Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 2.

1,957 views
1,730 views

Published on

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,957
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
74
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 2.

  1. 1. Архитектура и принципыпроектирования многоуровневыхкорпоративных ЛВС. Часть 2.Станислав Рыпалов, CCIE R&S/Security #12561Системный инженер
  2. 2. Содержание Основы многоуровневого Data Center Services дизайна кампуса Block Основные сервисы Рекомендации по проектированию VSS Виртуализация Si Si Соображения IP телефонии Si Si Si Si Качество обслуживания (QoS) Si Si Si Si Безопасность Distribution Blocks Собираем всѐ вместе
  3. 3. Рекоммендации попроектированию
  4. 4. «Цепочки» коммутаторов на доступе Избегайте возможных «чѐрных дыр» Обратный трафик имеет шансы 50/50 попасть в ‘Чѐрную дыру’ ЯдроУровень 3 Si Si шансы = 50% что трафик пойдѐт по неправильному пути Распре- Layer 3 Link деление Distribution-A Distribution-BУровень 2/3 Si Si ДоступУровень 2 Access-a Access-n Access-c VLAN 2 VLAN 2 VLAN 2
  5. 5. «Цепочки» коммутаторов на доступеТехнология стэкирования избавляет от старой проблемы Технологии Stackwise/Stackwise-Plus решает задачу Не требуются дополнительные замыкающие (loopback) соединения Нет необходимость L2 соединения на уровне распределения Если вы используете стэкируемые коммутаторы, эти проблемы не являются актуальными Forwarding HSRP Si Active Layer 3 Forwarding Si HSRP Standby 3750-E
  6. 6. Что будет, если не соединятькоммутаторы распределения? Медленная конвергенция STP STP Secondary вызовет ощутимые потери Core Root and HSRP Standby трафика STP может стать причиной непредсказуемого пути для STP Root and HSRP Active трафика и распределения Si Hellos Si нагрузки Сходимость STP вызывает сходимость 3-го уровня B F 2 2 Таймеры STP и L3 независимы Access-a Access-b Могут происходить ковергенция и ре-конвергенция L3 VLAN 2 VLAN 2 Даже если соединения Трафик будет Трафик будет распределения полагаются на отбрасываться отбрасываться, STP и состояния соединений, до перехода в пока работают режим таймеры это может стать причиной Forwarding; 50 MaxAge, проблем с HSRP секунд Listening и Learning
  7. 7. Что если …? «Чѐрные дыры» и множественные Переходы … STP  Агрессивный таймер Ядро Core Secondary HSRP ограничит STP Root and Root and «чѐрную дыру» #1Уровень 3 HSRP Active HSRP Standby  Backbone fast Распре- обеспечит за 30 HSRP Active деление сек. сходимость для (Temporarily) Hellos события #2Уровень 2/3 Si Si  Даже с rapid PVST+ минимум 1 секунда до события #2 Доступ F: Forwarding MaxAge Уровень 2 B: Blocking Seconds Before Failure Is Access-a Access-b Detected… Then Listening and Learning VLAN 2 VLAN 2  Заблокированные соединения на access-b перейдут в forwarding за 50 секунд  трафик отбрасывается до срабатывания HSRP на резервном коммутаторе  После таймера MaxAge (или backbone fast или Rapid PVST+) новый переход HSRP  Access-b используется как транзитный узел для трафика от access-a
  8. 8. Ассиметричная маршрутизация (UnicastFlooding) Влияет на отказоустойчивые топологии с общим L2 доступом Asymmetric Equal Cost Один путь «наверх» Return Path два пути «вниз» CAM Timer Has Таймеры обнуляются Aged Out on Upstream Packet в CAM таблице Standby HSRP Si Si Unicast to Active HSRP коммутатора Downstream standby HSRP Packet Flooded Без начального пакета в CAM происходит рассылка на все порты VLAN VLAN 2 VLAN 2 VLAN 2 VLAN 2
  9. 9. Предотвращение Unicast Flooding На каждый коммутатор доступа назначайте уникальные VLAN данных голосовой VLAN Теперь трафик попадает Asymmetric только в один транк Equal Cost Return Path Коммутатор доступа отправляет пакет Upstream Packet корректно; Si Si Unicast to Downstream в один порт Packet Active HSRP Если требуется: Flooded on Single Port Подстройте таймеры ARP и CAM; таймер CAM превышает таймер ARP Подправьте метрики маршрутизации чтобы избавиться от экв. VLAN 3 VLAN 4 VLAN 5 VLAN 2 маршрутов
  10. 10. Альтернативныйдизайн с VSS
  11. 11. Catalyst 6500 Virtual Switching System Обзор Классический VSS физический VSS логический 10GE 10GE Si Si Si Si 802.3ad 802.3ad или или PagP 802.3ad PagP 802.3ad Коммутатор Сервер Коммутатор Сервер Коммутатор Сервер доступа доступа доступаУправление как одним устройством, отсутствие петель, нет зависимости от STP, не требуется применение протоколов защиты шлюза по умолчаниюЛучшая производительность и масштабируемость Active-Active Multi-Chassis Etherchannel (802.3ad/PagP) –нет заблокированных соединений Субсекундная сходимость и восстановление в случае выхода из строя коммутатора или соединения (SSO/NSF)
  12. 12. VSS в сети предприятия VSS на распределении Снижение L3 соседств, снижение времени L3 Core конвергенции Нет FHRP, Нет петель L2/L3 Distribution Несколько активных соединений на VLAN, нет Access сходимости STP
  13. 13. Упрощение настроекОтдельное устройство VSS(конфигурация второго устройства не показана) (конфигурация одного устройства)Spanning Tree Configuration! Enable 802.1d per VLAN spanning tree enhancements. ! Enable 802.1d per VLAN spanning tree enhancementsspanning-tree mode pvst spanning-tree mode rapid-pvstspanning-tree loopguard default no spanning-tree optimize bpdu transmissionno spanning-tree optimize bpdu transmission spanning-tree extend system-idspanning-tree extend system-id spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priorityspanning-tree uplinkfast 24576spanning-tree backbonefastspanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority24576!L3 SVI Configuration! Define the Layer 3 SVI for each voice and data VLAN ! Define the Layer 3 SVI for each voice and data VLANinterface Vlan4 interface Vlan2description Data VLAN for 4507 SupII+ description Data VLAN for 4507 SupII+ip address 10.120.4.3 255.255.255.0 ip address 10.120.2.1 255.255.255.0no ip redirects no ip redirectsno ip unreachables no ip unreachables! Reduce PIM query interval to 250 msec ip pim sparse-modeip pim query-interval 250 msec load-interval 30ip pim sparse-modeload-interval 30! Define HSRP default gateway with 250/800 msec hello/holdstandby 1 ip 10.120.4.1standby 1 timers msec 250 msec 800! Set preempt delay large enough to allow network to stabilizebefore HSRP! switches back on power on or link recoverystandby 1 preempt delay minimum 180! Enable HSRP authenticationstandby 1 authentication cisco123
  14. 14. Введение в Virtual Switching SystemКонцепция Virtual Switch Domain Active Control Plane Standby Hot Virtual Switch Link Data Plane Switch 1 Switch 2
  15. 15. Архитектура Virtual Switching System Virtual Switch Link (VSL) Virtual Switch Link объединяет два физических коммутатора вместе – обеспечивает механизм синхронизации VS Header L2 Hdr L3 Hdr Data CRC Virtual Switch LinkVirtual Switch Virtual Switch Active Standby
  16. 16. Архитектура Virtual Switching SystemИнициализация Процесс инициализации состоит из 3-х основных шагов:1 Определение соединений VSL Link Bringup Протокол Link Management Protocol (LMP) используется для отслеживания и2 отброса однонаправленных соединений, обмена параметрами Chassis ID и другой информацией между коммутаторами LMP LMP RRP RRP3 Протокол Role Resolution Protocol (RRP) используется для определения совместимости оборудования и ПО для формирования VSL и определяет какой из коммутаторов будет активным с точки зрения шины управления
  17. 17. Архитектура Virtual Switching System VSLP Ping Новый механизм ping был имплементирован в VSS для проверки соединений VSL - VSLP Ping VSL VSLP Ping VSLP Ping VSLP Ping VSLP Ping Switch1 Switch2VSLP Ping работает по-интерфейсно per-physical interface отображает COUNT, DESTINATION, SIZE, TIMEOUT …vss#ping vslp output interface tenGigabitEthernet 1/5/4Type escape sequence to abort.Sending 5, 100-byte VSLP ping to peer-sup via output port 1/5/4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms
  18. 18. Virtual Switching System Общая шина управления• Один активный супервизор с включенным функционалом inter-chassis Stateful Switchover (SSO)• Active супервизор обеспечивает работу функций control plane таких как протоколы (routing, EtherChannel, SNMP, telnet, etc.) и управление оборудованием (Online Insertion Removal, port management)• Active/Standby супервизоры синхронизируют состояния (boot-env, running-configuration, состояния протоколов линейных карт) CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards VSL CFC or DFC Line Cards SF RP PFC SF RP PFC Active Supervisor Standby HOT Supervisor CFC or DFC Line Cards SSO CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards Synchronization CFC or DFC Line Cards CFC or DFC Line Cards
  19. 19. Virtual Switching SystemДвойная активная шина коммутации • Активны обе шины коммутации • Супервизор Standby и все линейные карты активны и участвуют в коммутации VSS# show switch virtual redundancy My Switch Id = 1 Si Si Data Peer Switch Id = 2 Data Plane Plane <snip> Active Active Switch 1 Slot 5 Processor Information : ---------------------------------------------- - Current Software state = ACTIVE <snip> Fabric State = ACTIVE Control Plane State = ACTIVE Switch 2 Slot 5 Processor Information : ---------------------------------------------- - Current Software state = STANDBY HOT Switch2 (switchover target) Switch1 <snip> Fabric State = ACTIVE Control Plane State = STANDBY
  20. 20. Архитектура Virtual Switching System Multichassis EtherChannel (MEC) Соединения Etherchannel могут быть распределены между двумя физическими шасси Standalone VSS Поддерживаются протоколы LACP и PAGP и ручной режим ON-ON…Традиционный Etherchannel на одно Multichassis EtherChannel на 2 VSS- шасси шасси
  21. 21. Архитектура Virtual Switching SystemПуть сетевого трафика в случае сбоев • MEC или ECMP – основные механизмы восстановления после сбоя соединения/устройства Si Si Si Si Si Si Si Si SW1 SW2 SW1 SW2 SW1 SW2 Выход из строя шасси VSS Выход из строя соединения в ядро Выход из строя соединения на доступ
  22. 22. Архитектура Virtual Switching System Алгоритмы EtherChannel Hash для MEC Алгоритмы хэширования для Etherchannel модифицированны таким образом чтобы трафик всегда уходил через локальные интерфейсы VSS Синий трафик к Оранжевый трафик серверу будет к серверу будетотправлен через Link отправлен через Link 1 в соединении 2 в соединении MEC MEC… … Link 1 Link 2
  23. 23. Архитектура Virtual Switching Systemподдержка резервных супервизоров • Для чего требуются резервные супервизоры?• Сбой в работе любого из супервизоров приводит к остановке коммутации на линейных картах в рамках шасси – Si Si снижение полосы VSS на 50%• Отдельные устройства могут иметь только одно подключение к VSS по ряду причин (нерекомендуемый дизайн) – Сервисные модули/Сервера – Цена $$• Выход из строя супервизора требует ручного вмешательства для восстановления работы шасси – Соединения не активны когда супервизор находится в режиме ROMMON – Непредсказуемое время восстановления – Ручной процесс установки и настройки в режим VSS нового супервизора установки нов
  24. 24. Аппаратная поддержка VSS Catalyst 6500Модули супервизора  Супервизоры с поддержкой VSS Supervisor Engine 2T Supervisor Engine 720-10GE  Интерфейсы 10GE с поддержкой VSL  Новые микросхемы ASICs VS-S2T-10G/XL Поддержка полей для маркировки и пересылки трафика между шасси MAC address learning на двух шасси  VSS не поддерживается на VS-S720-10G-3C/XL Supervisor Engine 720 или других старых супервизорах
  25. 25. Аппаратная поддержка VSS Catalyst 4500-X
  26. 26. Виртуализация
  27. 27. Что такое виртуализация сети? Поддержка одной физической сетью нескольких виртуальных С точки зрения пользователя – это подключение к выделенной сети с независимыми политиками безопасности, маршрутизации, качества обслуживания и пр. Обеспечение иерархии и виртуализации устройств, путей и сервисов Оптимальное использование существующих ресурсов сети Внутренние Дочерняя Сеть подразделения компания гостевого доступа
  28. 28. Дизайн сети предприятия
  29. 29. Обзор MPLS VPN  Позволяет поставщику услуг предоставлять сервис для подключения сетей разных клиентов  Трафик от клиентов инкапсулируется в MPLS и доставляется на устройства PE/CE  У каждого клиента может быть свое адресное пространство, пересекающееся с другими клиентами
  30. 30. Изоляция путей (Path Isolation) Виртуализация устройства  Виртуализация контрольной шины  Виртуализация шины данных  Виртуализация сервисов Виртуализация каналов данных  Hop-by-Hop (сквозной VRF-Lite)  Multi-Hop (VRF-Lite + GRE, MPLS VPN)
  31. 31. Эволюция VRF – Easy Virtual Network  VRF родился от MPLS VPN  Применяется без MPLS в VRF-Lite  EVN добавляет зрелости VRF
  32. 32. Обзор Easy Virtual Network Транки в ЛВС  упрощение настройки  автоматическая настройка VRF на транке Репликация маршрутов  Общие сервисы на базе IGP протоколов  Не требуется BGP Снижение сложности при поиске неисправностей  routing-context, traceroute, debug condition, cisco-vrf- mib Доступно на ASR1K, Cat6500 и Cat4500 сейчас
  33. 33. Easy Virtual Network – как это работает?Создайте L2 VLANs на уровне доступаи отправьте его через транк на первый хоп L3Опишите VRFs на каждом L3 устройстве.Создайте связку VLAN – VRF.Настройте IGP протокол для каждого VRFна всех устройствах L3Настройте VNET транк на каждомфизическом интерфейсе ядра.Используется тот же самый тэг 802.1QПри добавлении новых VRF не требуетсядобавление подинтерфейсов. Этоавтоматически производится VNET транком
  34. 34. Совместимость EVN и VRF VRF-Lite Subinterface Config VNET Trunk Configinterface TenGigabitEthernet1/1 interface TenGigabitEthernet1/1 ip address 10.122.5.1 255.255.255.252 vnet trunk ip pim query-interval 1 ip address 10.122.5.2 255.255.255.252 ip pim sparse-mode ip pim query-interval 1 ip pim sparse-modeinterface TenGigabitEthernet1/1.101 description Subinterface for Red VRF encapsulation dot1Q 101 Оба маршрутизатора имеютip vrf forwarding red настроенные VRF ip address 10.122.5.1 255.255.255.252 ip pim query-interval 1 На EVN маршрутизаторе VNET тэги ip pim sparse-mode Global Config:interface TenGigabitEthernet1/1.102 vrf definition red description Subinterface for Green VRF vnet tag 101 encapsulation dot1Q 102 ip vrf forwarding green vrf definition green ip address 10.122.5.1 255.255.255.252 vnet tag 102 ip pim query-interval 1 ip pim sparse-mode
  35. 35. Интеграция VRF с L2 Edge vrf definition red vnet tag 101 vrf definition green vnet tag 102 vrf definition blue vnet tag 103 interface g1/0 vnet trunk interface vlan 21 vrf forwarding red interface vlan 22 vrf forwarding green interface vlan 23 vrf forwarding blue interface vlan 31 vrf forwarding red interface vlan 32 vrf forwarding green interface vlan 33 vrf forwarding blue
  36. 36. EVN - Show Derived-config show run show derived-configRouter# show run Router# show derived-config. . . . . .interface Ethernet1/0 interface Ethernet1/0 vnet trunk vnet trunk ip address 10.122.6.11 255.255.255.0 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode ip pim sparse-mode. . . ! interface Ethernet1/0.101 description Subinterface for VNET red vrf forwarding red encapsulation dot1Q 101 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode ! interface Ethernet1/0.102 description Subinterface for VNET green vrf forwarding green encapsulation dot1Q 102 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode . . .
  37. 37. VNET Trunk – настройка индивидуальных параметровОтдельные специфические настройки интерфеса можно менятьдля отдельного VRFVRF-Lite Subinterface Config VNET Trunk Configinterface TenGigabitEthernet1/1 interface TenGigabitEthernet1/1 ip address 10.122.5.1 255.255.255.252 vnet trunkip ospf cost 20 ip address 10.122.5.2 255.255.255.252 ip pim sparse-mode ip ospf cost 20 ip pim sparse-modeinterface TenGigabitEthernet1/1.101 vnet name green description Subinterface for Red VRF no ip pim sparse-modeencapsulation dot1Q 101 ip ospf cost 30 ip vrf forwarding red ip address 10.122.5.1 255.255.255.252ip ospf cost 20 Global Config: ip pim sparse-mode vrf definition red vnet tag 101interface TenGigabitEthernet1/1.102 description Subinterface for Green VRF vrf definition greenencapsulation dot1Q 102 vnet tag 102 ip vrf forwarding green ip address 10.122.5.1 255.255.255.252ip ospf cost 30
  38. 38. VRF List
  39. 39. Анонсирование сервисовСервисы которые не хочетсядублировать:  Internet шлюз  Firewall и NAT - DMZ  DNS  DHCPТребуется IP связность между VRFОбычно достигается при помощивозможностей Extranet или FusionRouter/FWВарианты анонсирования сервисовFusion Router/FW – Internet шлюз,NAT/DMZExtranet – DNS, DHCP
  40. 40. Анонсирование сервисов - конфигурацияДо: После:ip vrf SHARED vrf definition SHARED rd 3:3 address-family ipv4 route-target export 3:3 route-replicate from vrf RED unicast all route-map red-maproute-target import 1:1 route-replicate from vrf GREEN unicast all route-map grn-maproute-target import 2:2!ip vrf RED rd 1:1 vrf definition RED address-family ipv4route-target export 1:1route-target import 3:3 route-replicate from vrf SHARED unicast all!ip vrf GREEN rd 2:2 vrf definition GREENroute-target export 2:2 address-family ipv4route-target import 3:3 route-replicate from vrf SHARED unicast all!router bgp 65001 bgp log-neighbor-changes ! address-family ipv4 vrf SHARED redistribute ospf 3 Преимущества Route-Replication: no auto-summary no synchronization • не требуется BGP exit-address-family ! • не требуется Route Distinguisheraddress-family ipv4 vrf RED redistribute ospf 1 • не требуется Route Targets no auto-summary no synchronization exit-address-family • не требуется Import/Export !address-family ipv4 vrf GREEN • простое внедрение redistribute ospf 2 no auto-summary • поддерживаются Unicast/Mcast no synchronization exit-address-family!
  41. 41. Внедрение QoS
  42. 42. EVN – поддержка на оборудованииPlatform Release FCS DateASR1K IOS XE 3.2S Nov 2010Cat6K – Sup2T 15.0(1)SY1 March 2012 15.1(1)SGCat4K April 2012 IOS XE 3.3.0SGCat6K – Sup720* Roadmap FutureCat3K-X Roadmap FutureISR-G2 Roadmap FutureNexus 7K Roadmap FutureCat4K Release/Platforms:15.1(1)SG:Sup6-E, Sup6L-E, 4900M, 4948E, 4940E-FIOS XE 3.3.0SG: Sup7-E, Sup7L-E, 4500-X* Sup720 не поддерживает VNET Trunk“Many of the products and features described herein remain in varying stages of development and will be offered on awhen-and-if-available basis. This roadmap is subject to change at the sole discretion of Cisco, and Cisco will have noliability for delay in the delivery or failure to deliver any of the products or features set forth in this document.”
  43. 43. Инфраструктурныерешения для IPтелефонии
  44. 44. Сеть кампуса для UC Интеграция инфраструктуры, QoS и доступность Доступ Авт. обнаружение телефонов Access Питание Inline power QoS: приоритезация, граница доверия и классификация Si Si Si Si Si Si Быстрая сходимость Distribution Распределение Высокая доступность, отказоустойчивость, Layer 3 Layer 3 быстрая сходимость Core Equal Cost Equal Cost Применение политик Si Si Links Links QoS: приоритезация, граница доверия и классификация Distribution Si Si Ядро Si Si Si Si Высокая доступность, отказоустойчивость, быстрая сходимость QoS: приоритезация, Access граница доверия WAN Data Center Internet
  45. 45. Интеграция инфраструктурРасширение границы сети Обнаружение IP телефона, подача питания Обмен CDP между телефоном и коммутатором Назначение IP телефона в корректный VLAN Запрос DHCP и регистрация на Call ManagerТелефон содержит 3-х портовый коммутатор, который настраиваетсяпри участии коммутатора доступа и CallManager’а1. Подача питания/определение мощности2. Настройка VLAN3. Взаимодействие с 802.1x4. Настройка QoS5. DHCP и регистрация на CallManager
  46. 46. Интеграция инфраструктур: первый шагСогласование требований питания Устройства Cisco prestandard вначале получают 6.3 Вт и далее через CDP согласовывается требуемая мощность Устройства 802.3af вначале получают 12.95 Вт если PSE не может определить класс устройства Минимальный уровень Максимальный уровень Класс Исп. выдаваемой мощности потребляемой мощности на на PSE устройстве 0 Default 15.4W 0.44 to 12.95W 1 Optional 4.0W 0.44 to 3.84W 2 Optional 7.0W 3.84 to 6.49W 3 Optional 15.4W 6.49 to 12.95W Reserved for Reserved for Future Use: a Class 4 4 Future Treat as Class 0 Signature Cannot Be Provided by a Use Compliant Powered Device
  47. 47. Расширенное согласование мощности 802.3af + двунаправленный обмен CDP (Cisco 7970)PSE—источник Подключение PDпитания Обнаружение устр-ва IEEE PDCisco 6500,4500,3750, 3560 Классификация PD Подача питания Телефон передаѐт по CDP параметры потреб. мощности и список поддерживаемых режимов PD—устройство Коммутатор отправляет CDP ответ со своими параметрами Cisco 7970 В зависимости от возможностей согласовывается финальная мощность  Обмен CDP позволяет определить точную потребляемую мощность после начального включения
  48. 48. Соображения дизайна для PoEУправление питанием Коммутатор управляет питанием в зависимости от требований PD, а не реального потребления Потребляемая устройством мощность не является постоянной 7960G требует 7Вт при звонке на максимальной громкости и 5Вт когда трубка снята или положена Требуется понимание поведения устройства PoE Применяйте статические конфигурации с осторожностью Динамическое выделение: power inline auto max 7200 Статическое выделение: power inline static max 7200 Используйте онлайн-калькулятор для расчѐта http://www.cisco.com/go/powercalculator
  49. 49. Интеграция инфраструктур:следующие шаги Конфигурация VLAN, QoS и 802.1x Phone VLAN = 110 PC VLAN = 10 (VVID) (PVID) Инкапсуляция Native VLAN (PVID) не 802.1Q с 802.1p требует изменений в CoS Уровня 2 конфигурации  Во время начального обмена CDP телефон получает номер голосового Voice VLAN ID (VVID)  Через поля CDP TLV телефон получает настройки QoS  Доступны LLDP/LLDP-MED …  Коммутатор может пропускать стадию 802.1x аутентификации для VVID если обнаруживает IP телефон Cisco
  50. 50. Качествообслуживания
  51. 51. Лучшие практики—Качество обслуживания  Требует сквозного внедрения. Разные уровни выполняют разную, но End-to-End QoS одинаково важную роль.  Обеспечивает защиту Si Si Si Si Si Si критически важных приложений от влияния перегрузки на соединениях и Layer 3 Equal Layer 3 Equal задержек в очередях Cost Links Cost Links Si Si  Узлы агрегации должны обеспечивать применение политик QoS Si Si Si Si Si Si  Необходима поддержка очередей с несколькими критериями доступа и обслуживания WAN Data Center Internet
  52. 52. Лучшие практики—Качество обслуживания  Требует сквозного внедрения. Разные уровни выполняют разную, но End-to-End QoS одинаково важную роль.  Обеспечивает защиту Si Si Si Si Si Si критически важных приложений от влияния перегрузки на соединениях и Layer 3 Equal Layer 3 Equal задержек в очередях Cost Links Cost Links Si Si  Узлы агрегации должны обеспечивать применение политик QoS Si Si Si Si Si Si  Необходима поддержка очередей с несколькими критериями доступа и обслуживания WAN Data Center Internet
  53. 53. Переполнение очереди передачи 10/100m Queued 128k Uplink WAN Router100 Mбит/с в 128 Кб/с —Пакеты приходят быстрее чем могут выйтиПакеты помещаются в очередь до отправки с медленного интерфейса 1 Gig Link Queued 100 Meg Link Distribution Switch Access Switch1 Гб/с в 100 Мбит/с —Пакеты приходят быстрее чем могут выйтиПакеты помещаются в очередь до отправки с медленного интерфейса
  54. 54. Auto QoS VoIP—жизнь проще …Настройки QoS для VoIP на коммутаторах кампуса Access-Switch(config-if)#auto qos voip ? cisco-phone Trust the QoS marking of Cisco IP Phone cisco-softphone Trust the QoS marking of Cisco IP SoftPhone trust Trust the DSCP/CoS marking Access-Switch(config-if)#auto qos voip cisco-phone Access-Switch(config-if)#exit ! interface FastEthernet1/0/21 srr-queue bandwidth share 10 10 60 20 srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phone mls qos trust cos auto qos voip cisco-phone end
  55. 55. Безопасность
  56. 56. Рекомендации—Безопасность Кампуса Будем говорить про …! Набор средств безопасности Catalyst! Dynamic port security, DHCP snooping, End-to-End Security Dynamic ARP inspection, IP source guard Вещи про которые вы знаете —мы Si Si Si Si Si Si рассматривать не будем… Используйте SSH вместо Telnet Включайте AAA и ролевой доступ (RADIUS/TACACS+) для CLI на всех устройствах Включайте SYSLOG на сервер. Сохраняйте и архивируйте логи. Si Si Используйте SNMPv3 Выключайте ненужные сервисы: No service tcp-small-servers No service udp-small-servers Используйте FTP или SFTP (SSH FTP) для Si Si Si Si управления имиджами ПО и Si Si конфигурационными файлами—избегайте TFTP Устанавливайте VTY access-lists Включайте механизмы защиты шины управления (EIGRP, OSPF, BGP, HSRP, VTP, etc.) WAN Internet Фильтруйте RFC2827
  57. 57. BPDU GuardПредотвращение петель через WLAN (Windows XP Bridging) Проблема: Точки доступа WLAN не STP Loop пересылают BPDUs Formed BPDU Guard Несколько машин Disables Port Windows XP могут создать петлю создать петлю в проводном VLAN через WLAN BPDU Generated Решение: На портах коммутаторов к которым подключены BPDU рабочие станции можно Win XP Discarded Win XP настроить BPDU Guard Bridging Bridging Enabled Enabled
  58. 58. Защита Уровня 2 от атак прослушивания Борьба с атаками основанных на манипуляциях с MAC-адресами 00:0e:00:aa:aa:aa Только 3 MAC 00:0e:00:bb:bb:bb адреса разрешены на250,000 MAC порту: Shutdown в секунду Проблема Решение:Средство Script Kiddie позволяет Port Security ограничивает кол-во MAC-атакующему переполнить CAM адресов на порту коммутатора,таблицу коммутатора; превратить блокирует порт и посылает SNMP trapVLAN в ХАБ и получать все switchport port-securityпакеты switchport port-security maximum 10Размер CAM таблицы switchport port-security violation restrict switchport port-security aging time 2коммутатора ограничен switchport port-security aging type inactivity
  59. 59. DHCP SnoopingЗащита от нелегитимных серверов DHCP 1 DHCP Server 1000 DHCP запросов на 2 сервер DHCP DHCP запросы (discover) и ответы (offer) отслеживаются Снижение скорости запросов на доверенных интерфейсах для защиты от DoS атак на DHCP сервер Запрет ответов (offers) с недоверенных интерфейсов; остановка подозрительных DHCP серверов
  60. 60. Защита Уровня 2 от атак прослушиванияЗащита ARP Dynamic ARP inspection защищает от атак и Gateway = 10.1.1.1 использованием ARP (ettercap, Si MAC=A dsnif, arpspoof) Использует таблицу DHCP snooping Отслеживает MAC и IP из Gratuitous ARP транзакций DHCP 10.1.1.50=MAC_B Ограничивает запросы ARP с Gratuitous ARP клиентских портов, 10.1.1.1=MAC_B останавливает сканирование портов Отбрасывает bogus gratuitous ARPs; блокирует ARP poisoning/MIM атаки Attacker = 10.1.1.25 Victim = 10.1.1.50 MAC=B MAC=C
  61. 61. IP Source GuardЗащита IP адресов от замены/подделки IP source guard защищает от подделки Gateway = 10.1.1.1 IP адресов MAC=A Si Используется таблица DHCP snooping Отслеживается ассоциация IP адреса и порта Динамически Hey, I’m 10.1.1.50 ! программируется ACL на порту для сброса трафика исходящего от IP адреса присвоенного не через DHCP Attacker = 10.1.1.25 Victim = 10.1.1.50
  62. 62. Интегрированные функции безопасностиCisco IOS обеспечивает ipdhcp snooping ipdhcp snooping vlan 2-10 IP Source Guard iparp inspection vlan 2-10 Dynamic ARP Inspection ! interface fa3/1 DHCP Snooping switchport port-security switchport port-security max 3 Port Security switchport port-security violation restrict  Port security предотвращает атаку switchport port-security aging time 2 MAC flooding switchport port-security aging type  DHCP snooping предотвращает inactivity клиентские атаки на коммутатор и ip arp inspection limit rate 100 сервер ip dhcp snooping limit rate 100  Dynamic ARP Inspection добавляет ip verify source vlan dhcp-snooping безопасности к ARP используя таблицу DHCP snooping !  IP source guard защищает Interface gigabit1/1 IP адрес источника от spoofing’а ipdhcp snooping trust используя таблицу DHCP snooping iparp inspection trust
  63. 63. Архитектура
  64. 64. Иерархический кампус Доступ Si Si Si Si Si Si Распре- деление Ядро Si Si Распре- Si Si Si Si Si Si деление Доступ WAN Data Center Internet
  65. 65. Соединения L3 на уровне распределенияДоступ Уровень 2— нет VLAN’ов распределѐнных по уровню доступа Балансировка нагрузки через отстроенный CEF Проверка настроек CatOS/IOS Si Si EtherChannel для балансировки Ядро Суммаризация маршрутов в сторону ядра Ограничение избыточных/резерв. Layer 3 IGP соединений Распре- Настройка STP Root и HSRP primary Si Si или GLBP для балансировки нагрузки на Point-to- деление uplink’ах Point Устанавливаем trunk mode on/no- Link negotiate Выключаем EtherChannel, если не используем На уровне доступа: Выключить trunking VLAN 20 Data VLAN 40 Data Доступ Выключить EtherChannel 10.1.20.0/24 10.1.40.0/24 Включить PortFast VLAN 120 Voice VLAN 140 Voice RootGuard или BPDU-Guard 10.1.120.0/24 10.1.140.0/24 Используем функции безопасности
  66. 66. Соединения L2 на уровне распределенияДоступ Уровень 2— часть VLAN’ов распределены по уровню доступа Балансировка нагрузки через отстроенный CEF Проверка настроек CatOS/IOS EtherChannel для балансировки Si Si Ядро Суммаризация маршрутов в сторону ядра Ограничение избыточных/резерв. Layer 2 IGP соединений Настройка STP Root и HSRP primary Распре- Si Si или GLBP и STP port cost для Trunk деление балансировки на uplink’ах Устанавливаем trunk mode on/no- negotiate Выключаем EtherChannel, если не используем RootGuard на downlink’ах LoopGuard на uplink’ах VLAN 20 Data VLAN 40 Data Доступ На уровне доступа: 10.1.20.0/24 10.1.40.0/24 Выключить trunking VLAN 120 Voice VLAN 140 Voice Выключить EtherChannel 10.1.120.0/24 10.1.140.0/24 Включить PortFast VLAN 250 WLAN RootGuard или BPDU-Guard 10.1.250.0/24 Используем функции безопасности
  67. 67. Маршрутизируемый доступ и VSS Развитие существующего дизайна Si Si Si Si Ядро VSS & vPC Распре- Si Layer 3 Si New Concept деление P-to-P Link VLAN 40 Data VLAN 20 Data Доступ VLAN 20 Data 10.1.20.0/24 VLAN 40 Data 10.1.20.0/24 10.1.40.0/24 10.1.40.0/24 VLAN 120 VoiceVLAN 120 Voice VLAN 140 Voice 10.1.120.0/24 VLAN 140 Voice 10.1.120.0/24 10.1.140.0/24 10.1.140.0/24 VLAN 250 WLAN 10.1.250.0/24
  68. 68. SmartPorts — готовая конфигурацияAccess-Switch#show parser macro brief default global : cisco-global default interface: cisco-desktop default interface: cisco-phone Si Si default interface: cisco-switch default interface: cisco-router default interface: cisco-wirelessAccess-Switch(config-if)#$ macro apply cisco-phone$access_vlan 100 $voice_vlan 10Access-Switch#show run int fa1/0/19 Si Si!interface FastEthernet1/0/19switchport access vlan 100switchport mode accessswitchport voice vlan 10switchport port-security maximum 2switchport port-securityswitchport port-security aging time 2switchport port-security violation restrictswitchport port-security aging type inactivitysrr-queue bandwidth share 10 10 60 20srr-queue bandwidth shape 10 0 0 0mls qos trust device cisco-phonemls qos trust cos macro description cisco-phone auto qosvoipcisco-phone spanning-tree portfast spanning-tree bpduguard enableend
  69. 69. ИТОГО  Иерархия—каждый уровень Offers hierarchy—each layer has specific role свою роль имеет Modular topology— Доступ  Модульность— building blocks строительные блоки Easy to grow, understand, and troubleshoot  Легко наращивать, Creates small fault domains— понимать, устранять Clear demarcations and isolation Si Si Si Si Si Si Распре- неисправности Promotes load balancing деление and redundancy  Создаѐм независимые Promotes deterministic traffic patterns чѐткие границы и домены— изоляция Incorporates balance of both Layer 2 and Layer 3 Layer 3 Layer 3  Обеспечиваем technology, leveraging Equal Cost Equal Cost Ядро the strength of both Si Si балансировку нагрузки и Links Links Utilizes Layer 3 routing отказоустойчивость for load balancing, fast convergence, scalability, andОпределѐнность пути для  control трафика Распре- Si Si Si Si  Использование баланса и Si Si деление преимуществ технологий уровня 2 и 3  Технологии маршрутизации Доступ для балансировки нагрузки, WAN Data Center Internet быстрой сходимости и масштабируемости
  70. 70. Полезные материалы—Design Zone High Availability Campus Design Guide High Availability Campus Convergence Analysis High Availability Campus Design Guide— Routed Access EIGRP and OSPF http://www.cisco.com/go/srnd
  71. 71. Вопросы и Ответы
  72. 72. Спасибо!Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!

×