Klar-ferdig-telefoninettverk Knut Arne Nygård, IPnett AS Norge
Fakta om IPnett Grunnlagt september 1999 Oslo, Stavanger, Stockholm, København 100 ansatte i Norden Nordisk team med over 50 senior konsulenter Bevisst satsning på å bygge den tverrfaglige kompetansen som kreves I forbindelse med multimedia løsninger (telefoni, sikkerhet og infrastruktur) Omsetter ca NOK 220 mill i 2008 Henvender oss til offentlige og private virksomheter, samt teleoperatører. Eid av ansatte og finansielle investorer Nortel GOLD Solution Partner Juniper ELITE Partner Microsoft Certified partner
Klar for å innføre IP-telefoni (IPT) i datanettet? IPT og Unified Communication er nye applikasjoner Er nettverksutstyret klart? Hvilke krav stilles? Må noe byttes ut? Kan vi bruke WLAN? Hva kreves i forhold til QoS? Hvordan skal dette implementeres? Hva med WAN? Hva innebærer dette i forhold til sikkerhet? Nye trusler? Revidering av sikkerhetspolicy? Må driftsrutiner endres? Hva med redundans? Strøm? Hvordan gjennomføre en nettverksaudit? UC ready
Hva betyr det å innføre IPT? IPT og Unified Communication er nye applikasjoner Andre krav for transport av tale og video vs. data trafikk Real-time applikasjoner Brukeropplevelsen blir viktigere Kvaliteten må måles og kontrolleres Hvor mange IPT klienter innføres og hvor mange samtidige brukere? Endret trafikkmønster peer-to-peer trafikkstrømmene blir uforutsigbare Hvordan er klientene? Egne IP-apparater? Softphones? UC klient? Nye sikkerhets trusler og utfordringer Endring i driftsorganisasjon tradisjonelt adskilt telefoni vs. data driftsorganisasjon / avdelinger
Nettverkselementer
Hvilke krav stilles til nettverkselementene? Vurdere nettverks design Kapasitet Redundans Kapasitet Sørge for at det er nok kapasitet både på kant og i kjerne Linker og Forwarding kapasitet Redundans Linker / sti gjennom nettet Komponenter Moduler (CPU) Tilknytning fra IPT / UC servere mot LAN
Hvilke krav stilles til nettverkselementene? En må kartlegge nettverkselementene Samme leverandør? Interoperabilitet? Støtte for åpne standarder? Støtte for VLAN for separasjon? Støtte for QoS? Kapapsitet? n x 1GB link ut til kant 10GB i core? Sikkerhetsfunksjoner EAP / 802.1x / 802.1ab Redundans - og eventuelt bytte eldre enheter / utvide løsningen Eget IPT nettverk
Hvilke krav stilles til nettverkselementene? WLAN Nok kapasitet? 802.11a/b/g/n Implementasjon av WLAN IP telefoner er krevende relatert til båndbredde i og med at WLAN er delt medium Må sette maks. antall WLAN IP Telefoner pr. aksesspunkt for å kunne opprettholde tjenesten kryptering av tale, WEP / WPA
WAN Mange firmaer er representert på flere lokasjoner hva med IPT over WAN? En trenger å kartlegge og analysere infrastruktur egen Leid IPVPN / ISP Båndbredde vs delay dagens og morgendagens trafikk kan ISP tilby QoS/prioritering? trengs kompresjon eller WAN akselerering? Inngå en SLA avtale med din SP Bli enige om QoS merking Vær sikret nok båndbredde
QoS
QoS en definisjon Evnen til et nettverk til å tilby bedre tjenestekvalitet til utvalgt trafikk over forskjellige teknologier Utvalgt trafikk vil typisk være trafikk som er avhengig av lav forsinkelse, eller som krever en gitt båndbredde Forskjellige teknologier vil være Ethernet, IP VPN (WAN), WLAN Norsk ord: Tjenestekvalitet IEEE 801.1p (Ethernet) DiffServ/MPLS (IP)
Hva påvirker talekvaliteten Codec gjentatte kodinger/dekodinger av talen. Tandem hopp, voice mail komprimering Mobiltelefonsamtaler Proprietære codecs (Microsoft) Tilgengelig båndbredde En tale forbruker 82Kbps med G.711 Codec 23.6Kbps med G729 Codec Ca 50 kbps med Microsoft RT-audio Ende-til-ende forsinkelse Maksimalt anbefalt 150ms Jitter Variasjon i tidsforsinkelse på pakker Pakker med stor forsinkelse = Tapte pakker Pakketap Ødelagte pakker blir ikke videresendt i nettverket Overbelastning i nettverket forårsaker at pakker forsvinner Maks 1% pakketap Ekko Ekko avhengig av forsinkelse og lydnivå. Større forsinkelse og høyt lydnivå gir større forstyrrelse ved ekko.
Talekvalitet i forhold til pakketap og forsinkelse Bruker tilfredshet 100 90 80 70 60 50 40 30 20 10 0 0 100 200 300 400 500 600 Ende-til-ende forsinkelse (msec) Satisfied Some dissatisfaction High dissatisfaction Extreme dissatisfaction PSTN Best Intranet Public Internet Source: Nortel Network internal MOS score studies using ITU e-model and modeled CODEC performance
Applikasjonenes krav
QoS mekanisme: Lag3 - DiffServ Differentiated Services gir en mer skalerbar måte å få tjenestekvalitet gjennom nettverket på. Baserer seg på merking av pakker (TOS-feltet i IP-Header) på kanten av nettet, og får på bakgrunn av dette en gitt kø-håndtering pr. node i nettverket. PerHopBehavior (PHB) prinsippet betyr at pakken blir behandlet unikt i hver node Ut fra hvilken verdi TOS-feltet har, styres pakken til en gitt kø i svitsj/ruter Forskjellig implementasjon på de forskjellige enhetene ulikt antall køer Ikke lag det for komplekst!
Sikkerhet
Trusler SPam over Internet Telephony (SPIT) Tjenestenekt (DoS, DDoS) Uautorisert bruk Registration hijacking Impersonating a server Avlytting Media Gateway Bakdør for angrep til tjenestenett Tilgjengelighet Terminering av sesjoner
Nye protokoller og trafikkmønster SIP / SIPS (tekstformat lik HTTP, statisk og dynamiske porter) SIP over UDP SIP over TCP Kryptert (SSIP) H.323 (binærformat, statiske og dynamiske porter) H.225 H.345 H.325 Sign. server / Media GW Respons 2 Samtale Media Gateway Control Protocol (MGCP) Oppkall 1 (S)RTP / (S)RTCP Forskjellige Codex Nortel Unistim Kan krypteres
Sikkerhet og IP-telefoni - status Mye fokus på funksjonalitet Manglende risikovurdering Manglende sikkerhetspolicy Foreta en risiko vurdering
Risikovurdering Risiko = sannsynlighet x konsekvens Sannsynlighet Liten Moderat Høy Svært høy Liten 1 2 3 4 Konsekvens Moderat 2 4 6 8 Stor 3 6 9 12 Svært stor 4 8 12 16 Forankret hos ledelsen!
Sikkerhetspolicy Overordnet policy Hvorfor? Mål, strategi, definisjoner. Regler Prosedyrer Hva? Hva gjør vi, og hva gjør vi ikke. Retningslinjer. Hvordan? Slik gjør vi. Regelimplementering. Instrukser.
Tiltak for riktig sikkerhetsnivå IP-telefoni implementeres på lik linje som andre tjenester i nettet. Forskjellen ligger i at en IP-telefoniløsning er nytt og annerledes, og er derfor mer omfattende å implementere Flere protokoller / Nye protokoller Endret trafikkmønster, ende-til-ende kommunikasjon Nye type enheter kobles til nettet Nye brannmurkonfigurasjoner
Tiltak for riktig sikkerhetsnivå Eksempler
Design og anbefalinger
Design spørsmål Flere metoder finnes for å implementere IP-telefoner Må gjøre noen valg relatert til Bruk av VLAN for separasjon av voice og data trafikk QoS konfigurasjon Apparat autentisering
Apparat autentisering Ingen autentisering Apparatet kan koble seg til nettverket uten noen form for autentisering Andre enheter kan gjøre det samme MAC autentisering Sentralisert MAC autentisering via RADIUS server Lokal MAC autentiserintg via MAC liste / filter på Ethernet Switch 802.1x autentisering Single Host Single Authentication (tradisjonell EAPOL) Multiple Host Single Authentication (PC bruker EAPOL, apparatet bruker MAC) Multiple Host Multiple Authentication (PC bruker EAPOL, apparatet bruker EAPOL)
IPnett AS anbefaler Separere IP-telefonene i et eget VLAN skilt fra data VLAN Adskilt med FW Sikrer telefoni enheter fra PC er Lettere og kontrollere IPT trafikken Telefoni systemer er mer sårbare for f.eks. broadcast Telefonen og PC bruker ofte samme kabel må ha VLAN mot svitsj for å kunne skille Automatisere VLAN separasjonen i svitsjen Gjøre bruk av MAC-filtrering i svitsjen som minimum autentiserings mekanisme Nortel har ADAC som en egen funksjon for automatisk separasjon av Nortel apparater Sperre porter som ikke er i bruk på svitsjene Utfordinger med SoftPhone / MultiMedia klienter kan ikke lett skille tale fra data trafikk da alt kommer fra PC Kan bruke QoS merking fra klient for separasjon
IPnett AS anbefaler Bruke DiffServ DSCP metode for QoS merking / køing La applikasjonen merke pakkene Kantsvitsj kan eventuelt re-merke eller gjøre hele klassifiseringen og merkingen QoS også i LAN med høy kapasitet Ikke lag QoS regimet for komplisert Få køer (High-Normal-Low) Prioriter noe trafikk opp (IPT) og noe ned (filoverføring/mail) DiffServ for Nortel IP-telefoni Diffserv Codepoint(DSCP) Signallering: 40 (Binært: 101000) CS7 Diffserv Codepoint(DSCP) Tale: 46 (Binært 101110) - EF
IPnett AS anbefaler - Separasjon
IPnett AS anbefaler - soneinndeling
Drift
Endres driftsforutsetningene? Ofte 2-delt drifts- / supportorganisasjonen Telefoni avdeling Data avdeling Forskjellig eierskap og kulturer Stilles det større krav til oppetid? Hva er mest kritisk? Datanettet eller telefoni? Hva skal prioriteres ved strømbrudd i datarom? Hvilke porter skal stenges for å minimere kraftforbruk fra UPS? Trenger applikasjoner til å følge med på trafikk og kvalitet i nettet op5 / MRTG Mer avanserte verktøy med simulering av klienter og måling av kvalitet PVQM klient i alle Nortel IP telefoner
Nettverks Audit
IPnett Network Audit UC ready Konfigurasjons gjennomgang Gjennomgang av LAN svitsjer Gjennomgang WLAN arkitektur og dekning Regelsett i brannmurer og Rutere Vurdering av QoS Anbefale et QoS regime Implementere det i LAN/WLAN og WAN/IP VPN Holde dialog med ISP for WAN WAN og LAN analyser Hvilken trafikk er i nettet i dag? Kapasitet / utnyttelse Hvem bruker nettet til hva? Ledig kapasitet for IPT tjenester? Beregne trafikkforbruk ved innføring av IPT Måle kvalitet (MOS) Rådgivning Bistand i forbindelse med design Konsulentbistand i forbindelse med implementering
Kontakt Send meg en e-post: knutarne@ipnett.no