Интеллектуальный уровень доступа как граница кампусной сети.

Интеллектуальный уровень
доступа как граница
кампусной сети
Виктор Платов, системный инженер-консультант

Что такое, интеллектуальный коммутатор
доступа?

vs.

Когда уровень доступа знает…
Интеллектуальный доступ– Новые требования

Защита
Мобильность Работа
окружающей Безопасность
приложений
конвергенция среды Голос/Видео
Безопасный доступ
проводного и при Потребность в более
беспроводного рост цен на тонком управлении Рост доли видео в
электроэнергию, экспоненциальном
доступа приложениями для трафике
общая росте числа
устройств, оптимальной
озабоченность производительности
уровнем выбросов подключаемых к
сети
Облегчить обслуживание, уменьшить сложность управления

Содержание
• Технологии обеспечения и управления питанием
PoE – 802.3af, 802.3at и UPOE
Energy Efficient Ethernet
PoE-Passthrough

• Сервисы определения типа устройств и QoS
CDP, LLDP, LLDP-PoE+
Dynamic Quality of Service

• Интеллектуальное обслуживание и мониторинг
Auto-SmartPorts и Smartinstall
Netflow / Flexible Netflow

Где мы сейчас
Современная модель подключения

 Для каких целей мы interface FastEthernet0/24
switchport access vlan 100
строим уровень доступа? switchport mode access Voice и Data VLAN-ы
switchport voice vlan 200
 Подключение устройств !
switchport port-security maximum 2
 Высокая доступность switchport port-security
switchport port-security aging time 2
Борьба с
L2 DoS
(spanning tree) switchport port-security violation restrict
switchport port-security aging type inactivity
!
 Внедрение VLAN-ов для srr-queue bandwidth share 10 10 60 20
изоляции трафика queue-set 2 QoS –
priority-queue out доверенный
(например голос и mls qos trust device cisco-phone трафик от
mls qos trust cos
данные) auto qosvoipcisco-phone
телефона
!
 Использование QoS для macro description cisco-phone Smartports
!
поддержки телефонии spanning-tree portfast
spanning-tree bpduguard enable Настройка Spanning Tree
 Безопасность (везде где !
service-policy input AutoQoS-Police-CiscoPhone QoS
можем)

Дизайн кампусной сети
Требуемые сервисы TelePresence
Видеконференции

Высокая доступность
- Время восстановления после отказа <1с
- Архитектура высокой доступности NSF/SSO, VSS и т.д.

Оптимизация задержки и полосы пропускания
- гигабитный доступ
- 10GigE распределение/ядро Живые
- IP multicast трансляции
и VOD

Конфиденциальность Si Si

- Аутентификация оконечных устройств и пользователей
(например, 802.1x)
- Соответствие политик безопасности с защитой
передаваемых данных, такие как шифрование
(например, Cisco TrustSec) Si Si

Цифровые
вывески
Виртуализация сетевых сервисов
-VRF-Lite (или др.) изоляция пути трафика для
сегрегации особых видео приложений
Наблюдение Si Si

Работа приложений реального времени
- Политики обслуживания QoS для управления уровнем
сервиса
- Защита уровня доступа

Меняющиеся сетевые сервисы
Динамическая инициализация коммутаторов и
подключаемых устройств
Оптимальный выбор PoE: 802.3af, 802.3at,
802.3az, CDP, LLDP, LLDP-MED

Si

Динамические политики безопасности и
QoS: CDP, LLDP-MED, 802.1x

• Подключение оконечных устройств методом Plug and play
(телефоны, UC приложения и точки доступа) необходимо для
снижения операционных затрат
– Согласование питания
Взаимоотношения оконечного
– Настройка VLAN
устройства и сети меняются. Нам
– Аутентификация 802.1x необходим интеллект на границе
– Настройка QoS сети для соответствия этим
– Настройка безопасности изменяющимся требованиям

Зачем PoE на уровне доступа
• Простота развертывания
– Один кабель для данных и питания Резервный Розетка
• Централизованное управление питанием UPS
– EnergyWise, Energy Efficient Ethernet
• Высокая доступность
– Централизованное резервирование, непрерывная работа
– Отказоустойчивость питания встроена в большинство сетевых
архитектур
– Резервный источник питания UPS используется в большинстве
кампусов сетей предприятий
• Минимизация затрат на обслуживание

 Эффективность питания
«Большой» блок питания эффективнее индивидуальных БП
Кривая эффективности оптимизирована для среднего значения
Дешевые и утилизации
неэффективные блоки
питания «Большой» блок питания дешевле по сравнению с индивидуальными
БП на каждое устройство

Power Over Ethernet
Cisco Pre-Standard и 802.3af-2003

• Устройства с поддержкой Cisco pre-standard могли получать
6.3Вт сразу, а затем просить больше по CDP

• IEEE 802.3af ратифицирован в 2003 году

• Параметры
–Тип кабеля: Cat3 и Cat5/5e/6
–Величина тока: 350мA
–Напряжение: на питающем устройстве (PSE) 44-57В постоянного тока
–Максимальная выходная мощность: PSE 15.40Вт
–Максимальная входная мощность: PD(на питаемом устройстве) 12.95Вт
–Поддерживаемые режимы: Режим A (дата-пары), Режим B (свободные пары)

•Согласование мощности является ‘опциональным’ для 802.3af
устройств

Эволюция сервисов физического уровня
Почему нам нужен 802.3at (PoE+)
 Требования оконечных устройств к питанию растут
 Охрана окружающей среды
 Необходимость в точном согласовании питания и увеличении его
мощности
15.4 Ватт достаточно для Но некоторым современным
большинства PD устройств устройствам требуется больше
сегодня мощности!

ТД-1200 IP телефон ТД – 1250 IP телефон IP Видеофон с тач-скрином
802.11b/g 7970G 10.25 Вт 802.11n 9971 28.8 Вт
6.2 Вт 20 Вт

0 Ватт 15.4 Ватт 30 Ватт

Диапазон питания IEEE 802.3af Диапазон питания IEEE 802.3at

Class 1 Class 2 Class 0 / 3 Тонкие клиенты
4 Ватта 7 Ватт 15.4 Ватт

Power Over Ethernet
IEEE 802.3at (PoE+)
• IEEE 802.3at ратифицирован в сентябре 2009
• Параметры
–Тип кабеля: Cat5e или лучше
–Величина тока: 600мA при температуре кабеля 50C или ниже
–Напряжение: PSE от 50В до 57В
–Максимальная выходная мощность: PSE 30Вт
–Минимальная входная мощность: PD 25.5Вт
–Поддерживаемые режимы: Режим A (дата-пары) или Режим B (свободные пары)

30Вт

Не используются
для PoE

• Source: http://www.ieee802.org/3/at/

Power over Ethernet
Определение, классификация и подача питания
PD подключено

Коммутатор детектирует IEEE PD

PD классифицировано

Si Питание подается

1. Это IEEE PD
2. PD классифицировано
3. Питание подается

Класс Минимальные уровни Максимальные уровни
Использование класса Описание класса
мощности на PSE мощности на PD
Классификация не
0 по умолчанию 15.4Вт 0.44 – 12.95Вт
реализована

1 опционально 4.0Вт 0.44 – 3.84Вт Very Low Power

2 опционально 7.0Вт 3.84 – 6.49Вт Low Power

3 опционально 15.4Вт 6.49 – 12.95Вт Mid Power

4 Зарезервирован в 802.3af Трактуется как Class 0

4 802.3at 30W 12.95W – 25.5Вт High Power

Universal PoE (UPoE)
Использование 4 пар одновременно
30Вт
60Вт

30Вт

 Не нарушает спецификаций безопасности стандартов кабельных сетей
 По сути представляет собой два независимых PoE+ соединений
 Параметры
Тип кабеля: Cat5e или выше
Величина тока: 600мA при температуре кабеля 50C или ниже
Напряжение: PSE от 50В до 57В
Максимальная выходная мощность (с двух пар): PSE 30Вт
Максимальная входная мощность: PD 51Вт
Режим: одновременно режим A (дата-пары) и режим B (свободные пары)

Universal PoE (UPOE)
Применение
 Приложения, которые требуют высокой доступности, например
звонки 911
 Минимизация кабельной инфраструктуры на рабочем месте
 Легкость установки и обслуживания 7Вт
PD компактный коммутатор
60Вт

Si
15Вт

Desktop Virtualization
VDI Клиенты
VDI Мониторы
IP телефоны с видео
Контроль физического доступа
Controller
Нетбуки

Примеры применения UPoE
VDI клиенты
• Клиенты потребляют меньше мощности. «Тонкие» клиенты требуют
меньше питания, чем «толстые»
• Пригодны для динамического изменения питания

Wyse Cisco Cisco Integrated Repurposed
ThinClient Standalone Integrated Display PC

0 15 Вт 20 Вт 25 Вт 48 Вт 60 Вт 80 Вт 90
Вт Universal PoE Вт

Продукты, поддерживающие PoE

Продукты 802.3af (15Вт) EPoE (20Вт) 802.3at (30Вт) UPOE (60Вт)

Catalyst 2960 Да Нет Нет Нет

Catalyst 2960S Да Yes Да Нет

Catalyst
Да Yes Нет Нет
3560E/3750E

Catalyst
Да Yes Да Нет
3560X/3750X

Catalyst 4500 Да 4648-RJ45V+E 4748-RJ45V+E 4748-UPOE+E

6148-GE-AF
Catalyst 6500 Да 6148E-GE-45AT Нет
6548-GE-AF

Почему Energy Efficient Ethernet?
График зависимости утилизации от времени для файл-сервера с 1GE
интерфейсом

PHYs передает
пустые пакеты
когда передавать
нечего

Меняющийся подход к энергопотреблению
802.3az: Energy Efficient Ethernet (EEE)
 IEEE 802.3az – основные вехи End Point
Application Switch
Голосование рабочей группы – июль 2009
OS OS
Голосование спонсоров – март 2010 Controller SW Controller SW

Стандарт – Ноябрь 2010 Controller Controller

MAC MAC
 Выключение PHYs при отсутствии Energy Efficient Ethernet
PHY EEE PHY
передаваемых данных
 Во время паузы сохранять Current PHY idle PHY active power
power
параметры, требуемые для
быстрого возврата в активное
состояние

PHY power
 Ассиметричный режим работы
• Передающая и принимающая схемы
работают независимо

802.3az EEE PHY idle power

Режимы работы и сигнализация MDI
Время сна: ~5us Время «просыпания»:
~15us

Термин Описание
Состояние Active Существующее состояние, использующееся при передаче, когда
передаются либо пакет, либо нулевые символы
Состояние Low Power Новое состояние, используемое в периоды отсутствия передаваемых
данных.

Термин Описание
Sleep Сигнал для информирования партнера по линку о переходе в состояние
Low Power
Quiet Сигналы не передаются
Refresh Периодические сигналы, нужные для поддержания синхронизации во время
нахождения в состоянии low power
Wake Сигнал для информирования партнера по линку о переходе в состояние
Active

Линейная карта с поддержкой UPoE и EEE

• 60Вт PoE с максимальным
бюджетом карты в 1500Вт
• Расширения LLDP согласования
питания больше 30Вт
• Совместима сIEEE 802.3az для:
100/1000 Base-T
WS-X4748-UPOE-RJ45V+E • Потребление питания зависит от
утилизации каналов

 Отключение питания передатчика при
отсутствии передаваемой информации
 Во время power-down, сохраняет Потребление питания порта 1Гбит/с
коэффициенты и синхронизацию для без EEE EEE
быстрого возврата в активное состояние 1.0 Вт 0.47W
 Ассиметричный режим работы
• Передающие и принимающие схемы
работают независимо

Cisco Catalyst Compact Switches
Новое PD / PSE устройство

Нет блока питания
Нет вентилятора
Не нужно охлаждение

4500-E
2960-C
3560-C

3750-X

Catalyst 2960/3560-C – PoE+ Powered, Pass-Through PoE

• Уменьшение требований к инфраструктуре и питанию
• PoE/PoE+ (вход и выход) упрощает подачу питания
• Тихий, cool, компактный дизайн, идеален для обитаемых мест

POE Powered & POE Pass Through
Применимо к С2960CPD-8PT-L и C3560CPD-8PT-S
• Коммутатор питается от медных гигабитных аплинк портов
– Компактный коммутатор функционирует как powered device (PD)
• Избыток POE передается на порты доступа
– Компактный коммутатор функционирует как Power supply Equipment (PSE)

Питание компактного коммутатора
и IP телефона через одно POE+
аплинк соединение.
Питающийся по POE и передающий
POE на свои порты доступа
компактный коммутатор
питается от 3750X POE+
коммутатора, который также
обеспечивает питанием и
телефон

Бюджет PoE для подключаемых устройств
Питание PassThrough для Catalyst 2960CPD-8PT-L

Модель коммутатора Опции Доступная мощность PoE (Вт)
1 PoE аплинк 0Вт
2 PoE аплинка 7Вт
1 PoE+ аплинк 7Вт
WS-C2960CPD-8PT-L
1 PoE+ и 1 PoE аплинк 15.4Вт
2 PoE+ аплинка 22.4Вт
Auxiliary вход 22.4Вт
1 PoE+ 0Вт
WS-C3560CPD-8PT-S 2 PoE+ 15.4Вт
Auxiliary вход 15.4Вт

Данные приведены для CAT5 или лучше
Планируется поддержка Universal PoE

Согласование сетевых сервисов
CDP – Cisco Discovery Protocol
Cisco Discovery Protocol – это протокол второго уровня, позволяющий
смежным устройствам узнавать о характеристиках друг друга

Discovery Exchange CDP
IP адрес
Тип устройства
Версия ПО
CDP
Идентификатор устройства
Native VLAN
VTP Domain Name CDP
Номер порта CDP
Возможности
Согласование питания

CDP сообщения отсылаются периодически (по умолчанию каждые 60 секунд)
Каждый коммутатор строит свою собственную CDP state table - отсылаемое CDP
сообщение содержит значение TTL, которое сообщает принимаемой стороне о
том, как долго хранить информацию CDP
C4507R-E#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID Local Intrfce Holdtme Capability Platform Port ID
C4510R-E TenGig 1/1 161 R S WS-C4510R TenGig 1/1
IP Phone 7961 Gig 1/1 159 P CP-7961G Fas 0/1

LLDP, LLDP-MED

 LLDP (802.1AB) - IEEE-SA Standards Board approved March 2005
 LLDP-MED (TR 41.4) – Дополняет стандарты TIA в области
обнаружения конечных устройств (особенно оконечных устройств
Unified Communications)
 Порты, инициализированные как LLDP могут перейти к работе с
LLDP-MED после получения LLDP-MED Capabilities TLV

LLDP LLDP-MED

Si LLDP Si LLDP-MED

Chassis Port 0 or more End of
ID Port
ID TTL
TTL Optional TLVs LLDPDU
TLV ID
TLV TLV
TLV TLV
LLDP PDU

TLV Type TLV Information System Description
000 0110 String Length

LLDP, LLDP-MED
 LLDP выключен по умолчанию, вы должны указать, какие опциональные
TLV будут отсылаться
 LLDP и CDP могут сосуществовать на одном интерфейсе
 Поддержка LLDP, LLDP-MED
Catalyst 6500 – 12.2(33)SXH
Catalyst 4500 and 4900 – 12.2(44)SG
Catalyst 3750, 3560, 2970, 2960 - 12.2(37)SE*

cr32-4500-1(config)#lldp run Enable LLDP Globally
cr32-4500-1(config)#lldp tlv-select ? Configure Optional Global TLV’s
mac-phy-cfg IEEE 802.3 MAC/Phy Configuration/status TLV
management-address Management Address TLV
port-description Port Description TLV
port-vlan Port VLAN ID TLV
system-capabilities System Capabilities TLV
system-description System Description TLV
system-name System Name TLV

cr32-4500-1(config-if)#lldp med-tlv-select ? Configure Optional Interface TLV’s
inventory-management LLDP MED Inventory Management TLV
location LLDP MED Location TLV
network-policy LLDP MED Network Policy TLV
power-management LLDP MED Power Management TLV

* Поддержка Protocol Media Extension (3750, 3560, 2960) - 12.2(40)SE

Согласование UPOE Power
Пример: эволюция возможностей LLDP-MED

PD Plugged in
Switch detects IEEE PD
UPOE
PD is classified Device
Power is Applied on signal pair

Power is applied on Signal Pair
L2 advertisment of 4-pair capability
L2 advertisment of 4-pair capability

4-pair capability mutual identified
Si
L2 request for spare pair power on
PSE spare pair operational

Spare pair power on
PD request 30W+ power

PSE allocates 30W+ power

UPOE power negotiation done

• Поддерживается с CDP и LLDP-PoE+ из IEEE 802.3at

Почему нам нужно QoS?
Перегрузка передающей очереди
1Гбит/с линк В очереди 100Мбит/с линк

Коммутатор распределения Коммутатор доступа
Медленному интерфейсу требуется больше времени для передачи
Пакеты прибывают в очередь быстрее, чем отсылаются
Пакеты ждут в очереди момента своей отправки
Внедрение серверов с гигабитным или 10 гигабитным интерфейсом
отодвигает перегрузку на границу сети
QoS отбрасывает низкоприоритетные пакеты
«Сгусток» трафика на Буферизация на 1Гбит/с интерфейсе
10Гбит/с интерфейсе Нужно больше времени на передачу
3 2 1
3 5 2 4 1 3 2 1
5 4 3 2 1
Толстая 10Гбит/с «труба» Более узкие 1 Гбит/с
с входящими пакетами «трубы» с передаваемыми пакетами
Выходной
буфер

Дизайн QoS кампуса
Стратегические принципы дизайна QoS

• Всегда осуществляйте QoS на аппаратной части
вместо программной когда есть выбор
• Классифицируйте и маркируйте приложения так
близко к источникам, как это технически и
административно возможно
• Применяйте полисинг к ненужным потокам трафика
так близко к их источникам, как возможно
• Включайте политики постановки в очередь на каждом
узле, где потенциально существует возможность
перегрузки
• Защищайте control plane и data plane

Enterprise QoS Solution Reference Network Design Guide
http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND/QoS-SRND-Book.html

Голосовые QoS параметры работают по-
разному на Cisco и не Cisco телефонах
Интеллектуальный голосовой QoS

 Основанный на CDP,  Основанный на LLDP
доверенный, автоматический
Возможности LLDP-MED для работы с IP
Голосовой трафик, “теггируется Vlan ID”, L2 COS 5 телефоном
Трафик данных “untagged” использует DSCP на
порту коммутатора Функция ‘network-policy’

Установка L2 COS и L3 DSCP по-отдельности

Интеллектуальный голосовой QoS
Граница доверия с CDP
 Доверять или не доверять? – вот в чем вопрос
 Используйте границу доверия для предотвращения неправильного
использования меток COS/DSCP
 При auto-qos настройке коммутатор не будет доверять портам доступа,
переписывая все CoS/DSCP метки на сконфигурированные значения
 Когда коммутатор и телефон обмениваются CDP сообщениями,
граница доверия переносится на IP телефон
 Телефон переписывает CoS в трафике PC на ‘0’, коммутатор
переписывает DSCP
Граница доверия
Voice VLAN Traffic
is Trusted

Voice and Video traffic on the Data VLAN Traffic
Data VLAN Traffic untrusted marked CoS 0

Настройка голосового QoS для сторонних IP
телефонов
LLDP–MED Network Policy TLV
• Network Policy Discovery TLV позволяет как сетевым, так и оконечным
устройствам анонсировать свою VLAN конфигурацию, а также
связанные L2 и L3 атрибуты, которые применяются к набору
определенных приложений на порту
• Application Type: описывает приложения, которые должны
использовать данную сетевую политику (Голос, Control / Signaling, …)
• VLAN ID: VLAN, используемый для передачи данного приложения
• L2 Priority: значение CoS, используемое для данного приложения
• DSCP Value: значение Diffserv используемое для данного приложения
(64 значения)

Эволюция дизайна кампусного QoS
Бизнес- и технические драйверы

64% общения не является
вербальным1

Одна треть коры головного
мозга выделена для зрения2

• Новые приложения и требования бизнеса
– Бурный рост видео приложений
– Распространение HD
– Размывание границ Голосовых/Видео/Дата приложений
• Новые стандарты и RFC
– RFC 4594
• Новые платформы и технологии
– Новые коммутаторы, Супервизоры, Линейные карты, фичи, синтаксис
: 1Kandola, Pearn “The Psychology of Effective Business Communications in Geographically Dispersed Teams”, Cisco Systems, September 2006
2Vision Group Research, FMRIB, University of Oxford, UK

Требования новых приложений
Устойчивость HD приложений
1920 линий вертикального разрешения (соотношение сторон 16:9)
1080 линий горизонтального разрешения

1080 x 1920 линий =

2,073,600 пикселей на кадр

x 3 цвета на пиксель

x 1 Байт (8 бит) на цвет

x 30 кадров в секунду

= 1,492,992,000 бит/с

или 1.5 Гбит/с несжатый поток

Cisco H.264-based HD кодеки передают 3-5Мбит/с на каждый 1080p поток
что соответствует сжатию более 99.67% (300:1)
Следовательно стоимость потери пакета пропорционально возрастает
Пользователи могут заметить потерю одного пакета из 10,000 — HD видео
в сто раз более чувствительно к потерям пакетов, чем VoIP!

Меняющиеся требования бизнеса
Требования бизнеса будут меняться и все время возрастать
4-классовая модель 8-классовая модель 12-классовая модель
Voice Voice
Realtime Interactive
Interactive Video
Realtime Multimedia Conferencing
Broadcast Video
Streaming Video
Multimedia Streaming
Signaling / Control Call Signaling Call Signaling

Network Control Network Control
Network Management
Critical Data
Critical Data Transactional Data
Bulk Data
Best Effort Best Effort
Best Effort
Scavenger Scavenger

Enterprise Medianet Quality of Service Design 4.0
http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND_40/QoSIntro_40.html#wp61135

Автоматизированный голосовой QoS (AutoQoS)
Почему AutoQOS

WAN

Voice Gateways
Callmanager Unity Voice
Applications

• AutoQoS
–Автоматически настраивает сеть для корректной передачи VoIP
• Выгоды
–Уменьшает время разворачивания end-to-end QoS в кампусе и WAN
–Уменьшает ошибки человека и конфигурирования

Auto QoS VoIP – делает это легче
Настраивает QoS для VoIP на коммутаторах кампуса
Варианты:
auto qos voip cisco-phone
auto qos voip cisco-softphone
auto qos voip trust

Access-Switch(config-if)#auto qos voip ?
cisco-phone Trust the QoS marking of Cisco IP Phone
cisco-softphone Trust the QoS marking of Cisco IP SoftPhone
trust Trust the DSCP/CoS marking

Access-Switch(config-if)#auto qos voip cisco-phone
Access-Switch(config-if)#exit

!
interface FastEthernet1/0/21
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
mls qos trust device cisco-phone
mls qos trust cos
auto qos voip cisco-phone
end

Auto QOS для Media
• Auto QOS теперь не только для голоса

• Новый Auto QOS video
Classify Classify packets from untrusted
device
Trust Trust the QoS marking of the device
connected
Video Configure AutoQoS for video device
Voip Configure AutoQoS for VoIP
• Разработан из-за быстрого распространения видео приложений
в кампусных сетях
• Новый AutoQoS функционал доступен со второй половины 2010

Интеллектуальное управление
IP SLA Video – встроенный генератор трафика

Si

коммутатор D

маршрутизатор C маршрутизатор B Si

коммутатор A
 IPSLA известно индустрии как набор зондов для измерения jitter, ICMP, и т.д.
 Большинство зондов измеряют параметры без влияния на пользовательский
трафик (хотелось бы верить)
 Нужен трафик для стрессового тестирования сети
 IPSLA VO предоставляет
 Реалистичное представление случайного видео (RTP) трафика
 Размеры пакетов, изменчивость, интенсивность трафика и т.д.
 Преднастроенные профили: IPTV, Video Surv, CTS, клиентский профиль
на основе анализа пакетного дампа

Smart Operations – Что это такое?
Обзор и преимущества

• Новые коммутаторы- автоматическая загрузка образа ПО
и конфигурационного файла
• Упрощает обслуживание
Smart
Install • Развертывание и замена коммутатора без усилий
• Уменьшает время простоя сети и надобность в техническом
персонале

• Централизованное управление ПО и конфигурацией
• Одна точка управления

• Plug and Play для нового устройства

Auto • End-points – динамическая конфигурация, основанная на
типе подключаемого устройства
Smart
Ports • Рекомендованная Cisco конфигурация интерфейса для
каждого типа устройства

Интеллектуальное сопровождение
AutoSmartPorts

 Встроенный в коммутатор интеллект
для настройки интерфейса на основе
идентификации устройства
 Автоматическая & рекомендуемая
Cisco настройка порта Plug and Play
для оконечного устройства
 Поддерживаемые устройства:
Коммутаторы
Маршрутизаторы
Точки беспроводного доступа
Digital Media Player
IP-телефоны
IP-камеры

Auto Smartports
Режимы работы

Пользователь включает устройство
Device Macro
применен
Device UP
trigger detected

Device
DOWN detected
Device Anti-
Macro applied

Trigger - Событие которое определяет присутствие
или отключение устройства от сети ( link up )
Macro - Набор конфигурационных команд,
вызываемых как одно целое
Anti- macro : Набор конфигурационных шагов,
которые применяются к порту, когда устройство
отключается

Auto Smartports
Рекомендации
 Auto smartports могут быть включены
глобально или на интерфейсе
LWAPP AP
 По умолчанию auto smartports используют CDP macro
в качестве метода идентификации устройства
 Если 802.1x включено, тогда макрос
управляется 802.1x
PC/Phone Switch port
 802.1x позволяет откат к CDP macro macro

 Определите, какие порты будут управляться
ASP
 Поддерживается в:
12.2(55)SE – 2960, 3560, 3750
12.2(54)SG - 4500
Автоматическая настройка
порта доступа при
подключении устройства

Введение в Smart Install
• Сеть, использующая Smart Install,
включает группу сетевых устройств, Smart Install Topology
называемых клиентами, которые DHCP
обслуживаются общим L3 коммутатором DIRECTOR Server

или маршрутизатором, который работает
как директор. Директор обеспечивает
TFTP
единую точку управления образами ПО и Server
конфигурационными файлами клиентских
коммутаторов Smart Install Clients

• Как это работает:
Директор перехватывает dhcp
Smart Install Topology
запросы клиентских устройств. DHCP
DIRECTOR Server

Информация используемая для
определения образа ПО и TFTP
конфигурационного файла, которые Server
должны быть загружены:
PID
Smart Install Clients
MAC
STACK
Connectivity

Почему использовать SmartInstall?

Легкость Легкость
Экономия
развертывания управления
•Минимальная и •Единая точка управления •Встроенное в ПО
одноразовая решение
конфигурация •Минимальное
вмешательство •Требуются минимальные
•Zero touch пользователя технические знания

•Упрощение замены •Кастомизация
коммутатора
•Апгрейд образов ПО и
•Меньше времени на конфигурационных
добавление коммутатора файлов по расписанию
в сеть
•Круглосуточное
резервное копирование
конфигурационных
файлов

Smart Install Network
Компоненты
 Director - настраивает клиентов, предоставляя функционал plug and
play
 Client - получает файлы ПО и конфигурации от Director-а
 Groups - Классификация клиентских коммутаторов, основанная на
их модели и других параметрах для лучшего управления
 DHCP и TFTP сервер – выдает IP адреса, образы и
конфигурационные файлы клиентским коммутаторам

Центральный TFTP, DHCP Server

Director

Клиентские коммутаторы

Группа клиентов 1 Группа клиентов 2
2960

Настройка нового коммутатора с помощью
Smart Install
1. Новый коммутатор подключен
2. Запрос DHCP
3. Перехват DHCP запроса
Рекомендации по выбору директора
4. Коммутатор определен в группу 3 • Объем flash памяти (используемой
5. Присвоение Hostname/IP и свободной) должен быть
достаточно большим для клиентов
6. Загрузка конфигурации и образа • Также на данном Flash содержится
ПО конфигурация Director-а и его
образ ПО
• Размер образов IOS варьируется в
Director зависимости от типа клиента.
Размер Flash памяти ограничен
• Если в сети используется больше
Group-2 Group-3 одного product ID, рекомендуется
использовать более одного TFTP
сервера

Group-4
Client
Switches

Поддерживаемые аппаратные платформы
Director Switches:
 3750, 3750v2, 3750E, 3560, 3560v2, 3560E - Software version : 12.2.(55)SE
& above
 3750X, 3560X - Software version : 12.2.(55)SE2 & above
 Catalyst 4k series – Will support SmartInstall Director functionality in the
future
Recommended version for switches : 12.2.(55)SE3 because of enhancements

Director Routers:
 G1: 1841, 2801, 2811, 2821, 2851, 3825, 3845
 G2: 1921, 1941, 2901, 2911, 2921, 2951, 3925, 3945, 3925E, 3945E, NM-16-
ESW
 Minimum Software version : 15.1.(3)T

Client Switches

 3k – 3750, 3750E, 3750X, 3560, 3560E, 3560X, 3560C
 2k – 2960, 2960C, 2960S, 2975, 2960G.
 NME-16ES-1G-P, SM-ES3SM-ES2-16-P
 Special Cases: 3560v2, 3750v2, Industrial Ethernet series switches (custom
groups)

Что такое NetFlow ?
• Разработана и запатентована Cisco®
Systems в 1996
• NetFlow – стандарт де-факто для
получения данных о работе IP
• Испоьзуется для мониторинга
работы сетей и информационной
безопасности, планирования сетей,
анализа трафика и IP аккаунтинга
• NetFlow v9 (RFC3954) является
базой для стандарта IETF IPFIX
(RFC5101 & RFC5102)

Планирование сервисов
Flexible NetFlow (FNF)

• Традиционный NetFlow с v5, v7 или v8 NetFlow экспорт

• NetFlow Version 9 (RFC3954)
Преимущества: расширяемость
Быстрая интеграция новых технологий/типов данных
(MPLS, IPv6, BGP next hop и т.д.) Экспорт
Быстрая интеграция новых агрегаций
База для IETF IPFIX стандарта (RFC5101 & RFC5102)

• Flexible NetFlow
Преимущества: гибкое кэширование и экспорт
Выбранные пользователем flow keys Измерение
Определенные пользователем записи

Сравнение традиционного NetFlow и Flexible
NetFlow
Fixed definition of flow record
globally Export only to one collector
Традиционный
NetFlow NetFlow Cache
SrcIf SrcIPadd DstIf DstIPadd Protocol SrcPort DstPort
Fa1/0 173.100.21.2
Fa0/0 10.0.227.12
11 00A2 00A2 Export
Фиксированные Fa1/0 173.100.3.2
Fa0/0 10.0.227.12
6 15 15
7 ключей Fa1/0 173.100.20.2
Fa0/0 10.0.227.12
11 00A1 00A1
Fa1/0 173.100.6.2
Fa0/0 10.0.227.12
6 19 19

Flexible NetFlow Flow cache 1
DstIPadd Protocol TOS
10.0.227.12 11 80
Flow Monitor 1 10.0.227.12
10.0.227.12
6
11
40
80
Export Destination 1
IT team#1
10.0.227.12 6 40
Flow cache 2
Protocol TOS Flgs
11 80 10
Export
Flow Monitor 2 6 40 0 Destination 2 Security
11 80 10 focused
6 40 0 analyzer
Flow cache 3
SrcIf SrcIPadd DstIf
Fa1/0 173.100.21.2 Fa0/0
Flow Monitor 3 Fa1/0 173.100.3.2 Fa0/0 Destination 3
Export IT team#2
Fa1/0 173.100.20.2 Fa0/0
Fa1/0 173.100.6.2 Fa0/0

Flexible definition of flow records applied to Ability to export flow information to multiple
selected interface or VLAN collectors/analyzers

Flexible NetFlow (FNF)
Примеры использования

Мониторинг • Определение сетевых аномалий –
безопасности идентификация и и расследование инцидентов
• Захват пакетов
устранение сетевых атак

• Приемлемое использование сети

• Разработка схем биллинга, основанных на
Статистика переданном трафике данных, видео и голоса на
каждом порту.
использования/ • Выставление счетов на основе использования порта
биллинг •Применение политик для ограничения
использования

• Поиск наиболее «говорливых» хостов в LAN
Планирование • Поиск трендов трафика за временные
промежутки
емкости • Определение типов приложений в различных
частях сети

Статистика использования и биллинг на
уровне доступа

• Коммутаторы доступа знают о
местоположении конечных
устройств, что полезно для точного
биллинга
– FNF на коммутаторах доступа
может измерять трафик
входящий в и выходящий из
сети
– Постоянный мониторинг
To the Core
позволяет получать статистику
• FNF в паре с идентификатором
Service Modules export usage
пользователя (802.1x/web- information to the FNF
collector for billing decisions
auth/MAB) позволяет точно
сопоставить пользователя и
использованные им ресурсы

Планирование емкости на уровне доступа

• Шаг 1: Понять параметры трафика
Тип трафика – HTTP, SMTP, Voice
и т.д.
Времена пиков трафика
Потребление трафика по
местоположению и времени
• Шаг 2: Внедрение политик для
предотвращения перегрузок путем
фильтрации/полисинга трафика
Временные политики – против
пиков трафика
Политики, основанные на
местоположении– разрешить или
запретить доступ для
определенных типов трафика

Автоматизация с помощью Flexible NetFlow
и EEM
Embedded Event Manager
Пример I: Обнаружение и оповещение о пакетах неправильной
формы TTL = 0 triggers an EEM event
Attacker sending
malformed pkts with NetFlow cache
TTL=0
srcIf SrcIPadd DstIf DstIPadd TTL *MAR 29 2010 12:29:02.604 UTC:
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 0 %HA_EM-6-LOG: my-ttl-applet: flow
record with zero TTL
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 10

Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 200

syslog message generated
based on pre-configured
policies

Пример II : Обнаружение и устранение аномального
потока
NetFlow ED triggers policies to monitor flow rate.
Compromised Typically, voice conversations are 64kbps
phone sending
traffic with high rate
NetFlow cache
srcIf SrcIPadd DstIf DstIPadd bytes *Feb 18 01:24:30.455: %LINK-5-
CHANGED: Interface FastEthernet
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 34346
1/0, changed state to
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 300 administratively down
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 1000 interface Fa1/0 is shut down when
the flow rate exceeds
1Mbps

Платформы, поддерживающие Flexible Netflow

NEW

SUPERVISOR ENGINE 7-E SUPERVISOR ENGINE 7L-E

• Optimized for Large Campus • Optimized for Small/Mid Size Campus
• 848 Gbps Switching Capacity • 520 Gbps (48G/slot)
• 250 MPPS, 256K Routes • 225 MPPS, 64K Routes
• Flexible Netflow • Flexible Netflow
• Wireshark Services • Wireshark Services
• TrustSec, VSS*

Новый модуль: 3KX-SM-10G
 Сервисный модуль для Catalyst 3750X и 3560X
 Делает Flexible Netflow на аппаратуре
 Line rate – 40Гбит/с
 Поддерживает Netflow version 9
 Доступен в IP Base и выше
 Может выполнять Switch-to-Switch MACSec (802.1ae)
* Roadmap

Традиционный NetFlow и Flexible Netflow
Полная поддержка в продуктах

Enterprise & aggregation/edge Ядро
Release
Cisco IOS Software Release 12.2S
FNF 12.0S/IOS-XR
TNF TNF TNF FNF FNF
TNF
FNF

TNF FNF
TNF FNF
Cisco 12000 ASR9000
Catalyst 6K
Cisco Catalyst 6K Series CRS-1
Cisco 4500 Cisco 4500 Sup2T
< Sup2T ASIC ASIC
Cisco 7x00 ASR1000 Sup7 <= Sup5 7600 Series
Series QFP based
NO FNF support Hardware limitation

Доступ ЦОД
FNF
Cisco IOS Software Releases FNF
TNF FNF TNF FNF
TNF FNF FNF
TNF FNF Catalyst 4500
TNF FNF Sup7E FNF
TNF FNF FNF Cat 6K
Cisco 2800 Cisco 3800 Cisco 7200/ ASR1000 Sup2T
Cisco 18002900 7300 Series QFP based
3900 Nexus 7000
Cisco 8001900 Series Series Catalyst 3750X
Series Series (req. аплинк Module) Nexus 1000V

Спасибо!

Заполняйте анкеты он-лайн и получайте подарки в
Cisco Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!

Интеллектуальный уровень доступа как граница кампусной сети.

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (18)

Similar to Интеллектуальный уровень доступа как граница кампусной сети.

Similar to Интеллектуальный уровень доступа как граница кампусной сети. (20)

More from Cisco Russia

More from Cisco Russia (20)

Интеллектуальный уровень доступа как граница кампусной сети.