Slides - Agenda INFN

Netgroup (Rapporto di aggiornamento alla Commissione) Stefano Zani (INFN CNAF) CCR Bologna 2 Aprile 2014 Principali a*vità in ambito Netgroup •  Il Netgroup raccoglie i gestori delle reA delle struBure dell’INFN e cosAtuisce il gruppo consulAvo di CCR per le problemaAche di rete: –  RapporA con GARR per la gesAone degli accessi alla rete geografica –  GesAone della struBura DNS dell’Ente (*.INFN.IT) –  e gesAsce le richieste di nuovi domini •  Nell’ambito di CCR negli ulAmi anni Netgroup ha contribuito al coordinamento fra INFN e GARR per l’accesso ad LHCONE da parte dei TIER2 Italiani (Oggi tuR collegaA a 10Gb/s!). •  Il Gruppo funge da “Incubatore” per facility di rete per l’Ente che in alcuni casi si trasformano in Servizi Nazionali. –  TripKit: (KIT iAnerante per la gesAone degli accessi alla rete Infndot1x, infnweb ed eduroam) UAlizzato spesso per grandi EvenA INFN in sedi non aBrezzate come Hotel o Centri Congressi. –  DNS-­‐HA: Sistema di DNS in alta affidabilità per servizi distribuiA geograficamente. Technology tracking e sperimentazioni su tecnologie di rete –  Firewall (Technology tracking) •  Incontro NETGROUP Pre CCR (31/3 -­‐ 1/4) di approfondimento sulle piaBaforme di Firewall per le Sezioni dell’INFN. (Seguirà breve resoconto) –  Sodware Defined Networks (ARvità di sperimentazione) •  Test di OpenFlow 1.0 mediante un layout do test con controller Floodlight +2 Switch HP e 2 switch IBM (Terminato in Dicembre 2013) •  Test di Programmable Flow (SDN di NEC) 2 Controller + 3 Switch NEC (In corso.. Layout operaAvo ed uAlizzabile al CNAF) Floodligth Test Layout @CNAF Rete di accesso alle hypervisor (KVM) + nat per yum update/install (hypervisor) 172.16.10.200 Eth0 NAT 172.16.10.201 Eth0 VM1 eth1 192.168.200.1 Floodlight Controller Wireshark
+ Openflow Plugin Eth1 10.10.10.1 Rete daA VM2 eth2 192.168.200.2 VM3 eth3 192.168.200.3 Rete di Management + Control Plane Sistema completamente isolato accessibile solamente dall’interno di sdn-­‐test SDN@CNAF NEC: ProgrammableFlow Controller (PFC) Management
172.16.20.0/
24
PFC Cluster
PFC1
2x1Gbit/s Bond PFC2
VIP2
VIP3
10.0.1.11/24
10.10.2.11
Switch
L2
PF Switch1
VIP1
172.16.20.211
Switch
L2
PF Switch 2
Switch
L2
PF Sswitch 3
VIP: Virtual IP PFS: ProgrammableFlow Switch Hosts Program Flow
Network
Secure
Channel 1
10.10.1.0/24
Secure
Channel 2
10.10.2.0/24
Data
Network
192.168.200.
0/24
SDN@CNAF PFC: GUI Virtual Router
Virtual Bridge Vlan 3502 (VLAN Mapping)
Virtual Bridge Vlan 3501 (VLAN Mapping)
Physical Network
SDN@CNAF Esperienza con PFC •  Installazione e configurazione Versione 5.0 – 
– 
– 
– 
Cluster PFC Switch NEC ReA (management 2x Secure Channel) Abilitazione Openstack e Web GUI (Disponibili ufficialmente dalla 5.1) •  Test – 
– 
– 
– 
– 
Creazione di una Virtual Tenant Network (VTN) Creazione di VLAN all’interno della VTN VLAN Mapping (TAG based) Mac Address Mapping RouAng tra VLAN EffeRvamente è la prima soluzione provata in grado di funzionare veramente in ambienA di produzione. •  Prossimi test –  UAlizzo con Openstack Neutron –  RouAng in funzione del volume di traffico IPv6 Francesco Prelz sta seguendo per Netgroup (e quindi per CCR) il gruppo di lavoro di HEPIX su IPv6 e fornisce supporto alle Sezioni che intendono procedere alla aRvazione del protocollo all’interno delle proprie reA. Per tuBe le sedi è già stato riservato il piano di indirizzamento IPv6 Ci si aBende una accelerazione su questa aRvità per via dell’annuncio del passaggio anche su IPv6 di alcuni servizi legaA agli esperimenA del CERN fra 2014 e 2015. SpunF per prossime a*vità Prossimi argomenA su cui lavorare: •  Firewall –  In seguito ai test sulle piaBaforme di Firewall implementate nelle sedi pilota (free e proprietari) si farà una valutazione sulle piaBaforme cercando di capire se soluzioni Firewall o Firewall+IPS siano efficaci e sostenibili economicamente. •  Interazione fra la rete “fisica” e le configurazioni di rete delle piaLaforme di “Cloud compuFng” (Parziale coinvolgimento gruppo CLOUD?) – 
– 
– 
– 
Network IsolaAon between tenants VLAN Mapping, GRE Tunnel L3 RouAng and NAT FWaaS (plugin di sicurezza direLamente disponibili in OpenStack) •  SDN –  Test sulla integrazione di Programmable Flow (NEC) con Openstack (nei prossimi giorni) –  Installazione di OpenDaylight (Disponibile dal 4 Febbraio) e test di funzionalità (NetLab del CNAF) –  Test geografico della soluzione di Juniper (Contrail) in collaborazione con il GARR Breve Resoconto TechTrack sulle piaLaforme di FW Soluzioni prese in esame: •  Soluzioni SoTware (Free) –  Zeroshell hBp://www.zeroshell.net/ Di Fulvio Ricciardi e presentata da Enrico Fasanelli (INFN LE) –  PfSense hBps://www.pfsense.org/ Presentata da Gennaro Tortone (INFN NA) •  Soluzioni commerciali (SoTware, Virtuali, Appliance) presentate – 
– 
– 
– 
– 
– 
– 
McAfee Check Point ForFnet Fire Eye Paloalto Cisco Clavister Soluzioni SoTware (Free) CaraLerisFche comuni: •  Si installano su hardware commodity •  Non hanno cosA di licenza •  Firewall classico (Packet Filter) –  GesAone di “Profili” o gruppi di HOST •  DHCP •  NAT/PAT •  CAPTIVE PORTAL (AutenAcazione Locale, Radius, Kerberos) •  QoS/Rate LimiAng •  VPN Server •  Net Balancer •  Funzionalità di Router (Limitate a qualche Gigabit/s) •  Possibilità di funzionare in “transparent bridging” Entrambi sono gesAbili completamente da interfaccia grafica Entrambi i sistemi possono funzionare come firewall fino alla velocità dell’ordine del Gigabit/s Soluzioni SoTware (Free) Principali differenza fra le due piaLaforme: Zeroshell: •  è basato su Linux ed iptables •  E sviluppato da Fulvio Ricciardi (INFN LE) •  Funziona anche da Access point wireless •  Net Balancer con la possibilità di uAlizzare piu accessi wan (Es. ADSL ed HSDPA) PfSense •  è basato su freeBSD e PF •  consente il collegamento in cluster ad alta affidabilità mantenendo lo stato delle connessioni in caso di down di un server •  Ha una comunità di sviluppo moto aRva Soluzioni commerciali (SoTware, Virtuali, Appliance) CosF indicaFvi (Soppressi nel file in rete) per soluzioni complete di FW+IPS per sedi collegate ad 1Gb/s. –  McAfee ($$$) –  Check Point ($$$) –  ForFnet ($$$$) –  Fire Eye (Non è propriamente un Firewall $$$$$) –  Paloalto ($$$$) –  Cisco – Source Fire ($$$$$) –  Clavister ($) Prime conclusioni sul “techtrack firewall” •  Le performance delle versioni sodware sono in generale legate all’hardware impiegato sia a livello di server uAlizzato, sia a livello di Apologia di scheda di rete. •  Le soluzioni commerciali in genere implementano le feature denominate come Next GeneraFon Firewall (FW+IPS+Stateful InspecAon) + altre di minore interesse per noi: –  Deep inspecAon –  IPS (Intrusion PrevenAon System) con il riconoscimento di parAcolari signature (Di faBo si aggiorna analogamente ad un anAvirus). –  Si verificherà se le funzionalità evolute giusAficano i cosA