Архитектура и принципы проектирования многоуровневых...
-
Upload
cisco-russia -
Category
Technology
-
view
668 -
download
2
description
Transcript of Архитектура и принципы проектирования многоуровневых...
Станислав Рыпалов, CCIE R&S/Security #12561
Системный инженер
Архитектура и принципы
проектирования многоуровневых
корпоративных ЛВС. Часть 2.
Содержание
Основы многоуровневого дизайна кампуса
Основные сервисы
Рекомендации по проектированию
VSS
Виртуализация
Соображения IP телефонии
Качество обслуживания (QoS)
Безопасность
Собираем всѐ вместе
SiSiSiSi
SiSiSiSi
SiSi
Data Center
SiSi SiSi
Services
Block
Distribution Blocks
SiSi SiSi SiSi
Рекоммендации по
проектированию
VLAN 2 VLAN 2 VLAN 2
Distribution-A Distribution-B
Access-cAccess-a
Layer 3 Link
Access-n
шансы = 50% что
трафик пойдѐт по
неправильному пути
«Цепочки» коммутаторов на доступе
Обратный трафик имеет шансы 50/50 попасть в ‘Чѐрную дыру’
SiSiSiSi
SiSiSiSi
Доступ
Уровень 2
Распре-
деление
Уровень 2/3
Ядро
Уровень 3
Избегайте возможных «чѐрных дыр»
«Цепочки» коммутаторов на доступе
Технологии Stackwise/Stackwise-Plus решает задачу
Не требуются дополнительные замыкающие (loopback) соединения
Нет необходимость L2 соединения на уровне распределения
Если вы используете стэкируемые коммутаторы, эти проблемы не являются актуальными
HSRP Active
HSRP Standby
Forwarding
Forwarding
3750-E
SiSi
SiSi
Layer 3
Технология стэкирования избавляет от старой проблемы
VLAN 2VLAN 2
Что будет, если не соединять коммутаторы распределения? Медленная конвергенция STP
вызовет ощутимые потери трафика
STP может стать причинойнепредсказуемого пути для трафика и распределения нагрузки
Сходимость STP вызываетсходимость 3-го уровня
Таймеры STP и L3 независимы
Могут происходить ковергенция и ре-конвергенция L3
Даже если соединения распределения полагаются на STP и состояния соединений, это может стать причиной проблем с HSRP
B
2
STP Secondary
Root and HSRP
Standby
F 2
Access-b
SiSiSiSi
Core
Hellos
Access-a
STP Root and
HSRP Active
Трафик будет
отбрасываться,
пока работают
таймеры
MaxAge,
Listening и
Learning
Трафик будет
отбрасываться
до перехода в
режим
Forwarding; 50
секунд
Агрессивный таймер
HSRP ограничит
«чѐрную дыру» #1
Backbone fast
обеспечит за 30
сек. сходимость для
события #2
Даже с rapid
PVST+ минимум 1
секунда до события
#2
VLAN 2VLAN 2
Что если …? «Чѐрные дыры» и множественные Переходы …
Заблокированные соединения на access-b перейдут в forwarding за 50 секунд трафик отбрасывается до срабатывания HSRP на резервном коммутаторе
После таймера MaxAge (или backbone fast или Rapid PVST+) новый переход HSRP
Access-b используется как транзитный узел для трафика от access-a
HSRP Active (Temporarily)
MaxAge
Seconds Before
Failure Is
Detected…
Then Listening
and Learning
F: Forwarding
B: Blocking
Access-b
SiSiSiSi
Hellos
Доступ
Уровень 2
Распре-
деление
Уровень 2/3
Ядро
Уровень 3Core
STP Root and
HSRP Active
STP
Secondary
Root and
HSRP
Standby
Access-a
VLAN 2VLAN 2
Ассиметричная маршрутизация (Unicast Flooding)
Влияет на отказоустойчивые топологии с общим L2 доступом
Один путь «наверх» два пути «вниз»
Таймеры обнуляются в CAM таблице коммутатора standby HSRP
Без начального пакета в CAM происходит рассылка на все порты VLAN
Downstream
Packet
Flooded
Upstream Packet
Unicast to
Active HSRP
Asymmetric
Equal Cost
Return Path
CAM Timer Has
Aged Out on
Standby HSRP
VLAN 2 VLAN 2
SiSi SiSi
VLAN 2
Предотвращение Unicast Flooding
На каждый коммутатор доступа назначайте уникальные VLAN данных голосовой VLAN
Теперь трафик попадает только в один транк
Коммутатор доступа отправляет пакет корректно;в один порт
Если требуется:
Подстройте таймеры ARP и CAM; таймер CAM превышает таймер ARP
Подправьте метрики маршрутизации чтобы избавиться от экв. маршрутов
Downstream
Packet
Flooded on
Single Port
Upstream Packet
Unicast to
Active HSRP
Asymmetric
Equal Cost
Return Path
VLAN 3 VLAN 4 VLAN 5
SiSi SiSi
Альтернативный
дизайн с VSS
Управление как одним устройством, отсутствие петель, нет зависимости от
STP, не требуется применение протоколов защиты шлюза по умолчанию
Лучшая производительность и масштабируемость Active-Active Multi-Chassis
Etherchannel (802.3ad/PagP) –нет заблокированных соединений
Субсекундная сходимость и восстановление в случае выхода из строя
коммутатора или соединения (SSO/NSF)
Catalyst 6500 Virtual Switching SystemОбзор
Коммутатор доступа
Сервер
10GE
Классический
SiSi SiSi
VSS физический
SiSi
Сервер
10GE
Коммутатор доступа
802.3ad
802.3adили
PagP
SiSiSiSi
СерверКоммутатор доступа
VSS логический
802.3adили
PagP 802.3ad
VSS в сети предприятия
VSS на распределении
Access
L2/L3
Distribution
L3 Core
Нет FHRP,
Нет петель
Снижение L3
соседств, снижение
времени
конвергенции
Несколько активных
соединений на
VLAN, нет
сходимости STP
Упрощение настроекОтдельное устройство
(конфигурация второго устройства не показана)VSS
(конфигурация одного устройства)
Spanning Tree Configuration
! Enable 802.1d per VLAN spanning tree enhancements.
spanning-tree mode pvst
spanning-tree loopguard default
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
spanning-tree uplinkfast
spanning-tree backbonefast
spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority
24576!
! Enable 802.1d per VLAN spanning tree enhancements
spanning-tree mode rapid-pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority
24576
L3 SVI Configuration
! Define the Layer 3 SVI for each voice and data VLAN
interface Vlan4
description Data VLAN for 4507 SupII+
ip address 10.120.4.3 255.255.255.0
no ip redirects
no ip unreachables
! Reduce PIM query interval to 250 msec
ip pim query-interval 250 msec
ip pim sparse-mode
load-interval 30
! Define HSRP default gateway with 250/800 msec hello/hold
standby 1 ip 10.120.4.1
standby 1 timers msec 250 msec 800
! Set preempt delay large enough to allow network to stabilize
before HSRP
! switches back on power on or link recovery
standby 1 preempt delay minimum 180
! Enable HSRP authentication
standby 1 authentication cisco123
! Define the Layer 3 SVI for each voice and data VLAN
interface Vlan2
description Data VLAN for 4507 SupII+
ip address 10.120.2.1 255.255.255.0
no ip redirects
no ip unreachables
ip pim sparse-mode
load-interval 30
Введение в Virtual Switching SystemКонцепция
Virtual Switch Domain
Virtual Switch Link
Active Standby Hot Control Plane
Switch 1 Switch 2Data Plane
Архитектура Virtual Switching System Virtual Switch Link (VSL)
Virtual Switch Link объединяет два физических коммутатора
вместе – обеспечивает механизм синхронизации
Virtual Switch Active
Virtual Switch Standby
Virtual Switch Link
VS Header L2 Hdr L3 Hdr Data CRC
Архитектура Virtual Switching System Инициализация
Процесс инициализации состоит из 3-х основных шагов:
Протокол Role Resolution Protocol (RRP) используется для определения
совместимости оборудования и ПО для формирования VSL и определяет
какой из коммутаторов будет активным с точки зрения шины управления
LMP
RRP
Протокол Link Management Protocol (LMP) используется для отслеживания и
отброса однонаправленных соединений, обмена параметрами Chassis ID и
другой информацией между коммутаторами
Определение соединений VSL Link Bringup1
2
3
LMP
RRP
Архитектура Virtual Switching SystemVSLP Ping
Новый механизм ping был имплементирован в VSS для
проверки соединений VSL - VSLP Ping
VSL
Switch1 Switch2
VSLP Ping
vss#ping vslp output interface tenGigabitEthernet 1/5/4
Type escape sequence to abort.
Sending 5, 100-byte VSLP ping to peer-sup via output port 1/5/4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms
VSLP Ping работает по-интерфейсно per-physical interface отображает COUNT, DESTINATION, SIZE,
TIMEOUT …
VSLP Ping
VSLP PingVSLP Ping
• Один активный супервизор с включенным функционалом inter-chassis Stateful Switchover (SSO)
• Active супервизор обеспечивает работу функций control plane таких как протоколы (routing, EtherChannel, SNMP, telnet, etc.) и управление оборудованием (Online Insertion Removal, port management)
• Active/Standby супервизоры синхронизируют состояния (boot-env, running-configuration, состояния протоколов линейных карт)
Virtual Switching SystemОбщая шина управления
Active Supervisor
SF RP PFC
CFC or DFC Line Cards
CFC or DFC Line Cards
CFC or DFC Line Cards
CFC or DFC Line Cards
CFC or DFC Line Cards
Standby HOT Supervisor
SF RP PFC
VSLCFC or DFC Line Cards
CFC or DFC Line Cards
CFC or DFC Line Cards
CFC or DFC Line Cards
CFC or DFC Line Cards
CFC or DFC Line Cards
CFC or DFC Line Cards
SSO
Synchronization
• Активны обе шины коммутации
• Супервизор Standby и все линейные карты активны и участвуют в
коммутации
Virtual Switching SystemДвойная активная шина коммутации
VSS# show switch virtual redundancy
My Switch Id = 1
Peer Switch Id = 2<snip>
Switch 1 Slot 5 Processor Information :----------------------------------------------
-Current Software state = ACTIVE
<snip>Fabric State = ACTIVE
Control Plane State = ACTIVESwitch 2 Slot 5 Processor Information :----------------------------------------------
-Current Software state = STANDBY HOT (switchover target)
<snip>Fabric State = ACTIVE
Control Plane State = STANDBY
Data PlaneActive
Data Plane Active
SiSiSiSi
Switch1 Switch2
Архитектура Virtual Switching SystemMultichassis EtherChannel (MEC)
Соединения Etherchannel могут быть распределены между двумя
физическими шасси
Традиционный Etherchannel на одно
шасси
Multichassis EtherChannel на 2 VSS-
шасси
VSS
Поддерживаются протоколы LACP и
PAGP и ручной режим ON-ON…
Standalone
SiSiSiSi
Архитектура Virtual Switching SystemПуть сетевого трафика в случае сбоев
• MEC или ECMP – основные механизмы восстановления после сбоя соединения/устройства
SiSiSiSi
SiSiSiSi
Выход из строя шасси VSS
SiSiSiSi
Выход из строя соединения на доступВыход из строя соединения в ядро
SW1 SW2 SW1 SW2 SW1 SW2
Архитектура Virtual Switching System
Алгоритмы EtherChannel Hash для MEC
Link 1 Link 2
Алгоритмы хэширования для Etherchannel модифицированны
таким образом чтобы трафик всегда уходил через локальные
интерфейсы VSS
Синий трафик к
серверу будет
отправлен через Link
1 в соединении
MEC…
Оранжевый трафик
к серверу будет
отправлен через Link
2 в соединении MEC
…
Архитектура Virtual Switching System
поддержка резервных супервизоров
• Сбой в работе любого из супервизоров
приводит к остановке коммутации на
линейных картах в рамках шасси –
снижение полосы VSS на 50%
• Отдельные устройства могут иметь только
одно подключение к VSS по ряду причин
(нерекомендуемый дизайн)
– Сервисные модули/Сервера
– Цена $$
• Выход из строя супервизора требует
ручного вмешательства для
восстановления работы шасси
– Соединения не активны когда супервизор
находится в режиме ROMMON
– Непредсказуемое время восстановления
– Ручной процесс установки и настройки в
режим VSS нового супервизора установки
нов
• Для чего требуются резервные супервизоры?
SiSiSiSi
Аппаратная поддержка VSS Catalyst 6500Модули супервизора
Супервизоры с поддержкой VSS
Supervisor Engine 2T
Supervisor Engine 720-10GE
Интерфейсы 10GE с поддержкой VSL
Новые микросхемы ASICs
Поддержка полей для маркировки и пересылки трафика между шасси
MAC address learning на двух шасси
VSS не поддерживается на Supervisor Engine 720 или других старых супервизорах
VS-S720-10G-3C/XL
VS-S2T-10G/XL
Аппаратная поддержка VSS Catalyst 4500-X
Виртуализация
Что такое виртуализация сети? Поддержка одной физической сетью нескольких виртуальных
С точки зрения пользователя – это подключение к выделенной сети с независимыми политиками безопасности, маршрутизации, качества обслуживания и пр.
Обеспечение иерархии и виртуализации устройств, путей и сервисов
Оптимальное использование существующих ресурсов сетиВнутренние
подразделенияДочерняя компания
Сеть гостевого доступа
Дизайн сети предприятия
Обзор MPLS VPN Позволяет поставщику услуг предоставлять сервис для подключения сетей разных клиентов
Трафик от клиентов инкапсулируется в MPLS и доставляется на устройства PE/CE
У каждого клиента может быть свое адресное пространство, пересекающееся с другими клиентами
Изоляция путей (Path Isolation)
Виртуализация устройства
Виртуализация контрольной шины
Виртуализация шины данных
Виртуализация сервисов
Виртуализация каналов данных
Hop-by-Hop (сквозной VRF-Lite)
Multi-Hop (VRF-Lite + GRE, MPLS VPN)
Эволюция VRF – Easy Virtual Network
VRF родился от MPLS VPN
Применяется без MPLS в VRF-Lite
EVN добавляет зрелости VRF
Обзор Easy Virtual Network
Транки в ЛВС
упрощение настройки
автоматическая настройка VRF на транке
Репликация маршрутов
Общие сервисы на базе IGP протоколов
Не требуется BGP
Снижение сложности при поиске неисправностей
routing-context, traceroute, debug condition, cisco-vrf-mib
Доступно на ASR1K, Cat6500 и Cat4500 сейчас
Easy Virtual Network – как это работает?
Создайте L2 VLANs на уровне доступаи отправьте его через транк на первый хоп L3
Опишите VRFs на каждом L3 устройстве. Создайте связку VLAN – VRF.
Настройте IGP протокол для каждого VRF на всех устройствах L3
Настройте VNET транк на каждом физическом интерфейсе ядра. Используется тот же самый тэг 802.1Q
При добавлении новых VRF не требуетсядобавление подинтерфейсов. Это автоматически производится VNET транком
Совместимость EVN и VRF
VRF-Lite Subinterface Config
interface TenGigabitEthernet1/1
ip address 10.122.5.1 255.255.255.252
ip pim query-interval 1
ip pim sparse-mode
interface TenGigabitEthernet1/1.101
description Subinterface for Red VRF
encapsulation dot1Q 101
ip vrf forwarding red
ip address 10.122.5.1 255.255.255.252
ip pim query-interval 1
ip pim sparse-mode
interface TenGigabitEthernet1/1.102
description Subinterface for Green VRF
encapsulation dot1Q 102
ip vrf forwarding green
ip address 10.122.5.1 255.255.255.252
ip pim query-interval 1
ip pim sparse-mode
VNET Trunk Config
interface TenGigabitEthernet1/1
vnet trunk
ip address 10.122.5.2 255.255.255.252
ip pim query-interval 1
ip pim sparse-mode
Global Config:
vrf definition red
vnet tag 101
vrf definition green
vnet tag 102
Оба маршрутизатора имеют настроенные VRFНа EVN маршрутизаторе VNET тэги
Интеграция VRF с L2 Edge
interface vlan 21
vrf forwarding red
interface vlan 22
vrf forwarding green
interface vlan 23
vrf forwarding blue
interface vlan 31
vrf forwarding red
interface vlan 32
vrf forwarding green
interface vlan 33
vrf forwarding blue
vrf definition red
vnet tag 101
vrf definition green
vnet tag 102
vrf definition blue
vnet tag 103
interface g1/0
vnet trunk
EVN - Show Derived-config
show run show derived-config
Router# show derived-config
. . .
interface Ethernet1/0
vnet trunk
ip address 10.122.6.11 255.255.255.0
ip pim sparse-mode
!
interface Ethernet1/0.101
description Subinterface for VNET red
vrf forwarding red
encapsulation dot1Q 101
ip address 10.122.6.11 255.255.255.0
ip pim sparse-mode
!
interface Ethernet1/0.102
description Subinterface for VNET green
vrf forwarding green
encapsulation dot1Q 102
ip address 10.122.6.11 255.255.255.0
ip pim sparse-mode
. . .
Router# show run
. . .
interface Ethernet1/0
vnet trunk
ip address 10.122.6.11 255.255.255.0
ip pim sparse-mode
. . .
VNET Trunk – настройка индивидуальных параметров
VRF-Lite Subinterface Config VNET Trunk Config
interface TenGigabitEthernet1/1
ip address 10.122.5.1 255.255.255.252
ip ospf cost 20
ip pim sparse-mode
interface TenGigabitEthernet1/1.101
description Subinterface for Red VRF
encapsulation dot1Q 101
ip vrf forwarding red
ip address 10.122.5.1 255.255.255.252
ip ospf cost 20
ip pim sparse-mode
interface TenGigabitEthernet1/1.102
description Subinterface for Green VRF
encapsulation dot1Q 102
ip vrf forwarding green
ip address 10.122.5.1 255.255.255.252
ip ospf cost 30
interface TenGigabitEthernet1/1
vnet trunk
ip address 10.122.5.2 255.255.255.252
ip ospf cost 20
ip pim sparse-mode
vnet name green
no ip pim sparse-mode
ip ospf cost 30
Global Config:
vrf definition red
vnet tag 101
vrf definition green
vnet tag 102
Отдельные специфические настройки интерфеса можно менять для отдельного VRF
VRF List
Анонсирование сервисов
Сервисы которые не хочется
дублировать:
Internet шлюз
Firewall и NAT - DMZ
DNS
DHCP
Требуется IP связность между VRF
Обычно достигается при помощи
возможностей Extranet или Fusion
Router/FW
Варианты анонсирования сервисов
Fusion Router/FW – Internet шлюз,
NAT/DMZ
Extranet – DNS, DHCP
Анонсирование сервисов - конфигурацияДо:
Преимущества Route-Replication:• не требуется BGP• не требуется Route Distinguisher• не требуется Route Targets • не требуется Import/Export • простое внедрение• поддерживаются Unicast/Mcast
vrf definition SHARED
address-family ipv4
route-replicate from vrf RED unicast all route-map red-map
route-replicate from vrf GREEN unicast all route-map grn-map
После:
vrf definition RED
address-family ipv4
route-replicate from vrf SHARED unicast all
vrf definition GREEN
address-family ipv4
route-replicate from vrf SHARED unicast all
ip vrf SHARED
rd 3:3
route-target export 3:3
route-target import 1:1
route-target import 2:2
!
ip vrf RED
rd 1:1
route-target export 1:1
route-target import 3:3
!
ip vrf GREEN
rd 2:2
route-target export 2:2
route-target import 3:3
!
router bgp 65001
bgp log-neighbor-changes
!
address-family ipv4 vrf SHARED
redistribute ospf 3
no auto-summary
no synchronization
exit-address-family
!address-family ipv4 vrf RED
redistribute ospf 1
no auto-summary
no synchronization
exit-address-family
!address-family ipv4 vrf GREEN
redistribute ospf 2
no auto-summary
no synchronization
exit-address-family
!
Внедрение QoS
EVN – поддержка на оборудовании
Platform Release FCS Date
ASR1K IOS XE 3.2S Nov 2010
Cat6K – Sup2T 15.0(1)SY1 March 2012
Cat4K15.1(1)SGIOS XE 3.3.0SG
April 2012
Cat6K – Sup720* Roadmap Future
Cat3K-X Roadmap Future
ISR-G2 Roadmap Future
Nexus 7K Roadmap Future
Cat4K Release/Platforms:15.1(1)SG:Sup6-E, Sup6L-E, 4900M, 4948E, 4940E-FIOS XE 3.3.0SG: Sup7-E, Sup7L-E, 4500-X
* Sup720 не поддерживает VNET Trunk
“Many of the products and features described herein remain in varying stages of development and will be offered on a when-and-if-available basis. This roadmap is subject to change at the sole discretion of Cisco, and Cisco will have no liability for delay in the delivery or failure to deliver any of the products or features set forth in this document.”
Инфраструктурные
решения для IP
телефонии
ДоступАвт. обнаружение телефонов
Питание Inline power
QoS: приоритезация, граница доверия и классификация
Быстрая сходимость
РаспределениеВысокая доступность, отказоустойчивость, быстрая сходимость
Применение политик
QoS: приоритезация, граница доверия и классификация
ЯдроВысокая доступность, отказоустойчивость, быстрая сходимость
QoS: приоритезация, граница доверия
Сеть кампуса для UC
Data CenterWAN Internet
Layer 3
Equal Cost
Links
Layer 3
Equal Cost
Links
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Access
Distribution
Core
Distribution
Access
Интеграция инфраструктуры, QoS и доступность
Интеграция инфраструктур
Телефон содержит 3-х портовый коммутатор, который настраивается при участии коммутатора доступа и CallManager’а
1. Подача питания/определение мощности
2. Настройка VLAN
3. Взаимодействие с 802.1x
4. Настройка QoS
5. DHCP и регистрация на CallManager
Обнаружение IP телефона, подача питания
Обмен CDP между телефоном и коммутатором
Назначение IP телефона в корректный VLAN
Запрос DHCP и регистрация на Call Manager
Расширение границы сети
Интеграция инфраструктур: первый шаг
Устройства Cisco prestandard вначале получают 6.3 Вт и далее через CDP согласовывается требуемая мощность
Устройства 802.3af вначале получают 12.95 Вт если PSE не может определить класс устройства
Класс Исп.Минимальный уровень выдаваемой мощности
на PSE
Максимальный уровень потребляемой мощности на
устройстве
0 Default 15.4W 0.44 to 12.95W
1 Optional 4.0W 0.44 to 3.84W
2 Optional 7.0W 3.84 to 6.49W
3 Optional 15.4W 6.49 to 12.95W
4Reserved for
FutureUse
Treat as Class 0Reserved for Future Use: a Class 4 Signature Cannot Be Provided by a
Compliant Powered Device
Согласование требований питания
Расширенное согласование мощности
Обмен CDP позволяет определить точную потребляемую мощность после начального включения
Подключение PD
Телефон передаѐт по CDP параметры потреб.мощности и список поддерживаемых режимов
Коммутатор отправляет CDP ответ
со своими параметрами
В зависимости от возможностей
согласовывается финальная мощность
Обнаружение устр-ва IEEE PD
Классификация PD
Подача питания
PD—устройствоCisco 7970
PSE—источник питанияCisco 6500,4500, 3750, 3560
802.3af + двунаправленный обмен CDP (Cisco 7970)
Соображения дизайна для PoE
Коммутатор управляет питанием в зависимости от требований PD, а не реального потребления
Потребляемая устройством мощность не является постоянной
7960G требует 7Вт при звонке на максимальной громкости и 5Вткогда трубка снята или положена
Требуется понимание поведения устройства PoE
Применяйте статические конфигурации с осторожностью
Используйте онлайн-калькулятор для расчѐта
http://www.cisco.com/go/powercalculator
Динамическое выделение:
power inline auto max 7200
Статическое выделение:
power inline static max 7200
Управление питанием
Интеграция инфраструктур: следующие шаги
Во время начального обмена CDP телефон получает номер голосового Voice VLAN ID (VVID)
Через поля CDP TLV телефон получает настройки QoS
Доступны LLDP/LLDP-MED …
Коммутатор может пропускать стадию 802.1x аутентификации дляVVID если обнаруживает IP телефон Cisco
PC VLAN = 10
(PVID)
Phone VLAN = 110
(VVID)
Native VLAN (PVID) не требует изменений в
конфигурации
Инкапсуляция 802.1Q с 802.1p CoS Уровня 2
Конфигурация VLAN, QoS и 802.1x
Качество
обслуживания
Лучшие практики—Качество обслуживания
Требует сквозного внедрения. Разные уровни выполняют разную, но одинаково важную роль.
Обеспечивает защиту критически важных приложений от влияния перегрузки на соединениях и задержек в очередях
Узлы агрегации должны обеспечивать применение политик QoS
Необходима поддержка очередей с несколькими критериями доступа и обслуживания
Data CenterWAN Internet
Layer 3 Equal
Cost Links
Layer 3 Equal
Cost Links
End-to-End QoS
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Лучшие практики—Качество обслуживания
Требует сквозного внедрения. Разные уровни выполняют разную, но одинаково важную роль.
Обеспечивает защиту критически важных приложений от влияния перегрузки на соединениях и задержек в очередях
Узлы агрегации должны обеспечивать применение политик QoS
Необходима поддержка очередей с несколькими критериями доступа и обслуживания
Data CenterWAN Internet
Layer 3 Equal
Cost Links
Layer 3 Equal
Cost Links
End-to-End QoS
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Переполнение очереди передачи
WAN
Router
128k Uplink10/100m Queued
Access Switch
100 Meg Link1 Gig Link Queued
Distribution Switch
100 Mбит/с в 128 Кб/с —Пакеты приходят быстрее чем могут выйти
Пакеты помещаются в очередь до отправки с медленного интерфейса
1 Гб/с в 100 Мбит/с —Пакеты приходят быстрее чем могут выйти
Пакеты помещаются в очередь до отправки с медленного интерфейса
Auto QoS VoIP—жизнь проще …
!
interface FastEthernet1/0/21
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
mls qos trust device cisco-phone
mls qos trust cos
auto qos voip cisco-phone
end
Access-Switch(config-if)#auto qos voip ?
cisco-phone Trust the QoS marking of Cisco IP Phone
cisco-softphone Trust the QoS marking of Cisco IP SoftPhone
trust Trust the DSCP/CoS marking
Access-Switch(config-if)#auto qos voip cisco-phone
Access-Switch(config-if)#exit
Настройки QoS для VoIP на коммутаторах кампуса
Безопасность
WAN Internet
End-to-End Security
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Рекомендации—Безопасность Кампуса
Будем говорить про …! Набор средств безопасности Catalyst!
Dynamic port security, DHCP snooping, Dynamic ARP inspection, IP source
guard
Вещи про которые вы знаете —мы рассматривать не будем…
Используйте SSH вместо Telnet
Включайте AAA и ролевой доступ(RADIUS/TACACS+) для CLI на всех устройствах
Включайте SYSLOG на сервер. Сохраняйте и архивируйте логи.
Используйте SNMPv3
Выключайте ненужные сервисы:
No service tcp-small-servers No service udp-small-servers
Используйте FTP или SFTP (SSH FTP) для управления имиджами ПО и конфигурационными файлами—избегайтеTFTP
Устанавливайте VTY access-lists
Включайте механизмы защиты шины управления (EIGRP, OSPF, BGP, HSRP, VTP, etc.)
Фильтруйте RFC2827
BPDU Guard
Проблема:
Точки доступа WLAN не пересылают BPDUs
Несколько машин Windows XP могут создать петлю создать петлю в проводном VLANчерез WLAN
Решение:
На портах коммутаторов к которым подключены рабочие станции можно настроить BPDU Guard
Win XP
Bridging
Enabled
Win XP
Bridging
Enabled
BPDU Guard
Disables Port
STP Loop
Formed
BPDU
Generated
BPDU
Discarded
Предотвращение петель через WLAN (Windows XP Bridging)
Port Security ограничивает кол-во MAC-адресов на порту коммутатора, блокирует порт и посылает SNMP trap
00:0e:00:aa:aa:aa
00:0e:00:bb:bb:bb
Средство Script Kiddie позволяет атакующему переполнить CAMтаблицу коммутатора; превратить VLAN в ХАБ и получать все пакеты
Размер CAM таблицы коммутатора ограничен
Только 3 MAC
адреса
разрешены на
порту: Shutdown250,000 MAC
в секунду
Проблема Решение:
switchport port-security
switchport port-security maximum 10
switchport port-security violation restrict
switchport port-security aging time 2
switchport port-security aging type inactivity
Защита Уровня 2 от атак прослушиванияБорьба с атаками основанных на манипуляциях с MAC-адресами
DHCP Snooping
DHCP запросы (discover) и ответы (offer) отслеживаются
Снижение скорости запросов на доверенных интерфейсах для защиты от DoS атак на DHCP сервер
Запрет ответов (offers) с недоверенных интерфейсов; остановка подозрительных DHCP серверов
DHCP
Server
1000 DHCP запросов на сервер DHCP
1
2
Защита от нелегитимных серверов DHCP
Защита Уровня 2 от атак прослушивания
Dynamic ARP inspection защищает от атак и использованием ARP (ettercap, dsnif, arpspoof)
Использует таблицу DHCP snooping
Отслеживает MAC и IP из транзакций DHCP
Ограничивает запросы ARP с клиентских портов, останавливает сканирование портов
Отбрасывает bogus gratuitous ARPs; блокирует ARP poisoning/MIM атаки
SiSiGateway = 10.1.1.1
MAC=A
Attacker = 10.1.1.25
MAC=B
Victim = 10.1.1.50
MAC=C
Gratuitous ARP
10.1.1.1=MAC_B
Gratuitous ARP
10.1.1.50=MAC_B
Защита ARP
IP Source Guard
IP source guard защищает от подделки IP адресов
Используется таблица DHCP snooping
Отслеживается ассоциация IP адреса и порта
Динамически программируется ACL на порту для сброса трафика исходящего от IP адресаприсвоенного не черезDHCP
SiSiGateway = 10.1.1.1
MAC=A
Attacker = 10.1.1.25 Victim = 10.1.1.50
Hey, I’m 10.1.1.50 !
Защита IP адресов от замены/подделки
Интегрированные функции безопасности
Port security предотвращает атакуMAC flooding
DHCP snooping предотвращает клиентские атаки на коммутатор и сервер
Dynamic ARP Inspection добавляет безопасности к ARP используя таблицу DHCP snooping
IP source guard защищает IP адрес источника от spoofing’а используя таблицу DHCP snooping
ipdhcp snooping
ipdhcp snooping vlan 2-10
iparp inspection vlan 2-10
!
interface fa3/1
switchport port-security
switchport port-security max 3
switchport port-security violation
restrict
switchport port-security aging time 2
switchport port-security aging type
inactivity
ip arp inspection limit rate 100
ip dhcp snooping limit rate 100
ip verify source vlan dhcp-snooping
!
Interface gigabit1/1
ipdhcp snooping trust
iparp inspection trust
IP Source Guard
Dynamic ARP Inspection
DHCP Snooping
Port Security
Cisco IOS обеспечивает
Архитектура
Иерархический кампус
Data CenterWAN Internet
Доступ
Распре-
деление
Ядро
Распре-
деление
Доступ
SiSi SiSi SiSi SiSi SiSi SiSi
SiSi SiSi
SiSi SiSi
SiSi SiSi
SiSi SiSi
Соединения L3 на уровне распределения
Балансировка нагрузки через отстроенный CEF
Проверка настроек CatOS/IOS EtherChannel для балансировки
Суммаризация маршрутов в сторону ядра
Ограничение избыточных/резерв.
IGP соединений
Настройка STP Root и HSRP primaryили GLBP для балансировки нагрузки на uplink’ах
Устанавливаем trunk mode on/no-negotiate
Выключаем EtherChannel,
если не используем
На уровне доступа:
Выключить trunkingВыключить EtherChannelВключить PortFast
RootGuard или BPDU-Guard
Используем функции безопасности
Доступ
Распре-
деление
Ядро
Доступ Уровень 2— нет VLAN’ов распределѐнных по уровню доступа
VLAN 120 Voice
10.1.120.0/24
Point-to-Point Link
VLAN 20 Data
10.1.20.0/24
VLAN 140 Voice
10.1.140.0/24
SiSi SiSi
SiSi SiSi
VLAN 40 Data
10.1.40.0/24
Layer 3
VLAN 250 WLAN
10.1.250.0/24
Соединения L2 на уровне распределения
Балансировка нагрузки через отстроенный CEF
Проверка настроек CatOS/IOS EtherChannel для балансировки
Суммаризация маршрутов в сторону ядра
Ограничение избыточных/резерв.
IGP соединений
Настройка STP Root и HSRP primary или GLBP и STP port cost для балансировки на uplink’ах
Устанавливаем trunk mode on/no-negotiate
Выключаем EtherChannel, если не используем
RootGuard на downlink’ах
LoopGuard на uplink’ах
На уровне доступа:
Выключить trunkingВыключить EtherChannelВключить PortFast
RootGuard или BPDU-Guard
Используем функции безопасности
VLAN 120 Voice
10.1.120.0/24
Trunk
VLAN 20 Data
10.1.20.0/24
VLAN 140 Voice
10.1.140.0/24
SiSi SiSi
SiSi SiSi
Layer 2
Доступ Уровень 2— часть VLAN’ов распределены по уровню доступа
VLAN 40 Data
10.1.40.0/24
Доступ
Распре-
деление
Ядро
VLAN 20 Data
10.1.20.0/24
Маршрутизируемый доступ и VSS
VLAN 120 Voice
10.1.120.0/24
P-to-P Link
Layer 3
VLAN 20 Data
10.1.20.0/24
VLAN 140 Voice
10.1.140.0/24
VLAN 40 Data
10.1.40.0/24
SiSi SiSi
SiSi SiSi
New Concept
VLAN 40 Data
10.1.40.0/24
VSS & vPC
VLAN 120 Voice
10.1.120.0/24VLAN 140 Voice
10.1.140.0/24
Развитие существующего дизайна
Доступ
Распре-
деление
Ядро
VLAN 250 WLAN
10.1.250.0/24
SiSi SiSi
SmartPorts — готовая конфигурацияAccess-Switch#show parser macro brief
default global : cisco-global
default interface: cisco-desktop
default interface: cisco-phone
default interface: cisco-switch
default interface: cisco-router
default interface: cisco-wireless
Access-Switch(config-if)#$ macro apply cisco-phone
$access_vlan 100 $voice_vlan 10
Access-Switch#show run int fa1/0/19
!
interface FastEthernet1/0/19
switchport access vlan 100
switchport mode access
switchport voice vlan 10
switchport port-security maximum 2
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
mls qos trust device cisco-phone
mls qos trust cos
macro description cisco-phone
auto qosvoipcisco-phone
spanning-tree portfast
spanning-tree bpduguard enable
end
SiSiSiSi
SiSi SiSi
ИТОГО
Offers hierarchy—each layer has specific role
Modular topology—building blocks
Easy to grow, understand, and troubleshoot
Creates small fault domains—Clear demarcations and isolation
Promotes load balancing and redundancy
Promotes deterministic traffic patterns
Incorporates balance of both Layer 2 and Layer 3 technology, leveraging the strength of both
Utilizes Layer 3 routing for load balancing, fast convergence, scalability, and control
Data CenterWAN Internet
Layer 3
Equal Cost
Links
Layer 3
Equal Cost
Links
Доступ
Распре-
деление
Ядро
Распре-
деление
Доступ
SiSi SiSi SiSi SiSi SiSi SiSi
SiSi SiSi
SiSi SiSi
SiSi SiSi
SiSi SiSi
Иерархия—каждый уровень имеет свою роль
Модульность—строительные блоки
Легко наращивать, понимать, устранять неисправности
Создаѐм независимые домены— чѐткие границы и изоляция
Обеспечиваем балансировку нагрузки и отказоустойчивость
Определѐнность пути для трафика
Использование баланса и преимуществ технологий уровня 2 и 3
Технологии маршрутизации для балансировки нагрузки, быстрой сходимости и масштабируемости
Полезные материалы—Design Zone
High Availability Campus Design Guide
High Availability Campus Convergence Analysis
High Availability Campus Design Guide—Routed Access EIGRP and OSPF
http://www.cisco.com/go/srnd
Вопросы и Ответы
Спасибо!
Заполняйте анкеты он-лайн и получайте подарки в
Cisco Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!