Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Praktické nasazení Cisco pro IPv4 a IPv6

ZveřejnilŠtěpán Beneš

Podobné prezentace

Prezentace na téma: "Praktické nasazení Cisco pro IPv4 a IPv6"— Transkript prezentace:

1 Praktické nasazení Cisco pro IPv4 a IPv6
Ing. Jan Pilný (ABAK) Ing. Jiří Bureš (ABAK) Ing. Martin Slinták (Cisco) 1

2 Obsah prezentace Představení sítě ÚJEZD.net
Vývoj sítě a vývojové problémy Změna platformy v síti Vznik pilotního projektu ASR1002x s fy Cisco Technicko časový pohled ASR1002x – konfigurace pro ÚJEZD.net ASR1002x – popis funkcí ISG Závěr 2

3 Představení Provozovatelem sítě ÚJEZD.net je firma ABAK, spol. s r.o.
Působnost sítě Praha a Praha východ (vlastní infrastruktura) celá ČR (partnerské sítě, ADSL, VDSL) Silná páteřní infrastruktura v celé lokalitě optika a bezdrátové spoje (Alcoma 5 až 80 GHz) neustále inovovaná od vzniku sítě Služby pro koncové uživatele i partnerské sítě 3

4 Vývoj sítě Vývoj do roku 2010 Vznikající problémy
routovaná síť (OSPF) a vše na Linuxu s podporou IPv4 i IPv6 decentralizované omezování rychlostí BGP a centralizovaný NAT na dvou bránách do internetu Vznikající problémy výrazný nárůst uživatelů sítě přetížené místní Linux boxy (Wrap, Alix,...) stabilita sítě (občasné rozpadávání OSPF,...) nemožnost zajistit QoS, QinQ s omezenou rychlostí, IPTV,... nemožnost omezit rychlost na IPv6 4

5 Změna platformy Rozhodnutí o nasazení L3 Cisco boxů (2011) Výsledek
byly nasazeny na všechny páteřní body sítě a kompletně přepracovaná topologie sítě byla vyměněna a posílena většina páteřních spojů došlo k úplné výměně páteřní infrastruktury v připojených sítích (ÚVALY.net, Conectinet, iControl,... ) Výsledek perfektní stabilita sítě (stabilní OSPF) a výrazně lepší latence možnost QoS, QinQ s omezením rychlosti, IPTV,... stále decentralizované omezování rychlostí a problém s přetížením Linux boxů (Wrap, Alix,...) narůstající počet NATujících strojů a problémy se správou 5

6 Projekt ASR1002x Rozhodnutí o nasazení Cisco ASR1002x
jeden hraniční Cisco box pro celou síť: 5-36Gbps dvě 10Gbps přípojky do internetu BGP, OSPF, NAT, omezování rychlostí pro IPv4 i IPv6, NetFlow,... pro celou síť v jednom boxu ISG (Inteligent Service Gateway) – připojení na Radius, ověření uživatele, nastavení prostředků a služeb (sada pravidel - rychlosti, QoS,...) a to dynamicky v průběhu provozu nákladné a nevyzkoušené řešení dohoda s fy Cisco o vzniku pilotního projektu ASR 1002x 6

7 Technicko časový pohled
2011 Rozhodnutí o nasazení CISCO L3 switchů + pilotní provoz CISCO prezentace řady routerů ASR1000 → modely 1001 a → funkcionalita OK, cena a výkon již pro naše účely nevyhověly 2012 Probíhá upgrade páteřní sítě → ALCOMA 5-80GHz Na každý bod se spojem s kapacitou vyšší než 100Mbs a se záložní linkou instalován CISCO L3 switch Testujeme centrální Linuxový NAT/PAT a omezování (SHAPE) 7

8 Různé přístupové technologie
Centrální LINUXové řešení NAT/PAT/SHAPE IP OSPF INTERNET BGP Různé přístupové technologie Počítali jsme s 2Gbps na server Omezený počet pravidel – jak je sdílet mezi servery Škálovatelnost → nutno naroutovat dle zdojové ip na příslušný server Náročnost na správu, údržbu, spotřebu Složitá algoritmizace rozložení zátěže Jak zálohovat konektivitu v případě poruchy jednoho ze serverů? 8

9 Různé přístupové technologie
Rozhodnutí pro ASR1002x 2013 – květen Průměrný download se blíží 1,5Gbps Blíží se odhadnutá kapacita centrálního NAT/PAT serveru 2Gbps Potřeba dořešit škálovatelnost NATu CISCO seminář pro řadu ASR1000 Představen model ASR1002x s kapacitou 36Gbps PILOTNÍ projekt ASR1002x NAT/PAT/SHAPE IP OSPF INTERNET BGP Různé přístupové technologie RADIUS Server Web Portal DHCP Server ISG 9

10 ASR1002x Konfigurace pro ÚJEZD.net
RADIUS server Do DB zapsat IPv4,IPv6/MAC adresy (authentication) K IP/MAC adresám doplnit služby, rychlosti (authorization) Nakonfigurovat „účtování, měření“ (accounting) DHCP server V současné době připravujeme síť k implementaci DHCP ISG Ověří na RADIUS serveru každou IP adresu (session) a přiřadí jí „služby“ Pro každou session posílá „accounting“ informace na RADIUS server 10

11 dynamické/řízené/účtované
Generická architektura SP sítí Účastník Přístupová síť Agregační síť Páteřní síť Domácnost Cable/CMTS Agregační přepínač Agregační přepínač Hraniční směrovač DSL/DSLAM MPLS/IP sít Podnik Fiber / OLT MPLS/IP síť Bezdrát Ethernet Hraniční směrovač Agregační přepínač Agregační přepínač Mobility Mobil Internet dynamické/řízené/účtované stabilní/výkonné © 2012, Cisco Systems, Inc. All rights reserved. 11

12 Typická omezení lokálních ISP sítí s IPoE z pohledu kvality poskytovaných služeb a složitosti jejich provozování Identita účastníků je při IPoE pevně svázána s typicky manuálně nastavenou IP adresou na CPE či koncovém zařízení pomalé a nákladné připojování nových účastníku ke službám ISP pevná IP adresa = pevná IP služba. Stačí to? obtížný “roaming” účastníka v rámci přístupové sítě ISP složité změny IP adresního plánu a IP adresace v přístupové síti Služby a pravidla (QoS, ACL, NAT,..) jsou převážně statické a distribuované různě po agregační síti ISP tak jak šel čas správa tolika různorodých zařízení poskytujících služby špatně škáluje zařízení založené na PC architektuře nejsou typicky in-line v síti, zanáší zpoždění, nespolehlivost a mají větší nároky na správu a údržbu dynamická změna služby podle aktuálních potřeb účastníka nebo sítě je prakticky nemožná stejně jako efektivní měření a účtování služeb brání závádění nových služeb stejně jako stejných služeb pro všechny

13 Požadavky na inteligentní bránu služeb
Vícerozměrová identifikace účastníka: podle více zdrojů a událostí v průběhu celého života session Identita účastníka Subscriber Sessions Intelligent Services Gateway Subscriber Services Různorodé služby a pravidla aplikované podle: Kdo je účastník Kde je Co požaduje Různorodé služby Session creation/ authentication Služby a pravidla dynamicky aktualizované podle: Chování účastníka Aktuální potřeby účastnka Dynamická správa služeb Subscriber Services Dynamic Policy Push and Pull 13

14 Intelligent Services Gateway (ISG)
14

15 ISG podporuje dynamické “Sessions” účastníků pro všechny protokoly
Zaměření této studie 15

16 Možnosti ověřování IPoE Sessions na ISG
RADIUS Username: WebLogon Userna me AAA Server ISG Web Portal Web Logon redirection Data Traffic User traffic redirected to Web Portal to enter credentials User Credentials propagated to the ISG ISG uses credentials to authenticate user with AAA server Applicable to all session types RADIUS Username: MAC:RemoteID:CircuitID AAA Server ISG TAL: Option82 Auth Access SW inserts Option 82 CircuitID/RemoteID DHCP exchange Access Switch inserts Option82 Circuit and Remote ID in DHCP Requests ISG performs authentication using a combination of Circuit and RemoteID as username ISG session must be DHCP initiated User starts EAP authentication with Access Point (AP) ISG impersonates RADIUS server toward AP and RADIUS client toward real server ISG learns session authentication status by proxying RADIUS messages betw/ real RADIUS client and Server ISG session must be RADIUS initiated EAP Auth RADIUS Username: EAP username AAA Server AP Wireless Client ISG (EAP based auth) Proxy EAP Zaměření této studie TAL = Transparent Auto Logon AAA Server ISG RADIUS Username: MAC or IP Data Traffic TAL:IP/MAC ISG performs authentication using identifiers from subscriber traffic (source IP/MAC) Mac typically used in IP-L2 connected topologies to support, IP used in IP-routed topologies 16

17 Ověřování podle MAC pro IP sessions sestavené skrz L3 agregační síť
DHCP Client DHCP Server AAA Server L3 cloud ISG DHCP Address Assignment exchange Data Traffic DHCP LeaseQuery (Client IP) ISG DHCP LeaseActive (Client IP->MAC) RADIUS Access Request username: Client MAC RADIUS Access Accept username: Client MAC Ve scénáři se směrováním v agregační síti není účastnická MAC adresa přímo dostupná pro ISG když je DHCP server externí Pak lze použít DHCP Leasequery pro získání účastnické MAC adresy od DHCP Serveru Získaná MAC adresa se pak použije: Pro ověření účastníka podle jeho MAC adresy (vyžaduje MAC anti-spoofing) jako Calling-Station-ID pro účtovací záznamy

18 Jaké služby můžeme na ISG provozovat
Služba (Service): kolekce vlastností (features) aplikovatelných na uživatelskou session Service = {feat.1, feat.2,...,feat.n} Session Administration Portbundle (PBHK) Keepalives: ICMP and ARP based Timeouts: Idle, Absolute Traffic Conditioning QoS: Policing, MQC Security: Per User ACLs Traffic Forwarding Control Subscriber Address Assignment Control Redirection: Initial, Permanent, Periodic VRF assignment: Initial, Transfer L2TP assignment Traffic Accounting PostPaid Prepaid: Time/Volume based Tariff Switching Interim Broadcast ISG Features Primary Service: Obsahuje jednu “traffic forwarding” feature a volitelně další features; pouze jedna primary service může být aktivní v účastnické session 18

19 Provoz každé účastnické session může být na ISG rozdělen do několika Traffic Class (TC)
19

20 Provoz přes konkrétní konstrukci jedné účastnické session na ISG
Subscriber Session Feature Feature Feature permit Feature 3 TC1Service ACL TC1 deny Session Service Feature 1 TC1 Feature 2 Feature 1 Data Feature 3 Feature 2 Traffic Forwarding Service permit ACL TC2 deny TC2Service Feature 1 TC2 Allow traffic Default- Class Feature 2 drop traffic Session-Features Apply to the entire session e.g. per-user ACL, Policing, MQC, Accounting Traffic Classification (using traffic classes: class-map type traffic) Flow-Features Apply to the classified flow (a portion of entire session traffic) Forwarding Service Forwarding (at L2, e.g. L2TP) or Routing (at L3, e.g. VRF) Mutually exclusive TC1Service: priority 10 TC2Service: priority 20 20

21 “initiator unclassified ip-address” ISG Session Termination
Příklad řízení jednoduché IPoE Session na ISG s QoS ASR1000 ISG DHCP AAA Internet DHCP Exchange FSOL = 1st IP packet ISG Session Creation “initiator unclassified ip-address” Access-Request username = IP address Access-Accept “subscriber:accounting-list=ACCNT_LIST” “ip:sub-qos-policy-in=IN_QOS” “ip:sub-qos-policy-out=OUT_HQOS” idle-timeout=600 Accounting-Request Start Accounting-Accept Internet Connection Accounting-Request Interim Accounting-Accept Idle Timeout 600 seconds ISG Session Termination Accounting-Request Stop Accounting-Accept 21

22 Další možné služby aplikovatelné na účastnické sessions na ISG směrovači Cisco ASR1000
3-level HQoS Policing/Shaping/Marking/Queuing podle provozu účastníka Dual-Stack a vysoce škálovatelný PAT, NAT44/64, CGN44/64, 6RD, MAP-T Řízení a monitorování provozu na základě DPI (Deep Packet Inspection) FUP, Broadband-Lite apod. služby pro nemajetné “Turbo” tlačítka pro nedočkavé stahovače ISP samoobsluha pro přístup účastníka k novým službám, jejich změně, sledování SLA, platbám, odblokování, přesměrování, změně MAC apod. Webové ověřování transparentně neověřitelných účastníků (roaming atd.) Open a Walled Garden pro bezplatné či naopak premiové služby Výběr přístupu do VPN sítí (MPLS nebo IPSec) Intelligent Wireless Access Gateway (iWAG)

23 Závěr Další informace o pilotním projektu ASR 1002x Dotazy
Martin Slinták (Cisco), Dotazy 23

Stáhnout ppt "Praktické nasazení Cisco pro IPv4 a IPv6"

Podobné prezentace

Počítačové sítě.

Počítačové sítě.
© 2000 VEMA počítače a projektování spol. s r. o..

© 2000 VEMA počítače a projektování spol. s r. o..
Úloha na konfiguraci routeru

Úloha na konfiguraci routeru
Záložní zdroje napájení pro ISP (Jak zálohujeme v RPSnet)

Záložní zdroje napájení pro ISP (Jak zálohujeme v RPSnet)
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.

Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
Podpůrná prezentace k semestrálnímu projektu:

Podpůrná prezentace k semestrálnímu projektu:
Informatika Počítačové sítě.

Informatika Počítačové sítě.
Vypracoval: Jiří Hlaváček

Vypracoval: Jiří Hlaváček
D03 - ORiNOCO RG-based Wireless LANs - Technology

D03 - ORiNOCO RG-based Wireless LANs - Technology
Bezdrátováˇsíť nové generace ve VFN v Praze

Bezdrátováˇsíť nové generace ve VFN v Praze
Skupinová politika Windows 200x - požadavky

Skupinová politika Windows 200x - požadavky
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.

1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Světlana Filipová. Materiál zpracován v rámci projektu Implementace ICT techniky do výuky.

Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Světlana Filipová. Materiál zpracován v rámci projektu Implementace ICT techniky do výuky.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-3-20.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Komunikační systém lokalit HN v ploše Ing. Stanislav Borecký 30. října 2006.

Komunikační systém lokalit HN v ploše Ing. Stanislav Borecký 30. října 2006.
METROPOLITNÍ PŘENOSOVÝ SYSTÉM

METROPOLITNÍ PŘENOSOVÝ SYSTÉM
Štěpán Šípal. Témata hodiny Vlastnosti IPv6 adresace Nový zápis adres uzlů a sítí Hierarchické přidělování adresního prostoru Nové technologie pod IPv6.

Štěpán Šípal. Témata hodiny Vlastnosti IPv6 adresace Nový zápis adres uzlů a sítí Hierarchické přidělování adresního prostoru Nové technologie pod IPv6.
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.

1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.

VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.

© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.

Podobné prezentace

Reklamy Google