Praktické nasazení Cisco pro IPv4 a IPv6 Ing. Jan Pilný (ABAK) Ing. Jiří Bureš (ABAK) Ing. Martin Slinták (Cisco) 1
Obsah prezentace Představení sítě ÚJEZD.net Vývoj sítě a vývojové problémy Změna platformy v síti Vznik pilotního projektu ASR1002x s fy Cisco Technicko časový pohled ASR1002x – konfigurace pro ÚJEZD.net ASR1002x – popis funkcí ISG Závěr 2
Představení Provozovatelem sítě ÚJEZD.net je firma ABAK, spol. s r.o. Působnost sítě Praha a Praha východ (vlastní infrastruktura) celá ČR (partnerské sítě, ADSL, VDSL) Silná páteřní infrastruktura v celé lokalitě optika a bezdrátové spoje (Alcoma 5 až 80 GHz) neustále inovovaná od vzniku sítě Služby pro koncové uživatele i partnerské sítě 3
Vývoj sítě Vývoj do roku 2010 Vznikající problémy routovaná síť (OSPF) a vše na Linuxu s podporou IPv4 i IPv6 decentralizované omezování rychlostí BGP a centralizovaný NAT na dvou bránách do internetu Vznikající problémy výrazný nárůst uživatelů sítě přetížené místní Linux boxy (Wrap, Alix,...) stabilita sítě (občasné rozpadávání OSPF,...) nemožnost zajistit QoS, QinQ s omezenou rychlostí, IPTV,... nemožnost omezit rychlost na IPv6 4
Změna platformy Rozhodnutí o nasazení L3 Cisco boxů (2011) Výsledek byly nasazeny na všechny páteřní body sítě a kompletně přepracovaná topologie sítě byla vyměněna a posílena většina páteřních spojů došlo k úplné výměně páteřní infrastruktury v připojených sítích (ÚVALY.net, Conectinet, iControl,... ) Výsledek perfektní stabilita sítě (stabilní OSPF) a výrazně lepší latence možnost QoS, QinQ s omezením rychlosti, IPTV,... stále decentralizované omezování rychlostí a problém s přetížením Linux boxů (Wrap, Alix,...) narůstající počet NATujících strojů a problémy se správou 5
Projekt ASR1002x Rozhodnutí o nasazení Cisco ASR1002x jeden hraniční Cisco box pro celou síť: 5-36Gbps dvě 10Gbps přípojky do internetu BGP, OSPF, NAT, omezování rychlostí pro IPv4 i IPv6, NetFlow,... pro celou síť v jednom boxu ISG (Inteligent Service Gateway) – připojení na Radius, ověření uživatele, nastavení prostředků a služeb (sada pravidel - rychlosti, QoS,...) a to dynamicky v průběhu provozu nákladné a nevyzkoušené řešení dohoda s fy Cisco o vzniku pilotního projektu ASR 1002x 6
Technicko časový pohled 2011 Rozhodnutí o nasazení CISCO L3 switchů + pilotní provoz CISCO prezentace řady routerů ASR1000 → modely 1001 a 1002 → funkcionalita OK, cena a výkon již pro naše účely nevyhověly 2012 Probíhá upgrade páteřní sítě → ALCOMA 5-80GHz Na každý bod se spojem s kapacitou vyšší než 100Mbs a se záložní linkou instalován CISCO L3 switch Testujeme centrální Linuxový NAT/PAT a omezování (SHAPE) 7
Různé přístupové technologie Centrální LINUXové řešení NAT/PAT/SHAPE IP OSPF INTERNET BGP Různé přístupové technologie Počítali jsme s 2Gbps na server Omezený počet pravidel – jak je sdílet mezi servery Škálovatelnost → nutno naroutovat dle zdojové ip na příslušný server Náročnost na správu, údržbu, spotřebu Složitá algoritmizace rozložení zátěže Jak zálohovat konektivitu v případě poruchy jednoho ze serverů? 8
Různé přístupové technologie Rozhodnutí pro ASR1002x 2013 – květen Průměrný download se blíží 1,5Gbps Blíží se odhadnutá kapacita centrálního NAT/PAT serveru 2Gbps Potřeba dořešit škálovatelnost NATu CISCO seminář pro řadu ASR1000 Představen model ASR1002x s kapacitou 36Gbps PILOTNÍ projekt ASR1002x NAT/PAT/SHAPE IP OSPF INTERNET BGP Různé přístupové technologie RADIUS Server Web Portal DHCP Server ISG 9
ASR1002x Konfigurace pro ÚJEZD.net RADIUS server Do DB zapsat IPv4,IPv6/MAC adresy (authentication) K IP/MAC adresám doplnit služby, rychlosti (authorization) Nakonfigurovat „účtování, měření“ (accounting) DHCP server V současné době připravujeme síť k implementaci DHCP ISG Ověří na RADIUS serveru každou IP adresu (session) a přiřadí jí „služby“ Pro každou session posílá „accounting“ informace na RADIUS server 10
dynamické/řízené/účtované Generická architektura SP sítí Účastník Přístupová síť Agregační síť Páteřní síť Domácnost Cable/CMTS Agregační přepínač Agregační přepínač Hraniční směrovač DSL/DSLAM MPLS/IP sít Podnik Fiber / OLT MPLS/IP síť Bezdrát Ethernet Hraniční směrovač Agregační přepínač Agregační přepínač Mobility Mobil Internet dynamické/řízené/účtované stabilní/výkonné © 2012, Cisco Systems, Inc. All rights reserved. 11
Typická omezení lokálních ISP sítí s IPoE z pohledu kvality poskytovaných služeb a složitosti jejich provozování Identita účastníků je při IPoE pevně svázána s typicky manuálně nastavenou IP adresou na CPE či koncovém zařízení pomalé a nákladné připojování nových účastníku ke službám ISP pevná IP adresa = pevná IP služba. Stačí to? obtížný “roaming” účastníka v rámci přístupové sítě ISP složité změny IP adresního plánu a IP adresace v přístupové síti Služby a pravidla (QoS, ACL, NAT,..) jsou převážně statické a distribuované různě po agregační síti ISP tak jak šel čas správa tolika různorodých zařízení poskytujících služby špatně škáluje zařízení založené na PC architektuře nejsou typicky in-line v síti, zanáší zpoždění, nespolehlivost a mají větší nároky na správu a údržbu dynamická změna služby podle aktuálních potřeb účastníka nebo sítě je prakticky nemožná stejně jako efektivní měření a účtování služeb brání závádění nových služeb stejně jako stejných služeb pro všechny
Požadavky na inteligentní bránu služeb Vícerozměrová identifikace účastníka: podle více zdrojů a událostí v průběhu celého života session Identita účastníka Subscriber Sessions Intelligent Services Gateway Subscriber Services Různorodé služby a pravidla aplikované podle: Kdo je účastník Kde je Co požaduje Různorodé služby Session creation/ authentication Služby a pravidla dynamicky aktualizované podle: Chování účastníka Aktuální potřeby účastnka Dynamická správa služeb Subscriber Services Dynamic Policy Push and Pull 13
Intelligent Services Gateway (ISG) 14
ISG podporuje dynamické “Sessions” účastníků pro všechny protokoly Zaměření této studie 15
Možnosti ověřování IPoE Sessions na ISG RADIUS Username: WebLogon Userna me AAA Server ISG Web Portal Web Logon redirection Data Traffic User traffic redirected to Web Portal to enter credentials User Credentials propagated to the ISG ISG uses credentials to authenticate user with AAA server Applicable to all session types RADIUS Username: MAC:RemoteID:CircuitID AAA Server ISG TAL: Option82 Auth Access SW inserts Option 82 CircuitID/RemoteID DHCP exchange Access Switch inserts Option82 Circuit and Remote ID in DHCP Requests ISG performs authentication using a combination of Circuit and RemoteID as username ISG session must be DHCP initiated User starts EAP authentication with Access Point (AP) ISG impersonates RADIUS server toward AP and RADIUS client toward real server ISG learns session authentication status by proxying RADIUS messages betw/ real RADIUS client and Server ISG session must be RADIUS initiated EAP Auth RADIUS Username: EAP username AAA Server AP Wireless Client ISG (EAP based auth) Proxy EAP Zaměření této studie TAL = Transparent Auto Logon AAA Server ISG RADIUS Username: MAC or IP Data Traffic TAL:IP/MAC ISG performs authentication using identifiers from subscriber traffic (source IP/MAC) Mac typically used in IP-L2 connected topologies to support, IP used in IP-routed topologies 16
Ověřování podle MAC pro IP sessions sestavené skrz L3 agregační síť DHCP Client DHCP Server AAA Server L3 cloud ISG DHCP Address Assignment exchange Data Traffic DHCP LeaseQuery (Client IP) ISG DHCP LeaseActive (Client IP->MAC) RADIUS Access Request username: Client MAC RADIUS Access Accept username: Client MAC Ve scénáři se směrováním v agregační síti není účastnická MAC adresa přímo dostupná pro ISG když je DHCP server externí Pak lze použít DHCP Leasequery pro získání účastnické MAC adresy od DHCP Serveru Získaná MAC adresa se pak použije: Pro ověření účastníka podle jeho MAC adresy (vyžaduje MAC anti-spoofing) jako Calling-Station-ID pro účtovací záznamy
Jaké služby můžeme na ISG provozovat Služba (Service): kolekce vlastností (features) aplikovatelných na uživatelskou session Service = {feat.1, feat.2,...,feat.n} Session Administration Portbundle (PBHK) Keepalives: ICMP and ARP based Timeouts: Idle, Absolute Traffic Conditioning QoS: Policing, MQC Security: Per User ACLs Traffic Forwarding Control Subscriber Address Assignment Control Redirection: Initial, Permanent, Periodic VRF assignment: Initial, Transfer L2TP assignment Traffic Accounting PostPaid Prepaid: Time/Volume based Tariff Switching Interim Broadcast ISG Features Primary Service: Obsahuje jednu “traffic forwarding” feature a volitelně další features; pouze jedna primary service může být aktivní v účastnické session 18
Provoz každé účastnické session může být na ISG rozdělen do několika Traffic Class (TC) 19
Provoz přes konkrétní konstrukci jedné účastnické session na ISG Subscriber Session Feature Feature Feature permit Feature 3 TC1Service ACL TC1 deny Session Service Feature 1 TC1 Feature 2 Feature 1 Data Feature 3 Feature 2 Traffic Forwarding Service permit ACL TC2 deny TC2Service Feature 1 TC2 Allow traffic Default- Class Feature 2 drop traffic Session-Features Apply to the entire session e.g. per-user ACL, Policing, MQC, Accounting Traffic Classification (using traffic classes: class-map type traffic) Flow-Features Apply to the classified flow (a portion of entire session traffic) Forwarding Service Forwarding (at L2, e.g. L2TP) or Routing (at L3, e.g. VRF) Mutually exclusive TC1Service: priority 10 TC2Service: priority 20 20
“initiator unclassified ip-address” ISG Session Termination Příklad řízení jednoduché IPoE Session na ISG s QoS ASR1000 ISG DHCP AAA Internet DHCP Exchange FSOL = 1st IP packet ISG Session Creation “initiator unclassified ip-address” Access-Request username = IP address Access-Accept “subscriber:accounting-list=ACCNT_LIST” “ip:sub-qos-policy-in=IN_QOS” “ip:sub-qos-policy-out=OUT_HQOS” idle-timeout=600 Accounting-Request Start Accounting-Accept Internet Connection Accounting-Request Interim Accounting-Accept Idle Timeout 600 seconds ISG Session Termination Accounting-Request Stop Accounting-Accept 21
Další možné služby aplikovatelné na účastnické sessions na ISG směrovači Cisco ASR1000 3-level HQoS Policing/Shaping/Marking/Queuing podle provozu účastníka Dual-Stack a vysoce škálovatelný PAT, NAT44/64, CGN44/64, 6RD, MAP-T Řízení a monitorování provozu na základě DPI (Deep Packet Inspection) FUP, Broadband-Lite apod. služby pro nemajetné “Turbo” tlačítka pro nedočkavé stahovače ISP samoobsluha pro přístup účastníka k novým službám, jejich změně, sledování SLA, platbám, odblokování, přesměrování, změně MAC apod. Webové ověřování transparentně neověřitelných účastníků (roaming atd.) Open a Walled Garden pro bezplatné či naopak premiové služby Výběr přístupu do VPN sítí (MPLS nebo IPSec) Intelligent Wireless Access Gateway (iWAG)
Závěr Další informace o pilotním projektu ASR 1002x Dotazy Martin Slinták (Cisco), e-mail: mslintak@cisco.com Dotazy 23