Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Praktické nasazení Cisco pro IPv4 a IPv6 Ing. Jan Pilný (ABAK) Ing. Jiří Bureš (ABAK) Ing. Martin Slinták (Cisco)

Podobné prezentace


Prezentace na téma: "Praktické nasazení Cisco pro IPv4 a IPv6 Ing. Jan Pilný (ABAK) Ing. Jiří Bureš (ABAK) Ing. Martin Slinták (Cisco)"— Transkript prezentace:

1 Praktické nasazení Cisco pro IPv4 a IPv6 Ing. Jan Pilný (ABAK) Ing. Jiří Bureš (ABAK) Ing. Martin Slinták (Cisco)

2 Obsah prezentace  Představení sítě ÚJEZD.net  Vývoj sítě a vývojové problémy  Změna platformy v síti  Vznik pilotního projektu ASR1002x s fy Cisco  Technicko časový pohled  ASR1002x – konfigurace pro ÚJEZD.net  ASR1002x – popis funkcí ISG  Závěr

3 Představení  Provozovatelem sítě ÚJEZD.net je firma ABAK, spol. s r.o.  Působnost sítě  Praha a Praha východ (vlastní infrastruktura)  celá ČR (partnerské sítě, ADSL, VDSL)  Silná páteřní infrastruktura v celé lokalitě  optika a bezdrátové spoje (Alcoma 5 až 80 GHz)  neustále inovovaná od vzniku sítě  Služby pro koncové uživatele i partnerské sítě

4 Vývoj sítě  Vývoj do roku 2010  routovaná síť (OSPF) a vše na Linuxu s podporou IPv4 i IPv6  decentralizované omezování rychlostí  BGP a centralizovaný NAT na dvou bránách do internetu  Vznikající problémy  výrazný nárůst uživatelů sítě  přetížené místní Linux boxy (Wrap, Alix,...)  stabilita sítě (občasné rozpadávání OSPF,...)  nemožnost zajistit QoS, QinQ s omezenou rychlostí, IPTV,...  nemožnost omezit rychlost na IPv6

5 Změna platformy  Rozhodnutí o nasazení L3 Cisco boxů (2011)  byly nasazeny na všechny páteřní body sítě a kompletně přepracovaná topologie sítě  byla vyměněna a posílena většina páteřních spojů  došlo k úplné výměně páteřní infrastruktury v připojených sítích (ÚVALY.net, Conectinet, iControl,... )  Výsledek  perfektní stabilita sítě (stabilní OSPF) a výrazně lepší latence  možnost QoS, QinQ s omezením rychlosti, IPTV,...  stále decentralizované omezování rychlostí a problém s přetížením Linux boxů (Wrap, Alix,...)  narůstající počet NATujících strojů a problémy se správou

6 Projekt ASR1002x  Rozhodnutí o nasazení Cisco ASR1002x  jeden hraniční Cisco box pro celou síť: 5-36Gbps  dvě 10Gbps přípojky do internetu  BGP, OSPF, NAT, omezování rychlostí pro IPv4 i IPv6, NetFlow,... pro celou síť v jednom boxu  ISG (Inteligent Service Gateway) – připojení na Radius, ověření uživatele, nastavení prostředků a služeb (sada pravidel - rychlosti, QoS,...) a to dynamicky v průběhu provozu  nákladné a nevyzkoušené řešení  dohoda s fy Cisco o vzniku pilotního projektu ASR 1002x

7  2011  Rozhodnutí o nasazení CISCO L3 switchů + pilotní provoz  CISCO prezentace řady routerů ASR1000 → modely 1001 a 1002 → funkcionalita OK, cena a výkon již pro naše účely nevyhověly  2012  Probíhá upgrade páteřní sítě → ALCOMA 5-80GHz  Na každý bod se spojem s kapacitou vyšší než 100Mbs a se záložní linkou instalován CISCO L3 switch  Testujeme centrální Linuxový NAT/PAT a omezování (SHAPE) Technicko časový pohled

8 Centrální LINUXové řešení IP OSPF INTERNET BGP NAT/PAT/SHAPE  Počítali jsme s 2Gbps na server  Omezený počet pravidel – jak je sdílet mezi servery  Škálovatelnost → nutno naroutovat dle zdojové ip na příslušný server  Náročnost na správu, údržbu, spotřebu  Složitá algoritmizace rozložení zátěže  Jak zálohovat konektivitu v případě poruchy jednoho ze serverů? Různé přístupové technologie

9 Rozhodnutí pro ASR1002x  2013 – květen  Průměrný download se blíží 1,5Gbps  Blíží se odhadnutá kapacita centrálního NAT/PAT serveru 2Gbps  Potřeba dořešit škálovatelnost NATu  CISCO seminář pro řadu ASR1000  Představen model ASR1002x s kapacitou 36Gbps  PILOTNÍ projekt ASR1002x IP OSPF INTERNET BGP NAT/PAT/SHAPE Různé přístupové technologie RADIUS Server Web Portal DHCP Server

10 ASR1002x Konfigurace pro ÚJEZD.net  RADIUS server – Do DB zapsat IPv4,IPv6/MAC adresy (authentication) – K IP/MAC adresám doplnit služby, rychlosti (authorization) – Nakonfigurovat „účtování, měření“ (accounting)  DHCP server – V současné době připravujeme síť k implementaci DHCP  ISG – Ověří na RADIUS serveru každou IP adresu (session) a přiřadí jí „služby“ – Pro každou session posílá „accounting“ informace na RADIUS server

11 Generická architektura SP sítí Domácnost Podnik Bezdrát Mobil Cable/CMTS DSL/DSLAM Fiber / OLT Ethernet Agregační přepínač Mobility MPLS/IP síť MPLS/IP sít Hraniční směrovač Hraniční směrovač ÚčastníkPřístupová síťAgregační síťPáteřní síť Internet dynamické/řízené/účtovanéstabilní/výkonné Agregační přepínač Agregační přepínač Agregační přepínač

12 Typická omezení lokálních ISP sítí s IPoE z pohledu kvality poskytovaných služeb a složitosti jejich provozování •Identita účastníků je při IPoE pevně svázána s typicky manuálně nastavenou IP adresou na CPE či koncovém zařízení –pomalé a nákladné připojování nových účastníku ke službám ISP –pevná IP adresa = pevná IP služba. Stačí to? –obtížný “roaming” účastníka v rámci přístupové sítě ISP –složité změny IP adresního plánu a IP adresace v přístupové síti •Služby a pravidla (QoS, ACL, NAT,..) jsou převážně statické a distribuované různě po agregační síti ISP tak jak šel čas –správa tolika různorodých zařízení poskytujících služby špatně škáluje –zařízení založené na PC architektuře nejsou typicky in-line v síti, zanáší zpoždění, nespolehlivost a mají větší nároky na správu a údržbu –dynamická změna služby podle aktuálních potřeb účastníka nebo sítě je prakticky nemožná stejně jako efektivní měření a účtování služeb –brání závádění nových služeb stejně jako stejných služeb pro všechny

13 Vícerozměrová identifikace účastníka:  podle více zdrojů a událostí  v průběhu celého života session Služby a pravidla dynamicky aktualizované podle:  Chování účastníka  Aktuální potřeby účastnka Různorodé služby a pravidla aplikované podle:  Kdo je účastník  Kde je  Co požaduje Požadavky na inteligentní bránu služeb Identita účastníka Identita účastníka Různorodé služby Různorodé služby Dynamická správa služeb Dynamická správa služeb I ntelligent S ervices G ateway Subscriber Services Subscriber Sessions Subscriber Services Session creation/ authentication Dynamic Policy Push and Pull

14 Intelligent Services Gateway (ISG)

15 ISG podporuje dynamické “Sessions” účastníků pro všechny protokoly Zaměření této studie

16  Access Switch inserts Option82 Circuit and Remote ID in DHCP Requests  ISG performs authentication using a combination of Circuit and RemoteID as username  ISG session must be DHCP initiated Možnosti ověřování IPoE Sessions na ISG  ISG performs authentication using identifiers from subscriber traffic (source IP/MAC)  Mac typically used in IP-L2 connected topologies to support, IP used in IP-routed topologies  User traffic redirected to Web Portal to enter credentials  User Credentials propagated to the ISG  ISG uses credentials to authenticate user with AAA server  Applicable to all session types  User starts EAP authentication with Access Point (AP)  ISG impersonates RADIUS server toward AP and RADIUS client toward real server  ISG learns session authentication status by proxying RADIUS messages betw/ real RADIUS client and Server  ISG session must be RADIUS initiated EAP Auth RADIUS Username: EAP username AAA Server AP Wireless Client RADIUS (EAP based auth) EAP RADIUS Username: MAC:RemoteID:CircuitID AAA Server TAL: Option82 Auth Access SW inserts Option 82 CircuitID/RemoteID DHCP exchange AAA Server RADIUS Username: MAC or IP Data Traffic TAL:IP/MAC RADIUS Username: WebLogon Userna me AAA Server Web Portal Web Logon redirection Data Traffic Zaměření této studie TAL = Transparent Auto Logon

17 DHCP Client AAA Server DHCP Server Ověřování podle MAC pro IP sessions sestavené skrz L3 agregační síť L3 cloud Data Traffic DHCP LeaseQuery (Client IP) DHCP LeaseActive (Client IP->MAC) DHCP Address Assignment exchange RADIUS Access Request username: Client MAC RADIUS Access Accept username: Client MAC  Ve scénáři se směrováním v agregační síti není účastnická MAC adresa přímo dostupná pro ISG když je DHCP server externí  Pak lze použít DHCP Leasequery pro získání účastnické MAC adresy od DHCP Serveru  Získaná MAC adresa se pak použije:  Pro ověření účastníka podle jeho MAC adresy (vyžaduje MAC anti-spoofing)  jako Calling-Station-ID pro účtovací záznamy

18 Session Administration Portbundle (PBHK) Keepalives:ICMP and ARP based Timeouts:Idle, Absolute Traffic Conditioning QoS: Policing, MQC Security:Per User ACLs Traffic Forwarding Control Subscriber Address Assignment Control Redirection: Initial, Permanent, Periodic VRF assignment: Initial, Transfer L2TP assignment Traffic Accounting PostPaid Prepaid: Time/Volume based Tariff Switching Interim Broadcast Jaké služby můžeme na ISG provozovat Features  Primary Service: Obsahuje jednu “traffic forwarding” feature a volitelně další features; pouze jedna primary service může být aktivní v účastnické session  Služba (Service): kolekce vlastností (features) aplikovatelných na uživatelskou session Service = {feat.1, feat.2,...,feat.n}

19 Provoz každé účastnické session může být na ISG rozdělen do několika Traffic Class (TC)

20 Feature 1 Session Service Feature 3 Feature 2 TC1 TC2 Feature 1 Feature 2 Feature 1 Feature 3 Feature 2 Traffic Forwarding Service ACL Feature TC1 TC2 Data ACL Default- Class Subscriber Session Forwarding Service Forwarding (at L2, e.g. L2TP) or Routing (at L3, e.g. VRF) Mutually exclusive Flow-Features Apply to the classified flow (a portion of entire session traffic) Session-Features Apply to the entire session e.g. per-user ACL, Policing, MQC, Accounting Traffic Classification (using traffic classes: class-map type traffic) TC2Service TC1Service TC2Service: priority 20 TC1Service: priority 10 permit deny Allow traffic drop traffic permit Provoz přes konkrétní konstrukci jedné účastnické session na ISG

21 AAA DHCP FSOL = 1 st IP packet ISG Session Creation “initiator unclassified ip-address” Access-Request username = IP address Access-Accept “subscriber:accounting-list=ACCNT_LIST” “ip:sub-qos-policy-in=IN_QOS” “ip:sub-qos-policy-out=OUT_HQOS” idle-timeout=600 DHCP Exchange Internet ASR1000 Internet Connection Accounting-Request Start Idle Timeout 600 seconds ISG Session Termination Accounting-Accept Accounting-Request Interim Accounting-Accept Accounting-Request Stop Accounting-Accept Příklad řízení jednoduché IPoE Session na ISG s QoS

22 •3-level HQoS Policing/Shaping/Marking/Queuing podle provozu účastníka •Dual-Stack a vysoce škálovatelný PAT, NAT44/64, CGN44/64, 6RD, MAP-T •Řízení a monitorování provozu na základě DPI (Deep Packet Inspection) •FUP, Broadband-Lite apod. služby pro nemajetné •“Turbo” tlačítka pro nedočkavé stahovače •ISP samoobsluha pro přístup účastníka k novým službám, jejich změně, sledování SLA, platbám, odblokování, přesměrování, změně MAC apod. •Webové ověřování transparentně neověřitelných účastníků (roaming atd.) •Open a Walled Garden pro bezplatné či naopak premiové služby •Výběr přístupu do VPN sítí (MPLS nebo IPSec) •Intelligent Wireless Access Gateway (iWAG) Další možné služby aplikovatelné na účastnické sessions na ISG směrovači Cisco ASR1000

23 Závěr  Další informace o pilotním projektu ASR 1002x  Martin Slinták (Cisco),  Dotazy


Stáhnout ppt "Praktické nasazení Cisco pro IPv4 a IPv6 Ing. Jan Pilný (ABAK) Ing. Jiří Bureš (ABAK) Ing. Martin Slinták (Cisco)"

Podobné prezentace


Reklamy Google