elexo 20 rue de billancourt 92100 boulogne-billancourt téléphone : 33 (0) 1 41 22 10 00...
TRANSCRIPT
ELEXO20 Rue de Billancourt
92100 Boulogne-BillancourtTéléphone : 33 (0) 1 41 22 10 00Télécopie : 33 (0) 1 41 22 10 01
Courriel : [email protected] : FR00722063534
2
Allot en bref
Société cotée en Bourse (NASDAQ: ALLT)Présence mondiale
Siège et centre de R & D - Tel Aviv, Israël 100 ingénieurs - technologie unique et innovante
Plus de 230 employés dans le monde entier Livraison depuis 1999 Bureaux de ventes et support dans le monde entier
Par le biais de canaux de vente, SIs, et partenaires Grande base de clientèle diversifiée
Plus de 9000 systèmes déployés dans 118 pays
3
Le défi du trafic pair à pair
Causes principales de charge du réseau Usage résidentiel:
60% du trafic large bande diurne Jusqu'à 90% du trafic large bande de nuit
Petit nombre d'abonnés (5%) consommant beaucoup de bande passante
Services aux non-abonnés (qui téléchargent en P2P)Difficiles à identifier sans DPI, parce que qu’ils :
Utilisent des ports dynamiques (saut de port) Se déguisent eux-mêmes pour accéder à d'autres ports
d’applications Utilisent du contenu crypté
4
Défis actuels pour les réseaux large bande
Augmentation de la demande de bande passante par les
utilisateurs
Augmentation de la demande de bande passante par les
utilisateurs
Prolifération des applications large bande et des accès
Prolifération des applications large bande et des accès
Applications
P2P
VoIP
Vidéo Internet
Jeux en ligne
Courriel
IPTV
Apps métier
Oracle/SAP
Citrix
Accès
DSL
Câble
WiFi
Satellite
Historique (FR)
3G
WiMax
5
Définition du DPI (Deep Packet Inspection)
Couche physique
Couches réseau
(2-3)
DPI
Couches application
(4-7)
Les adresses IP ou les ports ne suffisent pas pour identifier les applications La plupart des applications web n’ont pas de serveur d’application embarqué
6
Optimisation du service
Non géré
Transformation des tuyaux “bêtes” en intelligents par la connaissance de leur contenu en utilisant la technologie DPI
(Deep Packet Inspection)
Transformation des tuyaux “bêtes” en intelligents par la connaissance de leur contenu en utilisant la technologie DPI
(Deep Packet Inspection)
Après AllotAprès AllotAvant AllotAvant Allot
NetEnforcer
De Allot
Visible, géré
Charge P2PDécharge
P2PVoIPWebTVVidéo
ConférenceJeuxCourriel
7
• Visibilité
• Du réseau
• Visibilité
• Du réseau
• Visibilité dynamique, temps réel sur le trafic réseau
• Utilisation de modèles
• Interface intuitive
• Visibilité dynamique, temps réel sur le trafic réseau
• Utilisation de modèles
• Interface intuitive
Proposition du DPI d’Allot pour les fournisseurs de service
• Gestion des abonnés
• Gestion des abonnés
• Niveaux de services
• SLA (Service Level Agreements) personnalisés
• Niveaux de services
• SLA (Service Level Agreements) personnalisés
• Contrôle des applications
• Contrôle des applications
• Prioritisation des applications en accord avec les polices du réseau
• Optimisation de la bande passante
• Sauvegarde des Opex et Capex
• Prioritisation des applications en accord avec les polices du réseau
• Optimisation de la bande passante
• Sauvegarde des Opex et Capex
8
Avantages pour les fournisseurs de services
Visibilité réseau minimale Aperçu sur l’abonné et l’application
Congestion réseau et faible QoE Accélération du réseau, QoE améliorée
Accroissement des couts dus à
l’accroissement de la bande passanteOptimisation de l’infrastructure existante
Fourniture banale de bande passante Offre de services unique et différentiée
Structure de prix plate, déclin de la croissance
Maximisation des recettes via la tarification
Partage des recettes avec les fournisseurs
d'application
Après AllotAprès AllotAvant AllotAvant Allot
10
Intelligence réseau
Top postes distants Top applications
Nombre de connexions (TCP/UDP)Top abonnés
11
Gain: Intelligence des affaires en réseau (NBI)
12
Visibilité réseau – Forage Interactif
Le graph montre que eDonkey congestionne le trafic
Forons pour découvrir qui est en train d’utiliser cette application
Les utilisateurs lourds de bande passante sont identifiés précisément !
Canal virtuel P2P congestionné
Forage pour découvrir qui crée le trafic excessif
13
Contrôle des applications
Internet
CMTS
SP backbone
Sécurité Protège le réseau SP Réduit le coût du support Accroit la satisfaction du client
Contrôle des applicationsDétection: Classification en couche 7Marquage: ToS, DiffservGarantie, prioritisation et limitationGestion de sur-provisionnement avec équité pour tous
“Qui fait quoi ?”
14
Gestion du service à l’abonné
Comptabilité / Facturation
Services de bande passante
Services échelonnée
Quota
Abonnés
Allot SMP et NetXplorer
Cœur IP Internet
Service à la clientèle
FacturationRADIUS
/DHCP
Accès réseau
Infrastructure
Application
Gestion +…
Services tiers
Services de sécurité à l’utilisateur
Filtrage d’URL
Interception légale
Mise en cache du P2P
15
Prévention des attaques DoS
Les attaques DOS gaspillent les ressources du réseau, nuisent à l’expérience de l’utilisateur et accroissent les coûts du support
Méthode d’identification : Trop de connexions venant d’une seule machine Connexions anormales – mi-ouvertes
Le SPAM sortant est un autre problème majeur des ISPs: Risque pour le service de courriel Nécessite une intervention manuelle
Méthode d’identification : Trop de connexions SMTP venant d’une seule machine
Le balayage du réseau indique la propagation de vers et autres activités illégales Résultats : Des ordinateurs infectés, un coût de support plus élevé, des utilisateurs
en colère et même un impact sur les équipements de réseau Méthode d’identification :
Nombre anormal de flux ICMP/UDP/ICMP venant d’une source spécifique
Étude de cas : Le QoE de l'abonné peut être améliorés grâce à la sensibilisation à la sécurité
16
Contrôle des applications : Le défi du pair à pair
Cause de la majorité de la charge réseau dans les réseaux résidentiels 40 à 60% de la bande passante du trafic journalier : 5 à 10% des
abonnés consomment la plupart de la bande passante Réduit les performances des autres applications
(navigation Web, VoIP) Profite aux non abonnés (chargements)
Application symétrique, congestionne le flux montant faible bande Le P2P est difficile à identifier :
Utilise des ports dynamiques (saut de ports) et se déguise en utilisant d’autres ports d’applications
Utilise un contenu crypté A une durée de vie courte et change rapidement
17
Gestion des abonnés : Niveaux de services
CMTS
SMPSub ↔IP ↔ Service
Modem ID IP Service
123456 (Alice) 10.10.10.10 Gold: Max 1M – P2P Max 512K
654321 (Bob) 20.20.20.29 Silver/Gaming: Max 1M – Games min 512K
Sub ↔IPDHCP
Service ↔SubOSS
Cœur IP
NetEnforcer
18
Collecteur de données
NetXplorer
Architecture de solution complète
Interface Client
Serveur NetXplorer
Interface Client
Gestion de l’abonné
OSS RADIUS/DHCPMédiation / facturation
Collecteur de données
NetXplorer
Collecteur de données
NetXplorer
19
Produits
NetEnforcer: Ligne de produits de niveau opérateur couvrant tous les besoins de performance CPE et modèles de réseaux de pointe 128 Kbps à plusieurs Gbps
AC-1000/2500 2 à 8 ports GigE ou FastE Tolérance de panne
NetXplorer: Installation centralisée pour la gestion des éléments, la configuration, l'établissement de rapports et d'alerte Interfaces pour la gestion des élément
et des systèmes d'approvisionnement et de facturation / médiation
20
Famille de produits NetEnforcer
Equipements de gestion de bande passante basée sur une police
Surveillance de trafic (temps réel et long terme)
Facturation basée sur l’utilisation Protection contre les pannes
matérielles Gestion hors bande Ecran LCD avec clavier Hautes performances
Jusqu’à 2,5 Gbps Jusqu’à 2.000.000 connexions Jusqu’à 80.000 polices
21
Ligne de produits NetEnforcer
2G
5G
100M
Abonnés par lienAbonnés par lien
Dé
bit
Dé
bit
4K 30K 100K 150K
Conception de classe opérateur Haute redondance et disponibilité Performance à la vitesse du lien Centaines d’applications classifiées Possibilités avancées de modelage
du trafic Polices de gestion de trafic
hiérarchisées Identifie les menaces et contrôle la
Sécurité
AC-400AC-400
AC-800AC-800
AC-1000AC-1000
AC-2500AC-2500
22
Topologies de déploiement
Routeur
NetEnforcer
Internet
CommutateurCommutateur
NetEnforcer
CommutateurCommutateur
NetEnforcer
NetEnforcersecondaire
NetEnforcerprimaire
Commutateur/Routeur
Commutateur/Routeur
Scénario normalPrimaire actif
Active Mode
Bypass Mode
Bypassprimaire
Bypasssecondaire
Commutateurs/Routeurs
CommutateurCommutateur
NetEnforcer
Lien support redondant
NetEnforcer NetEnforcer
Commutateurs/Routeurs
CommutateurCommutateur
NetEnforcer
Lien redondant
actif
Commutateurs/Routeurs Commutateurs/Routeurs
23
Séries NetEnforcer AC-400
Gestion hors bande Redondance (double unité) Bypass matériel Ecran LCD/clavier 1U en 19” pour montage en rack (43,9 x 437,4 x 292,1 mm - h x l x p)
24
NetEnforcer AC-404
Interfaces Deux interfaces cuivre fast Ethernet
(10/100 BaseT) Deux interfaces cuivre Gigabit Ethernet
(10/100/1000 BaseT) Contrôle deux liens réseau
LAN et DMZ Liens redondants Liens équilibrés en charge
Diverses options de redondance Redondance active Redondance série
Commutateurs/Routeurs
Commutateurs
CommutateurLAN
Routeur
25
Serie NetEnforcer AC-400
ModèleBande
passanteTuyaux Polices Connexions
AC-40x/2M 2 Mbps 1.024 4.096 64.000
AC-40x/10M 10 Mbps 1.024 4.096 64.000
AC-40x/45M 45 Mbps 1.024 4.096 64.000
AC-40x/100M 100 Mbps 1.024 4.096 96.000
= Possibilité de migration
26
Serie NetEnforcer AC-800
Plateforme haute disponibilité Gestion hors bande Alimentations redondantes
échangeables sous tension Bypass matériel Redondance (double unité) Ecran LCD/clavier Alimentation 48V DC en option 2U en 19” pour montage en rack
(87,9 x 437,4 x 292,1 mm - h x l x p)
27
NetEnforcer AC-804
Quatre interfaces gigabit Ethernet Cuivre : 10/100/1000 BaseT Fibre : 1000 BaseSX ou 1000 BaseLX
Contrôle deux liens gigabit Ethernet LAN et DMZ Liens redondants Liens équilibrés en charge
Diverses options de redondance Redondance active Redondance série
28
NetEnforcer AC-808
Huit interfaces Gigabit Ethernet Cuivre : 10/100/1000 BaseT Fibre : 1000 BaseSX ou 1000 BaseLX
Quatre liens Gigabit Haute densité pour surveillance de
liens multiples Surveillance de la DMZ et de segments
réseau multiples Supporte les topologies de réseaux
entièrement maillés Idéal pour les réseaux à haute
disponibilité et les grands centres de données
Diverses options de redondance Redondance active Redondance série
29
ModèleBande
passanteTuyaux Polices Connexions
AC-80x/45M 45 Mbps 2.048 8.192 128.000
AC-80x/100M 100 Mbps 2.048 8.192 128.000
AC-80x/155M 155 Mbps 2.048 8.192 128.000
AC-80x/310M 310 Mbps 2.048 8.192 128.000
AC-80x/SP-45M 45 Mbps 4.096 28.000 256.000
AC-80x/SP-100M 100 Mbps 4.096 28.000 256.000
AC-80x/SP-155M 155 Mbps 4.096 28.000 256.000
AC-80x/SP-310M 310 Mbps 4.096 28.000 256.000
Séries NetEnforcer AC-800
= Possibilité de migration
30
NetEnforcer AC-1000: Classe opérateur
Plateforme de classe opérateur Matériel conforme aux standards (NEBS, ETSI) Redondant, répartition de charge,
alimentations échangeables sous tension Double alimentation AC ou DC Basé sur une mémoire flash Port de gestion hors bande (10/100 Mbps) pour une sécurité
renforcée Interfaces et performances Gigabit
2/4 ports Gbps Utilise des GBIC interchangeables (AC-1010: 1 lien, 2 ports),
interface (fibre, cuivre) et interface SFP (AC-1020: 2 liens, 4 ports)
31
Séries NetEnforcer AC-1000
ModèleBande
passanteTuyaux
Polices(VCs)
Connexions
AC-10x0/155M 155 Mbps 2.048 8.192 1.000.000
AC-10x0/310M 310 Mbps 2.048 8.192 1.000.000
AC-10x0/622M 622 Mbps 2.048 8.192 1.000.000
AC-10x0/1G 1000 Mbps 2.048 8.192 1.000.000
AC-10x0/SP-155M 155 Mbps 10.000 80.000 1.000.000
AC-10x0/SP-310M 310 Mbps 10.000 80.000 1.000.000
AC-10x0/SP-622M 622 Mbps 10.000 80.000 1.000.000
AC-10x0/SP-1G 1000 Mbps 10.000 80.000 1.000.000
AC-1040/SP-1G 400 Mbps 4.096 28.672 1.000.000
= Possibilité de migration
32
Séries NetEnforcer AC-2500 : Classe opérateur
Capacité double en bande passante et ports de celle du AC-1000 Plus de polices : 40.000 tuyaux (10.000 dans le AC-1000) Plus d’abonnés : 150.000 Modèles
AC-2540 : 8 interfaces GE (4 liaisons GE) AC-2520 : 4 interfaces GE (2 liaisons GE)
33
AC-2540 en environnements haute disponibilité
Redondance active Deux unités toujours actives Unités toujours synchronisées Supporte toutes les topologies de
réseaux Liaisons 8 Gigabit Ethernet Débit de 2.5 Gbps
par direction à travers 4 liens
Internet
34
Séries NetEnforcer AC-2500
ModèleBande
passanteTuyaux
Polices(VCs)
Connexions
AC-2520/1G 1 Gbps 40.000 80.000 2.000.000
AC-2520/2G 2 Gbps 40.000 80.000 2.000.000
AC-2540/310M 310 Mbps 40.000 80.000 2.000.000
AC-2540/1G 1 Gbps 40.000 80.000 2.000.000
AC-2540/2.5G 2.5 Gbps 40.000 80.000 2.000.000
= Possibilité de migration
35
Le Concept « Service Gateway »
Utilisez le NetEnforcer comme un gestionnaire de service, redirigeant/recopiant le trafic pertinent vers
des systèmes tierce partie dédiés, et jouissez pleinement du NetEnforcer :
Technologie DPI (identification des applications) Redirige seulement le trafic pertinent
Intégration avec SME/système de fourniture Redirige seulement les abonnés concernés Un seul point pour la fourniture de l’abonné, les rapports et la configuration -
déploiement plus rapide pour les nouveaux services des tierces parties Grande échelle :
Réduit la charge sur les autres systèmes de service Répartit la charge entre les multiples systèmes de service Gère tous les environnements des opérateurs et ISP (encapsulation, redondance)
Rapports – Étend les rapports du NetXplorer aux informations des tierces parties
36
Avantages supplémentaires
Processus DPI unique – réduit la latence des paquetsDéploiement plus rapide et facile des services aux
nouveaux abonnésUne seule mise en œuvre d’intégration pour l’OSSUn seul élément inséré dans le lien avec tous les
capacités nécessaires de bypass et redondance
37
Nouveaux services applicables
Services de sécurité en ligne (“Clean lines”) - Anti-virus, détection de vers, chevaux de Troyes, prévention d’intrusion et plus Sur trafic HTTP/P2P/Courriel
Filtrage d’URL (Contrôle parental) Détection de Spam – entrant et sortant Mise en cache du P2P – redirection du trafic P2P vers des serveurs de
cache P2P Surveillance de la qualité de la Voix et de la Vidéo et rapports Interception légale (CALEA) – redirection d’abonnés et applications
spécifiques (VoIP, courriel, IM) vers systèmes d’interception télécom Contrôle interne des sessions