Extreme Networks

· Reduz o tempo de indisponibilidade da rede com hitless failover/upgrade e atualização de software modular

· Integra as melhores ferramentas para sua rede com o XML-based Application Programming Interface (API)

· Integra aplicações desenvolvidas pela Extreme Networks e por terceiros com padrões abertos baseados em interfaces POSIX

· Gerenciamento baseado em script para configurações adicionais e gerenciamento simplificado

· Controle de acesso à rede através de autenticação, Network Login/802.1x e checagem de integridade de host

· Infra-estrutura de rede avançada com proteção Denial of Service (DoS) e IP security contra ataques DoS e man-in-the-middle.

A Extreme Networks^® revolucionou o mercado com o ExtremeXOS — uma software modular com alta disponibilidade para redes convergentes. O ExtremeXOS eleva o padrão de disponibilidade, que é crítico quando são oferecidos serviços de voz e vídeo de operadora de telefonia IP e para suporte à aplicativos de missão crítica.

Mecanismos de segurança permitem controle de acesso à rede integrado à checagem de integridade de host e proteção de gerenciamento.

Com o ExtremeXOS você pode ampliar a capacidade de sua rede integrando aplicações especializadas tal como dispositivos de segurança, permitindo visualização e controle de usuários e aplicações de rede.

O ExtremeXOS foi projetado para suportar IPv6. Mesmo que você não esteja planejando utilizar IPv6 agora, o ExtremeXOS protege a rede com IPv6 Access Control Lists (ACLs), protegendo o investimento de sua rede.

O ExtremeXOS oferece um conjunto de características de switching que foram desenvolvidas durante dois anos, tornando-se único sistema operacional da próxima geração do mercado que pode ser seguramente distribuído.

Disponibilidade contínua da rede e qualidade de serviço são vitais para armazenamento de dados corporativos e callcenters IP. A alta disponibilidade do ExtremeXOS cria uma infra-estrutura resiliente capaz de maximizar a integridade da rede para aplicações de missão crítica.

Programação preventiva e proteção de memória permitem às diversas aplicações tais como Open Shortest Path First (OSPF) e Spanning Tree Protocol (STP) trabalharem como um processo separado do Sistema Operacional (SO). Isto permite aumento da integridade do sistema e protege contra ataques DoS.

O ExtremeXOS aumenta bastante a disponibilidade da rede através de monitoramento e reinicialização de processos. Cada processo é monitorado em tempo real. Se um processo parar de responder, ele pode ser reiniciado automaticamente.

A arquitetura modular do ExtremeXOS permite atualização de módulos individuais de software. (veja Figura 1).

Em sistemas com módulo de gerenciamento dual ou com empilhamento de switches, o ExtremeXOS é capaz de preservar os protocolos de resiliência e segurança tais como STP, EAPS e Network Login. Isto permite hitless failover entre módulos de gerenciamento e módulos redundantes caso ocorra falha em um dos módulos. No BlackDiamond® 10808 e BlackDiamond 12804, esta mesma infra-estrutura pode ser usada para hitless upgrades.

Graceful restart é um método para as funções de controle dos protocolos OSPF-2 e BGP-4 serem reiniciadas sem interromper o roteamento. Sem o graceful restart, roteadores vizinhos vão considerar que a informação recebida anteriormente pelo roteador que está reiniciando é velha e não serão utilizadas para encaminhar o tráfego para aquele roteador. Entretanto, em muitos casos, existem duas condições que permitem ao roteador que está reiniciando continuar a rotear corretamente.

A primeira condição permite que o roteamento continue operando enquanto as funções de controle são reiniciadas. A maioria dos sistemas modernos de roteadores separam as funções de roteamento das funções de controle para que o tráfego possa continuar independente do estado do OSPF. Roteadores reconhecidos por OSPF permanecem na tabela de roteamento e os pacotes continuam a ser roteados.

A segunda condição necessária para o graceful restart é que a rede permanece estável durante o período de reinicialização. Se a topologia da rede não está mudando, a tabela de permanece correta. Na maioria dos casos, as redes podem se manter estáveis durante o tempo de reinicialização do OSPF. O OSPF e o BGP são processos que podem ser reinicializados no ExtremeXOS. Com isto, os switches ganham resiliência adicional à nível de rede e os processos de roteamento podem ser atualizados sem a necessidade de atualizar todo o sistema operacional.

Um ataque DoS é uma tentativa de travar um switch sobrecarregando os recursos do sistema. A proteção de CPU DoS evita ataques que causam impacto no switch. A capacidade de proteção avançada de CPU DoS da Extreme Networks pode detectar, analisar e responder às ameaças direcionadas para a CPU. Esta técnica utiliza contadores para caracterizar e monitorar o fluxo de tráfego para a CPU. Se o tráfego para a CPU exceder certos limites, o switch examinará o tráfego verificando se existe alguma ameaça e ativa uma ACL dinâmica para evitar que pacotes do mesmo tipo venham à interromper as operações do switch.

Módulos de aplicações de software carregados dinamicamente e XML APIs externas tornam o ExtremeXOS mais flexível. Isto permite integração com diversar aplicações e dispositivos, permitindo ampliar as funcionalidades das redes. Exemplos disto incluem monitoramento de VoIP e segurança avançada de rede.

O ExtremeXOS possui uma infra-estrutura para dinamicamente carregar, iniciar e parar novas aplicações com segurança. O ExtremeXOS possui interfaces compatíveis com POSIX para facilitar a integração com novas aplicações. O ExtremeXOS utiliza esta infra-estrutura para carregar dinamicamente funcionalidades tais como SSH/SCP/SSL. A mesma infra-estrutura também é utilizada para integrar aplicações de terceiros. Um exemplo disto é o agente de monitoramento de aplicações VoIP desenvolvido pela Avaya para simular e monitorar o comportamento das conexões de voz.

O ExtremeXOS utiliza infra-estrutura de scripts. Os scripts podem ser usados para adicionar configurações complementares, como uma lista de VLANs. Variáveis de sistema e definidas pelo usuário com arquitetura if/then permitem gerenciamento automático de tarefas e criação de configurações tais como QoS rate limiting and ACLs para múltiplas portas ou múltiplos switches.

Com XML APIs o ExtremeXOS proporciona mecanismos simples e seguros para acessar os processos do switch (veja Figura 2).

Por exemplo, uma ferramenta de segurança pode utilizar o ExtremeXOS para limitar o acesso, controlar banda ou redirecionar o tráfego de um cliente que está tentando se conectar na rede.

A infra-estrutura de XML segue o conceito de comunicações abertas e seguras permitindo às aplicações interagirem com a rede com implementações de políticas de segurança e gerenciamento de desempenho.

Em conjunto com o CLEAR-Flow nos switches de core BlackDiamond 10808 e BlackDiamond 12804, XML APIs são a base para a arquitetura Virtual Security Resource (VSR) da Extreme Networks (veja Figura 3).

O CLEAR-Flow pode examinar todos os pacotes da rede, identificar tráfego suspeito e encaminhá-lo para recursos de segurança para análise futura. Este recurso de segurança pode se comunicar com a infra-estrutura da rede (com XML APIs) para limitar, filtrar e parar o fluxo de tráfego na rede.

A infra-estrutura de XML também é usada pela interface web de gerenciamento ExtremeXOS.

Descoberta de dispositivos e monitoramento de fluxo de tráfego permitem visibilidade completa do inventário e tráfego da rede. ExtremeXOS Universal Port simplifica bastante a implementação de VoIP através de configurações automáticas das portas de acesso e telefones.

As redes atuais necessitam incorporar soluções avançadas em todos os níveis da rede, independente de qual fabricante você escolha, permitindo construir redes convergentes mais avançadas.

Seu protocolo de detecção baseado em padrões IEEE 802.1ab fornece detecção de switch independente de fornecedor, além de integração perfeita com a infra-estrutura e os telefones VoIP.

LLDP não apenas simplifica o desenvolvimento e a localização de dispositivos de acesso, mas também pode ser usada como ferramenta de gerenciamento de firmware e troubleshooting.

LLDP é um padrão que permite que as empresas utilizem extensões específicas de determinadas aplicações sem causar problemas de compatibilidade. O padrão ANSI/TIA-1057 LLDP-Media Endpoint Discovery (LLDP-MED) define extensões especialmente para VoIP. Essas extensões fornecem informações específicas de voz transmitindo dados de configuração e localização para os telefones VoIP.

· Network Policy (quais informações como VLAN tag, .1p, DSCP, … o telefone deverá utilizar)

· ECS Location ID (coordenadas de rua/prédio/andar), compatível com as direções NENA e TIA-TSB-146. O switch divulga informações de localização para o telefone

· Informações de inventário tais como versão de firmware, número de série, etc.

LLDP é integrado com a autenticação IEEE 802.1x nas portas de acesso. Assim que os dispositivos são autenticados, as informações divulgadas pelo LLDP podem ser utilizadas para configurações automáticas.

O sFlow do ExtremeXOS suporta monitoramento de dados de Camada 2 à 7, incluindo estatísticas das aplicações presentes na rede.

Com o aumento constante dos serviços de rede para aplicações corporativas críticas, qualquer alteração de quantidade de tráfego pode impactar no desempenho e credibilidade da rede. Isso tem impacto direto na habilidade que a companhia tem de conduzir os negócios e os custos para manter os serviços da rede ativos. Portanto, é importante monitorar o tráfego da rede para manter a operação da rede confiável e com os níveis de performance corretos. sFlow é uma tecnologia simplificada que atende às necessidades de uma solução de monitoramento de tráfego: o sFlow permite visualizar a utilização da rede e as rotas ativas. Essa é uma técnica para medir o tráfego na rede, coletando, armazenando e analisando os dados. Isso permite que diversas interfaces sejam monitoradas à partir de um único local.

O sFlow permite monitorar links de até 10Gbps sem impactar no desempenho dos switches e roteadores e sem sobrecarregar a rede.

A infra-estrutura de Porta Universal do ExtremeXOS é um sistema poderoso para ativação de scripts de CLI. A funcionalidade de porta universal possui políticas de segurança dinâmicas baseadas em hora/usuário/local bem como configuração automática de voz sobre IP. Isto utiliza os padrões de autenticação (Network Login/802.1x) e protocolos de descoberta de dispositivos (LLDP + LLDP-MED) como ativação de eventos. Ações com scripts configuráveis de CLI podem ser associadas à eventos por porta. Enquanto isso, políticas de segurança incluindo controle de acesso via ACLs podem controlar usuários independente de onde ele tenha se conectado na rede. Telefones VoIP e as portas de acesso dos switches podem ser automaticamente configuradas para uma VLAN de voz e QoS. O switch pode receber a quantidade exata de energia necessária pelos telefones e provisionar isso conforme a necessidade. O telefone pode receber a localização do switch bem como o endereço IP do servidor de chamada para receber configurações adicionais. Observe que os passos 1 e 2 são realizados apenas uma vez e os passos de 3 a 5 são eventos automáticos.

O ExtremeXOS permite proteção na camada de acesso através de autenticação, checagem de integridade de host e políticas de segurança dinâmicas baseadas em usuário, hora e local. O tráfego de gerência é protegido por autenticação e encriptação.

A Extreme Networks foi pioneira em segurança de acesso à rede mesmo antes dos padrões dedicados entrarem em vigor. Este método permite o controle de acesso à rede em todas as portas de acesso. Este controle trabalha com ou sem autenticação em dispositivos tais como telefones VoIP e impressoras.

O Network Login reforça a autenticação antes de permitir o acesso à rede. Os pacotes enviados por um cliente em uma porta não serão liberados até que seja feita a autenticação com o servidor RADIUS. Em muitos casos, o servidor RADIUS interage com o Active Directory ou um LDAP directory para autenticação de usuário (veja figura 5).

O Network Login do ExtremeXOS suporta múltiplos suplicantes em uma mesma porta, mesmo em VLANs distintas. Isto permite, por exemplo, autenticação de um telefone VoIP em uma VLAN de voz e que um PC conectado à porta de dados deste telefone seja autenticado em uma VLAN específica de usuário.

O Network Login suporta três métodos: 802.1x, web-based e MAC based. Todos estes métodos podem ser habilitados individualmente ou em conjunto.

802.1x é um padrão que necessita que softwares específicos sejam instalados no sistema que está acessando a rede. O 802.1x será um componente padrão nos sistemas operacionais dos PCs bem como em dispositivos de rede tal como telefones VoIP. O 802.1x foi projetado como um protocolo de segurança e utiliza diversas técnicas de autenticação. O ExtremeXOS foi testado com várias dessas técnicas, incluindo MD5, PEAP, TLS e TTLS, com suporte à autenticação com senha e baseada em certificados.

O método web-based não necessita de nenhum software adicional (um desafio para 802.1x). Apesar desse método utilizar tecnologias padrões nos clientes (DHCP e um web browser), é um mecanismo de segurança fácil de implementar em todos os clientes que suportam essas tecnologias. Apesar do navegador requisitar tráfego de qualquer servidor HTTP da rede, os switches da Extreme Networks com o web-based Network Login habilitado, redirecionarão este tráfego para uma página de boas vindas do Network Login.

Com o método web-based, ao invés de instalar os softwares de cliente 802.1x antes de ativar o Network Login, os usuários podem se conectar na rede pelo método web-based, serem redirecionados para um servidor de TI para receber informações de como baixar e instalar um client 802.1x e softwares adicionais. Isto reduz os custos e a complexidade na implementação de autenticação na rede.

O método MAC-based é voltado para dispositivos de rede que não suportam métodos de autenticação manual tais como telefones IP ou impressoras, permitindo a implementação de autenticação em todas as portas na rede.

MAC address security permite associar a porta à um endereço MAC específico e limitar o número de endereços MAC em uma porta.

Você pode desenvolver políticas de segurança dinâmicas com RADIUS Vendor Specific Attributes (VSAs). Por exemplo, uma VLAN pode ser associada à um usuário ou dispositivo dinamicamente. O Network Login opcionalmente criará a VLAN caso ela não existe no switch de acesso, reduzindo a sobrecarga no gerenciamento das VLANs. Na implementação da Extreme Networks de infra-estrutura de Porta Universal, as políticas de segurança vão além das associações dinâmicas de VLANs (veja figura 6).

As políticas dinâmicas podem incluir rate-limiting, QoS e ACLs dinâmicas. Estas são aplicadas imediatamente durante o processo de autenticação, sem depender de outro dispositivo externo para gerenciar as políticas. Além disso, é possível trabalhar com RADIUS ou LDAP/Active Directory. Políticas de segurança dinâmicas são ativadas e desativadas baseado na autenticação e hosts conectando ou desconectando na rede. A implementação destas políticas pode variar de acordo com a porta de conexão. A integração com eventos programados de acordo com o horário, permite, por exemplo, desabilitar o acesso wireless depois do horário comercial.

MAC Security permite associar um endereço MAC é uma porta específica e limitar o número de endereços MAC em uma porta. Isto pode ser utilizado para dedicar portas para host específicos ou dispositivos como telefones VoIP ou impressoras. Além disso, um período de ativação pode ser utilizado nessa definição de MAC, protegendo a rede de ataques onde a origem fica trocando de endereço MAC rapidamente.

O suporte de IP Security do ExtremeXOS protege a infra-estrutura da rede, serviços de rede tais como DHCP e DNS e até mesmo hosts de ataques de spoofing e man-in-the-middle. Isto também permite a proteção da rede de endereços IP configurados estaticamente, além de contruir uma tabela confiável com MAC/IP/Porta para que você identifique de onde vem o tráfego de um endereço específico para defesa imediata. As funcionalidades específicas incluem:

· Construir uma base de dados confiável com informações de MAC/IP/Porta para saber quando tomar uma atitude caso algo de errado aconteça

- “DHCP Option 82”, adiciona a porta + o ID da VLAN nas solicitações de DHCP

· Proteger a rede contra ameaças à partir de endereços de origem aleatórios

- Proteger a rede contra ataques man-in-the-middle e gravação de chamadas de VoIP

· Proteger os serviços da rede (DHCP, DNS, ...) contra servidores não autorizados

O ExtremeXOS fornece gerenciamento seguro via SSH2/SCP2/SSL e SNMPv3, permitindo autenticação e proteção contra ataques, bem como privacidade nos dados via encriptação. Protocolos de roteamento tal como OSPF-2 e BGP4 podem ser autenticados via MD5.

O ExtremeXOS fornece flexibilidade completa para vários tipos de rede através de um conjunto de protocolos de camada 2 e camada 3, oferecendo resiliência e controle para grandes redes.

Para resiliência de rede, o ExtremeXOS permite escolher entre protocolos padrões e protocolos de camada 2 mais avançados, otimizados para rápida resiliência e operação simplificada.

Spanning Tree Protocol: O ExtremeXOS suporta IEEE 802.1D STP, 802.1w RSTP e 802.1s MSTP. No modo Extreme Multiple Instance Spanning Tree Protocol, o ExtremeXOS permite uma porta ou uma VLAN pertencer à múltiplos domínios STP, permitindo maior flexibilidade em projetos de rede com STP. A implementação também é compatível com PVST+ e pode trabalhar em conjunto com IEEE 802.1Q.

Ethernet Automatic Protection Switching (EAPS, RFC 3619) é um protocolo que foi desenvolvido pela Extreme Networks, projetado para previnir loops em uma rede de Camada 2 com topologia anel. Sua função é similar ao STP, entretanto ele tem a vantagem de ter rápida convergência quando um link falha e é transparente para chamadas de voz, independente do número de switches no anel. O tempo é inferior à 50 milésimos de segundo na maioria das implementações.

A implementação de Virtual Router Redundancy Protocol (VRRP) do ExtremeXOS permite à um grupo de roteadores atuarem como um único default gateway virtual. Outra ferramenta de resiliência do ExtremeXOS é o Extreme Standby Routing Protocol™ (ESRP), que pode ser implementado em ambas as camadas 2 e 3. O ESRP pode ser utilizado no lugar de VRRP e STP permitindo simplicidade através de um único protocolo para redundância em Camada 2 e Camada 3.

A funcionalidade “software redundant port” permite resiliência de link e é fácil de implementar sem a complexidade dos protocolos de rede.

Extreme Link Status Monitoring (ELSM) protege a rede e a resiliência de protocolos contra links unidirecionais. Para aumento de banda, o link aggregation (estático e dinâmico via LACP) utiliza a banda de múltiplos links. IGMP Snooping e Multicast VLAN Registration protegem a banda da rede encaminhando para as portas e VLANs somente os pacotes de uma única vlan de multicast. EAPS, ESRP e VRRP suportam múltiplos domínios.

O ExtremeXOS oferece diversas funcionalidades de Camada 3 ideais para aumentar o controle e o gerenciamento de grandes redes. O software implementa rotas estáticas, RIP, OSPFv2 e BGP4 para External BGP (EBGP) e Internal BGP (IBGP).

O ExtremeXOS possui um amplo conjunto de protocolos de Roteamento IP multicast, incluindo PIM Dense Mode (PIM/DM), PIM Sparse Mode (PIM/ SM) e PIM Source Specific Multicast (PIM-SSM), que trabalham em conjunto com IGMPv1/v2/v3. Para escalabilidade de banda em ambientes roteados, o Equal Cost Multi Path (ECMP) utiliza a banda de múltiplos links.

IPv6 permite maior inteligência na rede e novas funcionalidades superiores ao IPV4. Entretanto, existem desafios específicos quando se fala em participar ativamente na transição para IPv6. A Extreme Networks desenvolveu a inteligência de IPv6 no ExtremeXOS desde o início. A Extreme Networks desenvolveu uma arquitetura que atende às necessidades de desempenho, flexibilidade e segurança do IPv6 sem comprometer a simplicidade operacional (veja figura 7).

As funcinalidades incluem forwarding IPv6 em camada 2 e camada 3, protocolos de roteamento e túneis. O ExtremeXOS permite proteção de investimento e permite transição segura tunelando o tráfego IPv6 através de partes da rede que não suportam IPv6.

A plataforma ExtremeXOS possui wire-speed ACLs, permitindo defesa e controle sobre os Protocolos de Internet da próxima geração que é parcialmente suportado pela maioria dos sistemas operacionais de clientes e servidores de hoje.

Especificações Técnicas

ExtremeXOS 12.1 Supported Protocols

Switching

RFC 3619 Ethernet Automatic Protection Switching (EAPS) and EAPSv2

IEEE 802.1D – 1998 Spanning Tree Protocol (STP)

IEEE 802.1D – 2004 Spanning Tree Protocol (STP and RSTP)

IEEE 802.1w – 2001 Rapid Reconfiguration for STP, RSTP

IEEE 802.1Q – 2003 (formerly IEEE 802.1s) Multiple Instances of STP, MSTP

EMISTP, Extreme Multiple Instances of Spanning Tree Protocol

PVST+, Per VLAN STP (802.1Q interoperable)

Draft-ietf-bridge-rstpmib-03.txt – Definitions of Managed Objects for Bridges with Rapid Spanning Tree Protocol

Extreme Standby Router Protocol (ESRP)

IEEE 802.1Q – 1998 Virtual Bridged Local Area Networks

IEEE 802.3ad Static load sharing configuration and LACP based dynamic configuration

Software Redundant Ports

IEEE 802.1AB – LLDP Link Layer Discovery Protocol

LLDP Media Endpoint Discovery (LLDP-MED), ANSI/TIA-1057, draft 08

Extreme Discovery Protocol (EDP)

Extreme Loop Recovery Protocol (ELRP)

Extreme Link State Monitoring (ELSM)

IEEE 802.1ag L2 Ping and traceroute, Connectivity Fault Management

Management and Traffic Analysis

RFC 2030 SNTP, Simple Network Time Protocol v4

RFC 854 Telnet client and server

RFC 783 TFTP Protocol (revision 2)

RFC 951, 1542 BootP

RFC 2131 BOOTP/DHCP relay agent and DHCP server

RFC 1591 DNS (client operation)

RFC 1155 Structure of Mgmt Information (SMIv1)

RFC 1157 SNMPv1

RFC 1212, RFC 1213, RFC 1215 MIB-II, Ethernet-Like MIB & TRAPs

RFC 1573 Evolution of Interface

RFC 1650 Ethernet-Like MIB (update of RFC 1213 for SNMPv2)

RFC 1901 – 1908 SNMP v2c, SMIv2 and Revised MIB-II

RFC 2570 – 2575 SNMPv3, user based security, encryption and authentication

RFC 2576 Coexistence between SNMP Version 1, Version 2 and Version 3

RFC 1757 RMON 4 groups: Stats, History, Alarms and Events

RFC 2021 RMON2 (probe configuration)

RFC 2925 Ping/Traceroute MIB

RFC 2668 802.3 MAU MIB

draft-ietf-hubmib-mau-mib-v3-02.txt

RFC 1643 Ethernet MIB

RFC 1493 Bridge MIB

RFC 1354 IPv4 Forwarding Table MIB

RFC 2737 Entity MIB v2

RFC 2233 Interface MIB

RFC 3621 PoE-MIB (PoE switches only)

Secure Shell (SSH-2) client and server

Secure Copy (SCP-2) client and server

Secure FTP (SFTP) server

sFlow version 5

Configuration logging

Multiple Images, Multiple Configs

RFC 3164 BSD Syslog Protocol with Multiple Syslog Servers

999 Local Messages (criticals stored across ––reboots)

Extreme Networks vendor MIBs (includes FDB, PoE, CPU, Memory MIBs)

XML APIs over Telnet/SSH and HTTP/HTTPS

Web-based device management interface – ExtremeXOS ScreenPlay

Stacking – SummitStack (Summit products with SummitStack feature only)

Security, Switch and Network Protection

Secure Shell (SSH-2), Secure Copy (SCP-2) and SFTP client/server with encryption/authentication (requires export controlled encryption module)

SNMPv3 user based security, with encryption/authentication (see above)

RFC 1492 TACACS+

RFC 2138 RADIUS Authentication

RFC 2139 RADIUS Accounting

RFC 3579 RADIUS EAP support for 802.1x

RADIUS Per-command Authentication

Access Profiles on All Routing Protocols

Access Policies for Telnet/SSH-2/SCP-2

Network Login – 802.1x, web and MAC-based mechanisms

IEEE 802.1x – 2001 Port-Based Network Access Control for Network Login

Multiple supplicants with multiple VLANs for Network Login (all modes)

Fallback to local authentication database (MAC and Web-based methods)

Guest VLAN for 802.1x

RFC 1866 HTML – Used for web-based Network Login and ScreenPlay

SSL/TLS transport – used for web-based Network Login and ExtremeXOS ScreenPlay, (requires export controlled encryption module)

MAC Security – Lockdown and Limit

IP Security – RFC 3046 DHCP Option 82 with port and VLAN ID

IP Security – Trusted DHCP Server

Layer 2/3/4 Access Control Lists (ACLs)

RFC 2267 Network Ingress Filtering

RPF (Unicast Reverse Path Forwarding) Control via ACLs

Wire-speed ACLs

Rate Limiting / Shaping by ACLs

IP Broadcast Forwarding Control

ICMP and IP-Option Response Control

SYN attack protection

CPU DoS Protection with traffic rate-limiting to management CPU

Robust against common Network Attacks:

CERT (http://www.cert.org)

CA-2003-04: “SQL Slammer”

CA-2002-36: “SSHredder”

CA-2002-03: SNMP vulnerabilities

CA-98-13: tcp-denial-of-service

CA-98.01: smurf

CA-97.28:Teardrop_Land -Teardrop and “LAND“ attack

CA-96.26: ping

CA-96.21: tcp_syn_flooding–

CA-96.01: UDP_service_denial

CA-95.01: IP_Spoofing_Attacks_ and_Hijacked_Terminal _Connections

IP Options Attack

Host Attacks

Teardrop, boink, opentear, jolt2, newtear, nestea, ––syndrop, smurf, fraggle, papasmurf, synk4, raped, winfreeze, ping –f, ping of death, pepsi5, Latierra, Winnuke, Simping, Sping, Ascend, Stream, Land, Octopus

Security, Router Protection – Requires Edge License or above

IP Security – DHCP enforcement via Disable ARP Learning

IP Security – Gratuitous ARP Protection

IP Security – DHCP Secured ARP/ARP Validation

Routing protocol MD5 authentication (see above)

Security Detection and Protection in Core and Aggregation Products

CLEAR-Flow, threshold based alerts and actions (BlackDiamond 10808, BlackDiamond 12800, BlackDiamond 8800 “c” series, and Summit X450a series in non-SummitStack configuration only)

IPv4 Host Requirements

RFC 1122 Host Requirements

RFC 768 UDP

RFC 791 IP

RFC 792 ICMP

RFC 793 TCP

RFC 826 ARP

RFC 894 IP over Ethernet

RFC 1027 Proxy ARP

RFC 2068 HTTP server

IGMP v1/v2/v3 Snooping with Configurable Router Registration Forwarding

IGMP Filters

Static IGMP Membership

Multicast VLAN Registration (MVR)

IPv4 Router Requirements – Requires Edge License or above

RFC 1812 Requirements for IP Version 4 Routers

RFC 1519 CIDR

RFC 1256 IPv4 ICMP Router Discovery (IRDP)

Static Unicast Routes

Static Multicast Routes

RFC 1058 RIP v1

RFC 2453 RIP v2

Static ECMP

RFC 1112 IGMP v1

RFC 2236 IGMP v2

RFC 3376 IGMP v3

RFC 1354 IP Forwarding Table MIB

RFC 1724 RIPv2 MIB

IPv4 Router Requirements – Requires Advanced Edge License or above

RFC 2338 VRRP

RFC 2787 VRRP MIB

RFC 2328 OSPF v2 (Edge-mode)

OSPF ECMP

OSPF MD5 Authentication

RFC 1587 OSPF NSSA Option

RFC 1765 OSPF Database Overflow

RFC 2370 OSPF Opaque LSA Option

RFC 3623 OSPF Graceful Restart

RFC 1850 OSPFv2 MIB

RFC 2362 PIM-SM (Edge-mode)

RFC 3569, draft-ietf-ssm-arch-06.txt PIM-SSM PIM Source Specific Multicast

draft-ietf-pim-mib-v2-o1.txt

IPv6 Host Requirements

RFC 2460, Internet Protocol, Version 6 (IPv6) Specification

RFC 2461, Neighbor Discovery for IP Version 6, (IPv6)

RFC 2463, Internet Control Message Protocol (ICMPv6) for the IPv6 Specification

RFC 2464, Transmission of IPv6 Packets over Ethernet Networks

RFC 2465, IPv6 MIB, General Group and Textual Conventions

RFC 2466, MIB for ICMPv6

RFC 2462, IPv6 Stateless Address Auto configuration – Host Requirements

RFC 1981, Path MTU Discovery for IPv6, August 1996 – Host requirements

RFC 3513, Internet Protocol Version 6 (IPv6) Addressing Architecture

RFC 3587, Global Unicast Address Format

Telnet server over IPv6 transport

SSH-2 server over IPv6 transport

Ping over IPv6 transport

Traceroute over IPv6 transport

IPv6 Interworking and Migration

RFC 2893, Configured Tunnels

RFC 3056, 6to4

IPv6 Router Requirements – Requires Edge License or above

RFC 2462, IPv6 Stateless Address Auto configuration – Router Requirements

RFC 1981, Path MTU Discovery for IPv6, August 1996 – Router requirements

RFC 2710, IPv6 Multicast Listener Discovery v1 (MLDv1) Protocol

RFC 3810, IPv6 Multicast Listener Discovery v2 (MLDv2) Protocol

Static Unicast routes for IPv6

RFC 2080, RIPng

Static ECMP

Core Protocols for Layer 2, IPv4 and IPv6 – Requires Core License or above

EAPSv2 Shared Ports – multiple interconnections between rings

PIM-DM Draft IETF PIM Dense Mode draft-ietf-idmr-pim-dm-05.txt, draft-ietf-pim-dm-new-v2-04.txt

RFC 3618 Multicast Source Discovery Protocol (MSDP)

RFC 3446 Anycast RP using PIM and MSDP

RFC 2740 OSPFv3, OSPF for IPv6

RFC 1771 Border Gateway Protocol 4

RFC 1965 Autonomous System Confederations for BGP

RFC 2796 BGP Route Reflection (supersedes RFC 1966)

RFC 1997 BGP Communities Attribute

RFC 1745 BGP4/IDRP for IP-OSPF Interaction

RFC 2385 TCP MD5 Authentication for BGPv4

RFC 2439 BGP Route Flap Damping

RFC 2918 Route Refresh Capability for BGP-4

RFC 3392 Capabilities Advertisement with BGP-4

RFC 4360 BGP Extended Communities Attribute

RFC 4486 Subcodes for BGP Cease Notification message

draft-ietf-idr-restart-10.txt Graceful Restart Mechanism for BGP

RFC 4760 Multiprotocol extensions for BGP-4

RFC 1657 BGP-4 MIB

Draft-ietf-idr-bgp4-mibv2-02.txt – Enhanced BGP-4 MIB

RFC 1195 Use of OSI IS-IS for Routing in TCP/IP and Dual Environments (TCP/IP transport only)

RFC 2763 Dynamic Hostname Exchange Mechanism for IS-IS

RFC 2966 Domain-wide Prefix Distribution with Two-Level IS-IS

RFC 2973 IS-IS Mesh Groups

Draft-ietf-isis-restart-02 Restart Signaling for IS-IS

Draft-ietf-isis-ipv6-06 Routing IPv6 with IS-IS

Draft-ietf-isis-wg-multi-topology-11 Multi Topology (MT) Routing in IS-IS

QoS, VLAN Services and MPLS

Quality of Service and Policies

IEEE 802.1D – 1998 (802.1p) Packet Priority

RFC 2474 DiffServ Precedence, including 8 queues/port

RFC 2598 DiffServ Expedited Forwarding (EF)

RFC 2597 DiffServ Assured Forwarding (AF)

RFC 2475 DiffServ Core and Edge Router Functions

VLAN Services: VLANs, vMANs

IEEE 802.1Q VLAN Tagging

IEEE 802.1v: VLAN classification by Protocol and Port

Port-based VLANs

Protocol-based VLANs

MAC-based VLANs

Multiple STP domains per VLAN

Upstream Forwarding Only / Disable Flooding

draft-sanjib-private-vlan-08.txt Private VLANs

Asymmetric VLANs

VLAN Translation

IEEE 802.1ad Provider Bridge Network, virtual MANs (vMANs)

vMAN Ethertype Translation/Secondary VMAN Ethertype

VLAN Aggregation (not applicable to Summit X150 and Summit X350)

Advanced VLAN Services, MAC-in-MAC, PBB-TE – Requires Advanced Edge License or above (BlackDiamond 10808 + BlackDiamond 12800 series only)

VLAN Translation in vMAN environments vMAN Translation

IEEE 802.1ah/D1.2 Provider Backbone Bridges (PBB)/MAC-in-MAC

IEEE 802.1Qay Provider Backbone Transfer (PBB-TE/PBT)

MPLS Layer 2 VPNs: Requires MPLS Feature Pack License (BlackDiamond 10808 BlackDiamond 12800R series only)

RFC 2205 Reservation Protocol

RFC 2961 RSVP Refresh Overhead Reduction Extensions

RFC 3031 Multiprotocol Label Switching Architecture

RFC 3032 MPLS Label Stack Encoding

RFC 3036 LDP

RFC 3209 RSVP-TE: Extensions to RSVP for LSP Tunnels

RFC 3630 Traffic Engineering Extensions to OSPFv2

RFC 4447 Pseudowire Setup and Maintenance Using the Label Distribution Protocol (LDP)

RFC 4448 Encapsulation Methods for Transport of Ethernet over MPLS Networks

RFC 4762 Virtual Private LAN Services (VPLS) using Label Distribution Protocol (LDP) Signaling

RFC 4205 IS-IS Extensions for Traffic Engineering

RFC 4379 Detecting Multi-Protocol Label Switched (MPLS) Data Plane Failures (LSP Ping)

RFC 3811 Definitions of Textual Conventions (TCs) for Multiprotocol Label Switching (MPLS) Management

RFC 3812 Multiprotocol Label Switching (MPLS) Traffic Engineering (TE) Management Information Base (MIB)

RFC 3813 Multiprotocol Label Switching (MPLS) Label Switching Router (LSR) Management Information Base (MIB)

RFC 3815 Definitions of Managed Objects for the Multiprotocol Label Switching (MPLS), Label Distribution Protocol (LDP)

draft-ietf-pwe3-pw-mib-06

draft-ietf-pwe3-pw-mpls-mib-07

draft-ietf-pwe3-enet-mib-06