правило может применяться индивидуально для каждого порта на базе IP адресов хоста, подсети IP, приложения (номера TCP/UDP портов), или типа протокола IP
Работает в режимах коммутации и маршрутизации
Только для бухгалтерии открыт доступ к финансовой системе (Сервер A)
Пользователь подключается к сети используя 802.1X, web, или MAC аутентификацию 1
Бухгалтер
Сервер A
The key point here is that “identity driven, per-port ACLs” are Access Control Lists that are dynamically applied to individual switch ports based on the identity profile of the given user vs the standard or static ACLs which are hard-coded into the switch and don’t change.
PCM+ and IDM
Инженер
Временный
рабочий 4
IDM конфигурирует коммутатор блокировать доступ к серверу А всем кроме сотрудников бухгалтерии

35. Применение Client Integrity User Experience
Зараженные компьютеры получат права доступа к серверу «восстановления»
Системный
администратор
1. Формирует группы политик доступа и назначает права и профили доступа:
Установка правил
Время
Местоположение
ID устройства
Статус целостности клиента
Для активации каждого профиля полиси
ACL
VLAN
QoS
Ограничение BW
2. Помещает пользователей в положенную ему группу политик доступа
New
Конференц-зал
Интернет
Гость
Доступ только в Интернет на скорости 2М
Доступ в Интернет и к корп. серверам
Edge
Switch
Сервер
политик
доступа
Сотрудник
LAN
предприятия
Доступ только к Антивирусному серверу
Сотрудник с
зараженным PC
Go to slide view to see the animation
This slide shows how client integrity checking works in then context of normal IDM operation as described below:
The network administrator decides the groups into which users are classified, most likely based on the user’s role in the company
Each access policy group (APG) has a set of rules that establish time, location, device ID, and client integrity status states that a user can satisfy at login. When the rule is matched by login criteria then the access profile is executed.
When a rule match is found then an associated ‘Access Profile’ is invoked that sets a policy on the user’s port that can include ACL’s, VLANs, QoS and Bandwidth limitations.
ACL’s and client integrity are new.
Guests and employees get access to their appropriate resources provided their client status is OK.
In the example, you can see that the non-compliant employee is sent to a remediation server (either with an ACL or VLAN policy) to get their client back to an acceptable status. When clean then they get access again to the normal employee resources.
Корпоративный
Сервер
Антивирусный Сервер
для восстановления
Конференц-зал

36. ProCurve Mobility Manager 1
ProCurve Mobility Manager 1.0 (PMM) Расширение возможностей централизованного управления
Простые, высокопроизводительные средства для управления беспроводными локальными сетями ProCurve
В сочетании с PCM Plus образует экономичное решение для унифицированного управления сетью
Приложение ProCurve Mobility Manager 1.0 представляет собой следующий шаг в развитии архитектуры мобильной связи ProCurve.
Цель управления заключается в обеспечении единообразного обслуживания проводных и беспроводных границ сети, но в действительности существуют такие атрибуты мира беспроводной связи (например, управление радиочастотами), которых просто нет в пространстве проводной сети. Исходя из этого, мы разработали приложение ProCurve Mobility Manager.
ProCurve Mobility Manager 1.0, дополнительный модуль для системы PCM Plus 2.0, представляет собой приложение, которое предназначается для решения основных организационных и технических проблем, встающих перед руководителем отдела ИТ при развертывании беспроводной локальной сети ProCurve.
Предложение ProCurve не имеет себе аналогов в отрасли: система ProCurve Manager Plus в сочетании с дополнительным модулем ProCurve Mobility Manager образует единую платформу управления, которая обеспечивает возможность бесшовного, унифицированного управления проводными и беспроводными сегментами сети.
Краткий перечень основных возможностей:
Снижение уровня угроз безопасности
Обнаружение незарегистрированных устройств
Централизованное применение параметров защиты
Автоматическая проверка конфигурации
Вывод сводной информации о предупреждениях системы
Улучшенная управляемость, особенно пространств радиочастот
Групповое конфигурирование и обновление микропрограмм
Настраиваемые экраны быстрого просмотра для поиска и устранения неисправностей
Вывод информации о состоянии сети на одном экране
Повышение производительности сети
Изоляция групп каналов
Вывод информации о связях клиентских машин
Удобное представление информации о конфликтах каналов и мощности
Повышение эффективности работы и низкий уровень затрат на содержание
Одна станция для управления всей сетью
Полная совместимость и возможность интеграции с системой HP OpenView
Экономичное, единое решение, которое требует значительно меньшего размера капиталовложений по сравнению с разрозненными инструментальными средствами конкурентов
Прирожденная простота и удобство эксплуатации
Возможность оценки (30 дней бесплатно) перед покупкой
Начало продаж: декабрь 2005 г.
Цена в России 1752 долл. США

37. ProCurve Mobility Manager 1.0
Сценарий для заказчика Применение и использование возможностей Deployment Assistance
Back Office
Подготовка объекта (определение мест для AP, установка мощности радиосигнала и др.) и установка
IT Manager создает конфигурационные шаблоны в PCM используя любые параметры настроек: установки безопасности (ключи WEP, WPA), dhcp ip lookup, SSIDs, и др.
PCM автоматически обнаруживает точки доступа, назначает их группе «Этаж1», применяет конфигурационные настройки, обновляет ПО (если нужно), активирует радиопередатчики, активирует механизм ACS (автоматический выбор частоты)
IT Manager
PCM глобально анализирует результаты ACS и прописывает значения каналов в конфигурацию точек доступа.
ProCurve Mobility Manager 1.0
Channel 1
Этаж1
The following slide is best viewed in slide show mode with the animation. This slide walks through a common scenario for WLAN deployments, and highlights how PMM1.0 helps the IT manager during the process of deploying a WLAN.
The IT manager either commissions a wireless site survey (recommended) or performs one in-house utilizing one of several competent tools in the marketplace. The results of the site survey dictate how many access points to deploy, where to deploy them, and suggested transmit power settings, among other parameters.
The IT manager then uses PCM/PMM 1.0 to construct a common configuration template for the new group of APs, setting desired configuration parameters, including security settings like WEP and WPA keys, which DHCP server to lookup an IP addresses, SSIDS, etc.
The IT manager then attaches the APs to the LAN, and PCM automatically discovers them. Based on the direction of the IT manager, PMM assigns them to a pre-determined group (“Floor1”), applies the configuration template, enables the radios and the AP’s auto-channel selection feature. (Note: This can all be done immediately, or scheduled as an event within PCM to occur at another time more convenient.)
Once auto-channel selection “settles out” and the APs have found channels that do not overlap with neighboring APs, PCM/PMM1.0 will globally lock down the channel setting for the group, and write the new channel to the individual APs, all in a single step.
2.1.0
Config4.2
420
420
420
Channel 6
420
420
Channel 11
420
Note: Site survey and visualization not provided by ProCurve Mobility Manager 1.0
План этажа офиса

38. Сценарий для заказчика Расширение беспроводной сети
Сценарий для заказчика Расширение беспроводной сети
Добавились новые сотрудники, установлены дополнительные точки доступа для покрытия требуемых зон
Back Office
PCM обнаружил новые AP, назначил их существующей группе, применил желаемые настройки и обновил ПО
PCM глобально ре-активировала ACS для всей группы
IT Manager
PCM глобально провела ACS, зафиксировала выбранные каналы и прописала их значения в конфигурации точек доступа
ProCurve Mobility Manager 1.0
Channel 1
In a dynamic workplace, change occurs constantly. PMM can help a network administrator to deal with a change to the network environment.
In this example, it is 6 months after the initial WLAN deployment detailed on the last slide and another 10 employees are added to the team. They are assigned to an area of the office that was not covered by the original installation so an AP is added to provide them with full wireless coverage.
As with the previous example PCM+/PMM associates the new AP to the pre-defined “Floor1” group.
Once the new AP is associated to the group, the configuration template is used to make certain that it is consistent with other APs and its software is updated to the latest revision.
Once again, ACS is globally enabled on all APs in the group and once they settle on optimal channels, PMM will turn off ACS, and lock down their channels again so that all the AP’s for the floor are transmitting on the optimum channel
Этаж1
2.1.0
Config4.2
420
420
420
Channel 6
420
420
Channel 11
420
420
Floor1
2.1.0
Config4.2
Note: Site survey and visualization not provided by ProCurve Mobility Manager 1.0
Office Floor Plan

39. Преимущества НР
Бесплатные обновления программного обеспечения (firmware) для всех коммутаторов
Бесплатное программное обеспечение для управления сетью
HP ProCurve Manager
Интуитивный, лёгкий в использовании пользовательский интерфейс
Авто-обнаружение устройств, карты топологии, запуск веб-агента
Автопредупреждения и рекомендации по устранению неполадок
Пожизненная гарантия
Бесплатная пожизненная гарантия* на весь срок владения оборудованием с заменой на следующий рабочий день!
Без «подводных камней» - на весь период владения устройством, распространяется в т.ч. на все модули, вентиляторы, источники питания
Высочайший показатель времени наработки на отказ (MTBF от до часов(>36 лет!))
*Все продукты – кроме серий 8100fl, 9300m, 9400sl и 700wl

40. ProCurve Networking by HP
Сергей Перроте
Менеджер по работе со стратегическими клиентами,
Сетевое подразделение ProCurve Networking by HP, Россия
Хьюлетт-Паккард
Россия, Москва
Космодамианская наб., 52, строение 1
Тел. (495)
Моб. (916)
Эл. почта