Архитектура и принципы проектирования многоуровневых...

Станислав Рыпалов, CCIE R&S/Security #12561

Системный инженер

Архитектура и принципы

проектирования многоуровневых

корпоративных ЛВС. Часть 2.

Содержание

Основы многоуровневого дизайна кампуса

Основные сервисы

Рекомендации по проектированию

VSS

Виртуализация

Соображения IP телефонии

Качество обслуживания (QoS)

Безопасность

Собираем всѐ вместе

SiSiSiSi

SiSiSiSi

SiSi

Data Center

SiSi SiSi

Services

Block

Distribution Blocks

SiSi SiSi SiSi

Рекоммендации по

проектированию

VLAN 2 VLAN 2 VLAN 2

Distribution-A Distribution-B

Access-cAccess-a

Layer 3 Link

Access-n

шансы = 50% что

трафик пойдѐт по

неправильному пути

«Цепочки» коммутаторов на доступе

Обратный трафик имеет шансы 50/50 попасть в ‘Чѐрную дыру’

SiSiSiSi

SiSiSiSi

Доступ

Уровень 2

Распре-

деление

Уровень 2/3

Ядро

Уровень 3

Избегайте возможных «чѐрных дыр»

«Цепочки» коммутаторов на доступе

Технологии Stackwise/Stackwise-Plus решает задачу

Не требуются дополнительные замыкающие (loopback) соединения

Нет необходимость L2 соединения на уровне распределения

Если вы используете стэкируемые коммутаторы, эти проблемы не являются актуальными

HSRP Active

HSRP Standby

Forwarding

Forwarding

3750-E

SiSi

SiSi

Layer 3

Технология стэкирования избавляет от старой проблемы

VLAN 2VLAN 2

Что будет, если не соединять коммутаторы распределения? Медленная конвергенция STP

вызовет ощутимые потери трафика

STP может стать причинойнепредсказуемого пути для трафика и распределения нагрузки

Сходимость STP вызываетсходимость 3-го уровня

Таймеры STP и L3 независимы

Могут происходить ковергенция и ре-конвергенция L3

Даже если соединения распределения полагаются на STP и состояния соединений, это может стать причиной проблем с HSRP

B

2

STP Secondary

Root and HSRP

Standby

F 2

Access-b

SiSiSiSi

Core

Hellos

Access-a

STP Root and

HSRP Active

Трафик будет

отбрасываться,

пока работают

таймеры

MaxAge,

Listening и

Learning

Трафик будет

отбрасываться

до перехода в

режим

Forwarding; 50

секунд

Агрессивный таймер

HSRP ограничит

«чѐрную дыру» #1

Backbone fast

обеспечит за 30

сек. сходимость для

события #2

Даже с rapid

PVST+ минимум 1

секунда до события

#2

VLAN 2VLAN 2

Что если …? «Чѐрные дыры» и множественные Переходы …

Заблокированные соединения на access-b перейдут в forwarding за 50 секунд трафик отбрасывается до срабатывания HSRP на резервном коммутаторе

После таймера MaxAge (или backbone fast или Rapid PVST+) новый переход HSRP

Access-b используется как транзитный узел для трафика от access-a

HSRP Active (Temporarily)

MaxAge

Seconds Before

Failure Is

Detected…

Then Listening

and Learning

F: Forwarding

B: Blocking

Access-b

SiSiSiSi

Hellos

Доступ

Уровень 2

Распре-

деление

Уровень 2/3

Ядро

Уровень 3Core

STP Root and

HSRP Active

STP

Secondary

Root and

HSRP

Standby

Access-a

VLAN 2VLAN 2

Ассиметричная маршрутизация (Unicast Flooding)

Влияет на отказоустойчивые топологии с общим L2 доступом

Один путь «наверх» два пути «вниз»

Таймеры обнуляются в CAM таблице коммутатора standby HSRP

Без начального пакета в CAM происходит рассылка на все порты VLAN

Downstream

Packet

Flooded

Upstream Packet

Unicast to

Active HSRP

Asymmetric

Equal Cost

Return Path

CAM Timer Has

Aged Out on

Standby HSRP

VLAN 2 VLAN 2

SiSi SiSi

VLAN 2

Предотвращение Unicast Flooding

На каждый коммутатор доступа назначайте уникальные VLAN данных голосовой VLAN

Теперь трафик попадает только в один транк

Коммутатор доступа отправляет пакет корректно;в один порт

Если требуется:

Подстройте таймеры ARP и CAM; таймер CAM превышает таймер ARP

Подправьте метрики маршрутизации чтобы избавиться от экв. маршрутов

Downstream

Packet

Flooded on

Single Port

Upstream Packet

Unicast to

Active HSRP

Asymmetric

Equal Cost

Return Path

VLAN 3 VLAN 4 VLAN 5

SiSi SiSi

Альтернативный

дизайн с VSS

Управление как одним устройством, отсутствие петель, нет зависимости от

STP, не требуется применение протоколов защиты шлюза по умолчанию

Лучшая производительность и масштабируемость Active-Active Multi-Chassis

Etherchannel (802.3ad/PagP) –нет заблокированных соединений

Субсекундная сходимость и восстановление в случае выхода из строя

коммутатора или соединения (SSO/NSF)

Catalyst 6500 Virtual Switching SystemОбзор

Коммутатор доступа

Сервер

10GE

Классический

SiSi SiSi

VSS физический

SiSi

Сервер

10GE

Коммутатор доступа

802.3ad

802.3adили

PagP

SiSiSiSi

СерверКоммутатор доступа

VSS логический

802.3adили

PagP 802.3ad

VSS в сети предприятия

VSS на распределении

Access

L2/L3

Distribution

L3 Core

Нет FHRP,

Нет петель

Снижение L3

соседств, снижение

времени

конвергенции

Несколько активных

соединений на

VLAN, нет

сходимости STP

Упрощение настроекОтдельное устройство

(конфигурация второго устройства не показана)VSS

(конфигурация одного устройства)

Spanning Tree Configuration

! Enable 802.1d per VLAN spanning tree enhancements.

spanning-tree mode pvst

spanning-tree loopguard default

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

spanning-tree uplinkfast

spanning-tree backbonefast

spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority

24576!

! Enable 802.1d per VLAN spanning tree enhancements

spanning-tree mode rapid-pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority

24576

L3 SVI Configuration

! Define the Layer 3 SVI for each voice and data VLAN

interface Vlan4

description Data VLAN for 4507 SupII+

ip address 10.120.4.3 255.255.255.0

no ip redirects

no ip unreachables

! Reduce PIM query interval to 250 msec

ip pim query-interval 250 msec

ip pim sparse-mode

load-interval 30

! Define HSRP default gateway with 250/800 msec hello/hold

standby 1 ip 10.120.4.1

standby 1 timers msec 250 msec 800

! Set preempt delay large enough to allow network to stabilize

before HSRP

! switches back on power on or link recovery

standby 1 preempt delay minimum 180

! Enable HSRP authentication

standby 1 authentication cisco123

! Define the Layer 3 SVI for each voice and data VLAN

interface Vlan2

description Data VLAN for 4507 SupII+

ip address 10.120.2.1 255.255.255.0

no ip redirects

no ip unreachables

ip pim sparse-mode

load-interval 30

Введение в Virtual Switching SystemКонцепция

Virtual Switch Domain

Virtual Switch Link

Active Standby Hot Control Plane

Switch 1 Switch 2Data Plane

Архитектура Virtual Switching System Virtual Switch Link (VSL)

Virtual Switch Link объединяет два физических коммутатора

вместе – обеспечивает механизм синхронизации

Virtual Switch Active

Virtual Switch Standby

Virtual Switch Link

VS Header L2 Hdr L3 Hdr Data CRC

Архитектура Virtual Switching System Инициализация

Процесс инициализации состоит из 3-х основных шагов:

Протокол Role Resolution Protocol (RRP) используется для определения

совместимости оборудования и ПО для формирования VSL и определяет

какой из коммутаторов будет активным с точки зрения шины управления

LMP

RRP

Протокол Link Management Protocol (LMP) используется для отслеживания и

отброса однонаправленных соединений, обмена параметрами Chassis ID и

другой информацией между коммутаторами

Определение соединений VSL Link Bringup1

2

3

LMP

RRP

Архитектура Virtual Switching SystemVSLP Ping

Новый механизм ping был имплементирован в VSS для

проверки соединений VSL - VSLP Ping

VSL

Switch1 Switch2

VSLP Ping

vss#ping vslp output interface tenGigabitEthernet 1/5/4

Type escape sequence to abort.

Sending 5, 100-byte VSLP ping to peer-sup via output port 1/5/4, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms

VSLP Ping работает по-интерфейсно per-physical interface отображает COUNT, DESTINATION, SIZE,

TIMEOUT …

VSLP Ping

VSLP PingVSLP Ping

• Один активный супервизор с включенным функционалом inter-chassis Stateful Switchover (SSO)

• Active супервизор обеспечивает работу функций control plane таких как протоколы (routing, EtherChannel, SNMP, telnet, etc.) и управление оборудованием (Online Insertion Removal, port management)

• Active/Standby супервизоры синхронизируют состояния (boot-env, running-configuration, состояния протоколов линейных карт)

Virtual Switching SystemОбщая шина управления

Active Supervisor

SF RP PFC

CFC or DFC Line Cards





Standby HOT Supervisor

SF RP PFC

VSLCFC or DFC Line Cards







SSO

Synchronization

• Активны обе шины коммутации

• Супервизор Standby и все линейные карты активны и участвуют в

коммутации

Virtual Switching SystemДвойная активная шина коммутации

VSS# show switch virtual redundancy

My Switch Id = 1

Peer Switch Id = 2<snip>

Switch 1 Slot 5 Processor Information :----------------------------------------------

-Current Software state = ACTIVE

<snip>Fabric State = ACTIVE

Control Plane State = ACTIVESwitch 2 Slot 5 Processor Information :----------------------------------------------

-Current Software state = STANDBY HOT (switchover target)

<snip>Fabric State = ACTIVE

Control Plane State = STANDBY

Data PlaneActive

Data Plane Active

SiSiSiSi

Switch1 Switch2

Архитектура Virtual Switching SystemMultichassis EtherChannel (MEC)

Соединения Etherchannel могут быть распределены между двумя

физическими шасси

Традиционный Etherchannel на одно

шасси

Multichassis EtherChannel на 2 VSS-

шасси

VSS

Поддерживаются протоколы LACP и

PAGP и ручной режим ON-ON…

Standalone

SiSiSiSi

Архитектура Virtual Switching SystemПуть сетевого трафика в случае сбоев

• MEC или ECMP – основные механизмы восстановления после сбоя соединения/устройства

SiSiSiSi

SiSiSiSi

Выход из строя шасси VSS

SiSiSiSi

Выход из строя соединения на доступВыход из строя соединения в ядро

SW1 SW2 SW1 SW2 SW1 SW2

Архитектура Virtual Switching System

Алгоритмы EtherChannel Hash для MEC

Link 1 Link 2

Алгоритмы хэширования для Etherchannel модифицированны

таким образом чтобы трафик всегда уходил через локальные

интерфейсы VSS

Синий трафик к

серверу будет

отправлен через Link

1 в соединении

MEC…

Оранжевый трафик

к серверу будет

отправлен через Link

2 в соединении MEC

…

Архитектура Virtual Switching System

поддержка резервных супервизоров

• Сбой в работе любого из супервизоров

приводит к остановке коммутации на

линейных картах в рамках шасси –

снижение полосы VSS на 50%

• Отдельные устройства могут иметь только

одно подключение к VSS по ряду причин

(нерекомендуемый дизайн)

– Сервисные модули/Сервера

– Цена $$

• Выход из строя супервизора требует

ручного вмешательства для

восстановления работы шасси

– Соединения не активны когда супервизор

находится в режиме ROMMON

– Непредсказуемое время восстановления

– Ручной процесс установки и настройки в

режим VSS нового супервизора установки

нов

• Для чего требуются резервные супервизоры?

SiSiSiSi

Аппаратная поддержка VSS Catalyst 6500Модули супервизора

Супервизоры с поддержкой VSS

Supervisor Engine 2T

Supervisor Engine 720-10GE

Интерфейсы 10GE с поддержкой VSL

Новые микросхемы ASICs

Поддержка полей для маркировки и пересылки трафика между шасси

MAC address learning на двух шасси

VSS не поддерживается на Supervisor Engine 720 или других старых супервизорах

VS-S720-10G-3C/XL

VS-S2T-10G/XL

Аппаратная поддержка VSS Catalyst 4500-X

Виртуализация

Что такое виртуализация сети? Поддержка одной физической сетью нескольких виртуальных

С точки зрения пользователя – это подключение к выделенной сети с независимыми политиками безопасности, маршрутизации, качества обслуживания и пр.

Обеспечение иерархии и виртуализации устройств, путей и сервисов

Оптимальное использование существующих ресурсов сетиВнутренние

подразделенияДочерняя компания

Сеть гостевого доступа

Дизайн сети предприятия

Обзор MPLS VPN Позволяет поставщику услуг предоставлять сервис для подключения сетей разных клиентов

Трафик от клиентов инкапсулируется в MPLS и доставляется на устройства PE/CE

У каждого клиента может быть свое адресное пространство, пересекающееся с другими клиентами

Изоляция путей (Path Isolation)

Виртуализация устройства

Виртуализация контрольной шины

Виртуализация шины данных

Виртуализация сервисов

Виртуализация каналов данных

Hop-by-Hop (сквозной VRF-Lite)

Multi-Hop (VRF-Lite + GRE, MPLS VPN)

Эволюция VRF – Easy Virtual Network

VRF родился от MPLS VPN

Применяется без MPLS в VRF-Lite

EVN добавляет зрелости VRF

Обзор Easy Virtual Network

Транки в ЛВС

упрощение настройки

автоматическая настройка VRF на транке

Репликация маршрутов

Общие сервисы на базе IGP протоколов

Не требуется BGP

Снижение сложности при поиске неисправностей

routing-context, traceroute, debug condition, cisco-vrf-mib

Доступно на ASR1K, Cat6500 и Cat4500 сейчас

Easy Virtual Network – как это работает?

Создайте L2 VLANs на уровне доступаи отправьте его через транк на первый хоп L3

Опишите VRFs на каждом L3 устройстве. Создайте связку VLAN – VRF.

Настройте IGP протокол для каждого VRF на всех устройствах L3

Настройте VNET транк на каждом физическом интерфейсе ядра. Используется тот же самый тэг 802.1Q

При добавлении новых VRF не требуетсядобавление подинтерфейсов. Это автоматически производится VNET транком

Совместимость EVN и VRF

VRF-Lite Subinterface Config

interface TenGigabitEthernet1/1

ip address 10.122.5.1 255.255.255.252

ip pim query-interval 1

ip pim sparse-mode

interface TenGigabitEthernet1/1.101

description Subinterface for Red VRF

encapsulation dot1Q 101

ip vrf forwarding red

ip address 10.122.5.1 255.255.255.252


ip pim sparse-mode


description Subinterface for Green VRF


ip vrf forwarding green

ip address 10.122.5.1 255.255.255.252


ip pim sparse-mode

VNET Trunk Config


vnet trunk

ip address 10.122.5.2 255.255.255.252


ip pim sparse-mode

Global Config:

vrf definition red

vnet tag 101

vrf definition green

vnet tag 102

Оба маршрутизатора имеют настроенные VRFНа EVN маршрутизаторе VNET тэги

Интеграция VRF с L2 Edge

interface vlan 21

vrf forwarding red

interface vlan 22

vrf forwarding green

interface vlan 23

vrf forwarding blue

interface vlan 31

vrf forwarding red

interface vlan 32


interface vlan 33

vrf forwarding blue

vrf definition red

vnet tag 101


vnet tag 102

vrf definition blue

vnet tag 103

interface g1/0

vnet trunk

EVN - Show Derived-config

show run show derived-config

Router# show derived-config

. . .

interface Ethernet1/0

vnet trunk

ip address 10.122.6.11 255.255.255.0

ip pim sparse-mode

!

interface Ethernet1/0.101

description Subinterface for VNET red

vrf forwarding red


ip address 10.122.6.11 255.255.255.0

ip pim sparse-mode

!

interface Ethernet1/0.102

description Subinterface for VNET green



ip address 10.122.6.11 255.255.255.0

ip pim sparse-mode

. . .

Router# show run

. . .

interface Ethernet1/0

vnet trunk

ip address 10.122.6.11 255.255.255.0

ip pim sparse-mode

. . .

VNET Trunk – настройка индивидуальных параметров

VRF-Lite Subinterface Config VNET Trunk Config


ip address 10.122.5.1 255.255.255.252

ip ospf cost 20

ip pim sparse-mode


description Subinterface for Red VRF


ip vrf forwarding red

ip address 10.122.5.1 255.255.255.252

ip ospf cost 20

ip pim sparse-mode


description Subinterface for Green VRF


ip vrf forwarding green

ip address 10.122.5.1 255.255.255.252

ip ospf cost 30


vnet trunk

ip address 10.122.5.2 255.255.255.252

ip ospf cost 20

ip pim sparse-mode

vnet name green

no ip pim sparse-mode

ip ospf cost 30

Global Config:

vrf definition red

vnet tag 101


vnet tag 102

Отдельные специфические настройки интерфеса можно менять для отдельного VRF

VRF List

Анонсирование сервисов

Сервисы которые не хочется

дублировать:

Internet шлюз

Firewall и NAT - DMZ

DNS

DHCP

Требуется IP связность между VRF

Обычно достигается при помощи

возможностей Extranet или Fusion

Router/FW

Варианты анонсирования сервисов

Fusion Router/FW – Internet шлюз,

NAT/DMZ

Extranet – DNS, DHCP

Анонсирование сервисов - конфигурацияДо:

Преимущества Route-Replication:• не требуется BGP• не требуется Route Distinguisher• не требуется Route Targets • не требуется Import/Export • простое внедрение• поддерживаются Unicast/Mcast

vrf definition SHARED

address-family ipv4

route-replicate from vrf RED unicast all route-map red-map

route-replicate from vrf GREEN unicast all route-map grn-map

После:

vrf definition RED

address-family ipv4

route-replicate from vrf SHARED unicast all

vrf definition GREEN

address-family ipv4

route-replicate from vrf SHARED unicast all

ip vrf SHARED

rd 3:3

route-target export 3:3

route-target import 1:1


!

ip vrf RED

rd 1:1



!

ip vrf GREEN

rd 2:2



!

router bgp 65001

bgp log-neighbor-changes

!

address-family ipv4 vrf SHARED

redistribute ospf 3

no auto-summary

no synchronization

exit-address-family

!address-family ipv4 vrf RED

redistribute ospf 1

no auto-summary

no synchronization

exit-address-family

!address-family ipv4 vrf GREEN

redistribute ospf 2

no auto-summary

no synchronization

exit-address-family

!

Внедрение QoS

EVN – поддержка на оборудовании

Platform Release FCS Date

ASR1K IOS XE 3.2S Nov 2010

Cat6K – Sup2T 15.0(1)SY1 March 2012

Cat4K15.1(1)SGIOS XE 3.3.0SG

April 2012

Cat6K – Sup720* Roadmap Future

Cat3K-X Roadmap Future

ISR-G2 Roadmap Future

Nexus 7K Roadmap Future

Cat4K Release/Platforms:15.1(1)SG:Sup6-E, Sup6L-E, 4900M, 4948E, 4940E-FIOS XE 3.3.0SG: Sup7-E, Sup7L-E, 4500-X

* Sup720 не поддерживает VNET Trunk

“Many of the products and features described herein remain in varying stages of development and will be offered on a when-and-if-available basis. This roadmap is subject to change at the sole discretion of Cisco, and Cisco will have no liability for delay in the delivery or failure to deliver any of the products or features set forth in this document.”

Инфраструктурные

решения для IP

телефонии

ДоступАвт. обнаружение телефонов

Питание Inline power

QoS: приоритезация, граница доверия и классификация

Быстрая сходимость

РаспределениеВысокая доступность, отказоустойчивость, быстрая сходимость

Применение политик

QoS: приоритезация, граница доверия и классификация

ЯдроВысокая доступность, отказоустойчивость, быстрая сходимость

QoS: приоритезация, граница доверия

Сеть кампуса для UC

Data CenterWAN Internet

Layer 3

Equal Cost

Links

Layer 3

Equal Cost

Links

SiSi SiSi SiSi SiSi SiSi SiSi

SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Access

Distribution

Core

Distribution

Access

Интеграция инфраструктуры, QoS и доступность

Интеграция инфраструктур

Телефон содержит 3-х портовый коммутатор, который настраивается при участии коммутатора доступа и CallManager’а

1. Подача питания/определение мощности

2. Настройка VLAN

3. Взаимодействие с 802.1x

4. Настройка QoS

5. DHCP и регистрация на CallManager

Обнаружение IP телефона, подача питания

Обмен CDP между телефоном и коммутатором

Назначение IP телефона в корректный VLAN

Запрос DHCP и регистрация на Call Manager

Расширение границы сети

Интеграция инфраструктур: первый шаг

Устройства Cisco prestandard вначале получают 6.3 Вт и далее через CDP согласовывается требуемая мощность

Устройства 802.3af вначале получают 12.95 Вт если PSE не может определить класс устройства

Класс Исп.Минимальный уровень выдаваемой мощности

на PSE

Максимальный уровень потребляемой мощности на

устройстве

0 Default 15.4W 0.44 to 12.95W

1 Optional 4.0W 0.44 to 3.84W

2 Optional 7.0W 3.84 to 6.49W

3 Optional 15.4W 6.49 to 12.95W

4Reserved for

FutureUse

Treat as Class 0Reserved for Future Use: a Class 4 Signature Cannot Be Provided by a

Compliant Powered Device

Согласование требований питания

Расширенное согласование мощности

Обмен CDP позволяет определить точную потребляемую мощность после начального включения

Подключение PD

Телефон передаѐт по CDP параметры потреб.мощности и список поддерживаемых режимов

Коммутатор отправляет CDP ответ

со своими параметрами

В зависимости от возможностей

согласовывается финальная мощность

Обнаружение устр-ва IEEE PD

Классификация PD

Подача питания

PD—устройствоCisco 7970

PSE—источник питанияCisco 6500,4500, 3750, 3560

802.3af + двунаправленный обмен CDP (Cisco 7970)

Соображения дизайна для PoE

Коммутатор управляет питанием в зависимости от требований PD, а не реального потребления

Потребляемая устройством мощность не является постоянной

7960G требует 7Вт при звонке на максимальной громкости и 5Вткогда трубка снята или положена

Требуется понимание поведения устройства PoE

Применяйте статические конфигурации с осторожностью

Используйте онлайн-калькулятор для расчѐта

http://www.cisco.com/go/powercalculator

Динамическое выделение:

power inline auto max 7200

Статическое выделение:

power inline static max 7200

Управление питанием

http://www.cisco.com/go/powercalculator

Интеграция инфраструктур: следующие шаги

Во время начального обмена CDP телефон получает номер голосового Voice VLAN ID (VVID)

Через поля CDP TLV телефон получает настройки QoS

Доступны LLDP/LLDP-MED …

Коммутатор может пропускать стадию 802.1x аутентификации дляVVID если обнаруживает IP телефон Cisco

PC VLAN = 10

(PVID)

Phone VLAN = 110

(VVID)

Native VLAN (PVID) не требует изменений в

конфигурации

Инкапсуляция 802.1Q с 802.1p CoS Уровня 2

Конфигурация VLAN, QoS и 802.1x

Качество

обслуживания

Лучшие практики—Качество обслуживания

Требует сквозного внедрения. Разные уровни выполняют разную, но одинаково важную роль.

Обеспечивает защиту критически важных приложений от влияния перегрузки на соединениях и задержек в очередях

Узлы агрегации должны обеспечивать применение политик QoS

Необходима поддержка очередей с несколькими критериями доступа и обслуживания


Layer 3 Equal

Cost Links

Layer 3 Equal

Cost Links

End-to-End QoS


SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Переполнение очереди передачи

WAN

Router

128k Uplink10/100m Queued

Access Switch

100 Meg Link1 Gig Link Queued

Distribution Switch

100 Mбит/с в 128 Кб/с —Пакеты приходят быстрее чем могут выйти

Пакеты помещаются в очередь до отправки с медленного интерфейса

1 Гб/с в 100 Мбит/с —Пакеты приходят быстрее чем могут выйти

Пакеты помещаются в очередь до отправки с медленного интерфейса

Auto QoS VoIP—жизнь проще …

!

interface FastEthernet1/0/21

srr-queue bandwidth share 10 10 60 20

srr-queue bandwidth shape 10 0 0 0

mls qos trust device cisco-phone

mls qos trust cos

auto qos voip cisco-phone

end

Access-Switch(config-if)#auto qos voip ?

cisco-phone Trust the QoS marking of Cisco IP Phone

cisco-softphone Trust the QoS marking of Cisco IP SoftPhone

trust Trust the DSCP/CoS marking

Access-Switch(config-if)#auto qos voip cisco-phone

Access-Switch(config-if)#exit

Настройки QoS для VoIP на коммутаторах кампуса

Безопасность

WAN Internet

End-to-End Security


SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Рекомендации—Безопасность Кампуса

Будем говорить про …! Набор средств безопасности Catalyst!

Dynamic port security, DHCP snooping, Dynamic ARP inspection, IP source

guard

Вещи про которые вы знаете —мы рассматривать не будем…

Используйте SSH вместо Telnet

Включайте AAA и ролевой доступ(RADIUS/TACACS+) для CLI на всех устройствах

Включайте SYSLOG на сервер. Сохраняйте и архивируйте логи.

Используйте SNMPv3

Выключайте ненужные сервисы:

No service tcp-small-servers No service udp-small-servers

Используйте FTP или SFTP (SSH FTP) для управления имиджами ПО и конфигурационными файлами—избегайтеTFTP

Устанавливайте VTY access-lists

Включайте механизмы защиты шины управления (EIGRP, OSPF, BGP, HSRP, VTP, etc.)

Фильтруйте RFC2827

BPDU Guard

Проблема:

Точки доступа WLAN не пересылают BPDUs

Несколько машин Windows XP могут создать петлю создать петлю в проводном VLANчерез WLAN

Решение:

На портах коммутаторов к которым подключены рабочие станции можно настроить BPDU Guard

Win XP

Bridging

Enabled

Win XP

Bridging

Enabled

BPDU Guard

Disables Port

STP Loop

Formed

BPDU

Generated

BPDU

Discarded

Предотвращение петель через WLAN (Windows XP Bridging)

Port Security ограничивает кол-во MAC-адресов на порту коммутатора, блокирует порт и посылает SNMP trap

00:0e:00:aa:aa:aa

00:0e:00:bb:bb:bb

Средство Script Kiddie позволяет атакующему переполнить CAMтаблицу коммутатора; превратить VLAN в ХАБ и получать все пакеты

Размер CAM таблицы коммутатора ограничен

Только 3 MAC

адреса

разрешены на

порту: Shutdown250,000 MAC

в секунду

Проблема Решение:

switchport port-security

switchport port-security maximum 10

switchport port-security violation restrict

switchport port-security aging time 2

switchport port-security aging type inactivity

Защита Уровня 2 от атак прослушиванияБорьба с атаками основанных на манипуляциях с MAC-адресами

DHCP Snooping

DHCP запросы (discover) и ответы (offer) отслеживаются

Снижение скорости запросов на доверенных интерфейсах для защиты от DoS атак на DHCP сервер

Запрет ответов (offers) с недоверенных интерфейсов; остановка подозрительных DHCP серверов

DHCP

Server

1000 DHCP запросов на сервер DHCP

1

2

Защита от нелегитимных серверов DHCP

Защита Уровня 2 от атак прослушивания

Dynamic ARP inspection защищает от атак и использованием ARP (ettercap, dsnif, arpspoof)

Использует таблицу DHCP snooping

Отслеживает MAC и IP из транзакций DHCP

Ограничивает запросы ARP с клиентских портов, останавливает сканирование портов

Отбрасывает bogus gratuitous ARPs; блокирует ARP poisoning/MIM атаки

SiSiGateway = 10.1.1.1

MAC=A

Attacker = 10.1.1.25

MAC=B

Victim = 10.1.1.50

MAC=C

Gratuitous ARP

10.1.1.1=MAC_B

Gratuitous ARP

10.1.1.50=MAC_B

Защита ARP

IP Source Guard

IP source guard защищает от подделки IP адресов

Используется таблица DHCP snooping

Отслеживается ассоциация IP адреса и порта

Динамически программируется ACL на порту для сброса трафика исходящего от IP адресаприсвоенного не черезDHCP

SiSiGateway = 10.1.1.1

MAC=A

Attacker = 10.1.1.25 Victim = 10.1.1.50

Hey, I’m 10.1.1.50 !

Защита IP адресов от замены/подделки

Интегрированные функции безопасности

Port security предотвращает атакуMAC flooding

DHCP snooping предотвращает клиентские атаки на коммутатор и сервер

Dynamic ARP Inspection добавляет безопасности к ARP используя таблицу DHCP snooping

IP source guard защищает IP адрес источника от spoofing’а используя таблицу DHCP snooping

ipdhcp snooping

ipdhcp snooping vlan 2-10

iparp inspection vlan 2-10

!

interface fa3/1


switchport port-security max 3

switchport port-security violation

restrict


switchport port-security aging type

inactivity

ip arp inspection limit rate 100

ip dhcp snooping limit rate 100

ip verify source vlan dhcp-snooping

!

Interface gigabit1/1

ipdhcp snooping trust

iparp inspection trust

IP Source Guard

Dynamic ARP Inspection

DHCP Snooping

Port Security

Cisco IOS обеспечивает

Архитектура

Иерархический кампус


Доступ

Распре-

деление

Ядро

Распре-

деление

Доступ


SiSi SiSi

SiSi SiSi

SiSi SiSi

SiSi SiSi

Соединения L3 на уровне распределения

Балансировка нагрузки через отстроенный CEF

Проверка настроек CatOS/IOS EtherChannel для балансировки

Суммаризация маршрутов в сторону ядра

Ограничение избыточных/резерв.

IGP соединений

Настройка STP Root и HSRP primaryили GLBP для балансировки нагрузки на uplink’ах

Устанавливаем trunk mode on/no-negotiate

Выключаем EtherChannel,

если не используем

На уровне доступа:

Выключить trunkingВыключить EtherChannelВключить PortFast

RootGuard или BPDU-Guard

Используем функции безопасности

Доступ

Распре-

деление

Ядро

Доступ Уровень 2— нет VLAN’ов распределѐнных по уровню доступа

VLAN 120 Voice

10.1.120.0/24

Point-to-Point Link

VLAN 20 Data

10.1.20.0/24

VLAN 140 Voice

10.1.140.0/24

SiSi SiSi

SiSi SiSi

VLAN 40 Data

10.1.40.0/24

Layer 3

VLAN 250 WLAN

10.1.250.0/24

Соединения L2 на уровне распределения

Балансировка нагрузки через отстроенный CEF

Проверка настроек CatOS/IOS EtherChannel для балансировки

Суммаризация маршрутов в сторону ядра

Ограничение избыточных/резерв.

IGP соединений

Настройка STP Root и HSRP primary или GLBP и STP port cost для балансировки на uplink’ах

Устанавливаем trunk mode on/no-negotiate

Выключаем EtherChannel, если не используем

RootGuard на downlink’ах

LoopGuard на uplink’ах

На уровне доступа:

Выключить trunkingВыключить EtherChannelВключить PortFast

RootGuard или BPDU-Guard

Используем функции безопасности

VLAN 120 Voice

10.1.120.0/24

Trunk

VLAN 20 Data

10.1.20.0/24

VLAN 140 Voice

10.1.140.0/24

SiSi SiSi

SiSi SiSi

Layer 2

Доступ Уровень 2— часть VLAN’ов распределены по уровню доступа

VLAN 40 Data

10.1.40.0/24

Доступ

Распре-

деление

Ядро

VLAN 20 Data

10.1.20.0/24

Маршрутизируемый доступ и VSS

VLAN 120 Voice

10.1.120.0/24

P-to-P Link

Layer 3

VLAN 20 Data

10.1.20.0/24

VLAN 140 Voice

10.1.140.0/24

VLAN 40 Data

10.1.40.0/24

SiSi SiSi

SiSi SiSi

New Concept

VLAN 40 Data

10.1.40.0/24

VSS & vPC

VLAN 120 Voice

10.1.120.0/24VLAN 140 Voice

10.1.140.0/24

Развитие существующего дизайна

Доступ

Распре-

деление

Ядро

VLAN 250 WLAN

10.1.250.0/24

SiSi SiSi

SmartPorts — готовая конфигурацияAccess-Switch#show parser macro brief

default global : cisco-global

default interface: cisco-desktop

default interface: cisco-phone

default interface: cisco-switch

default interface: cisco-router

default interface: cisco-wireless

Access-Switch(config-if)#$ macro apply cisco-phone

$access_vlan 100 $voice_vlan 10

Access-Switch#show run int fa1/0/19

!

interface FastEthernet1/0/19

switchport access vlan 100

switchport mode access

switchport voice vlan 10

switchport port-security maximum 2



switchport port-security violation restrict

switchport port-security aging type inactivity

srr-queue bandwidth share 10 10 60 20

srr-queue bandwidth shape 10 0 0 0

mls qos trust device cisco-phone

mls qos trust cos

macro description cisco-phone

auto qosvoipcisco-phone

spanning-tree portfast

spanning-tree bpduguard enable

end

SiSiSiSi

SiSi SiSi

ИТОГО

Offers hierarchy—each layer has specific role

Modular topology—building blocks

Easy to grow, understand, and troubleshoot

Creates small fault domains—Clear demarcations and isolation

Promotes load balancing and redundancy

Promotes deterministic traffic patterns

Incorporates balance of both Layer 2 and Layer 3 technology, leveraging the strength of both

Utilizes Layer 3 routing for load balancing, fast convergence, scalability, and control


Layer 3

Equal Cost

Links

Layer 3

Equal Cost

Links

Доступ

Распре-

деление

Ядро

Распре-

деление

Доступ


SiSi SiSi

SiSi SiSi

SiSi SiSi

SiSi SiSi

Иерархия—каждый уровень имеет свою роль

Модульность—строительные блоки

Легко наращивать, понимать, устранять неисправности

Создаѐм независимые домены— чѐткие границы и изоляция

Обеспечиваем балансировку нагрузки и отказоустойчивость

Определѐнность пути для трафика

Использование баланса и преимуществ технологий уровня 2 и 3

Технологии маршрутизации для балансировки нагрузки, быстрой сходимости и масштабируемости

Полезные материалы—Design Zone

High Availability Campus Design Guide

High Availability Campus Convergence Analysis

High Availability Campus Design Guide—Routed Access EIGRP and OSPF

http://www.cisco.com/go/srnd

http://www.cisco.com/go/srnd

Вопросы и Ответы

Спасибо!

Заполняйте анкеты он-лайн и получайте подарки в

Cisco Shop: http://ciscoexpo.ru/expo2012/quest

Ваше мнение очень важно для нас!

Архитектура и принципы проектирования многоуровневых...

Technology

Transcript of Архитектура и принципы проектирования многоуровневых...