2. Знакомьтесь –это Марк!
Сертифицированный
инженер
–ответственный за проектирование, развертывание и эксплуатациюсети
Работает в компании SomeTelecom
2
3. У него есть задание на неделю:
Core
Metro Ethernet Cloud
Core
Установить 50узлов Carrier-Ethernet сети
Расширить сеть
Mobile-Backhaul
Со следующими ограничениями:
Время: 1 неделя
Экономия денег
CAP-EX
OP-EX
3
4. Развертывание сети: Традиционный подход
Заказ
Предварительная настройка
Доставка
Погрузка-разгрузка
Исправление ошибок доставки
Активация сервисов
Настройка оборудования
4
5. Вопросы для размышления
Какие шаги я
могу исключить
из процесса
?
Может лиZero- touch Solutions помочь мне?
А преднастройка оборудования действительно нужна?
Без преднастройки как я обеспечу безопасность?
Как управлять оборудованием после инсталляции? –может подумать про SDN?
Как в случаях ошибки в доставке исключить перевозку оборудования?
5
6. Далее: Zero-Touch Solutions
Auto
Install
Начальный загрузочныйconfigчтобы достичь
Provisioning Server
ProvisioningServer
Device Authentication + Config /Image Download
DHCP, DNS, TFTP servers
Отлично подходит для Enterprise, но для Service Provider все несколько сложнее
L2-доступилипреднастрока адреса сервера конфигураций
7
7. Недостатки Zero-Touch для Service Providerсети
•
Дорого: DHCP/DNS сервер на каждый узел доступа
•
Обязательно наличие загрузочного конфига : Чужая Metro-Ethernet сеть будет препятствовать автоматическому обнаружению
•
Забота о безопасности: Чужое устройство получит доступ до идентификации
Центральный сервер системы провиженинга
Чужая Metro Ethernet сеть
Агрегация
Кто идентифицирует чужое устройство?
New Device
Как я могу достать центральный сервер?
Security
Discovery
Требования:
безсерверов или преднастроек
8
8. Решение проблем
Security
Discovery
безсерверов и преднастроек
Zero-Touch Deployment Solutions
Преднастройка
Экономия
9
9. Требования:
К чему приводят ошибки в преднастроках.
Чужая
Metro Ethernet сеть
Access
Aggregation
•Устройство далеко и связи с ним нет
•Типовые ошибки: ошибки в адресах, ошибки в AAA, интерфейсы неподняты, и т.д.
•Что делать? Вызывать машину и везти устройство в центр или ехать самому на удаленный сайт
Ошибка в AAA: доступа нет
ой!
`
Consistent
Reachability
Даже при ошибке в конфигурации
Центральный сервер системы провиженинга
10
10. Требование 1: базовая инфраструктура
• Безопасность
(проверка нового устройства)
• Обнаружение
(сервисы, VLANы..)
• Доступность
(несмотря на ошибки в преднастройках)
Нужно комплексное решение
a
Security
Discovery
Consistent
Reachability
12
11. Требование 2: приложения
• ваш выбор -
Provisioning solution
•
Главное гибкость
•EEM, PRIME илиSDNконтроллер– доложны работать без ограничений
Оба подхода имеют схожие требования. Разве они не могут просто действовать как приложения?
Zero Touch Deployment Solutions
Management/ Customization
13
12. Объединение требований
a
Security
Discovery
Consistent
Reachability
Zero-Touch Deployment
Management/ Customization
(EEM / PRIME/ SDN controller)
14
13. Легко сказать …
a
Network
Security
Discovery
Consistent
Reachability
Выглядит хорошо…..
Но разве это возможно?
16
14. AUTONOMIC
NETWORK
Авто- конфигурация
Само- Безопасность
Самооптими- зация
Самовосста- новление
Что такое автономные сети?
Самоуправление
15. Идеальная модель Zero Touch
Registrar
Dark Layer 2 Cloud
я подключился!!! М.б.мне нужен первоначальный конфиг?
Кто ты, у тебя есть твой идентификатор?
Есть -это SUDI!
Отлично, Этого достаточно!
Устройство 1
16. Обнаружение линка связи
Registrar
Dark Layer 2 Cloud
Ух ты! Я знаю свой VLAN
Теперь и я знаю твой VLAN, а заодно и Link Local IPv6 address
Петя
17. Установка сертификата домена
Registrar
Dark Layer 2 Cloud
Проверка по локальному спискуUDI
Петя
Мне нужно тебя идентифицировать
Доступ разрешен! Вот твой сертификат
Здорово! Теперь я в команде!!!
22
18. Autonomic Control Plane (ACP)
Registrar
Dark Layer 2 Cloud
Router # show autonomic device
UDI <UDI>
Device ID Router-1
Domain ID cisco.com
Domain Certificate (sub:) cn=Router-1:cisco.com
Device Address FD08:2EEF:C2EE::D253:5185:5472
Петя
Что делаем дальше, Шеф? Жду указаний!
Поднимай тунель и запускаем маршрутизацию
19. Функционал Proxy Bootstrap
Registrar
Dark Layer 2 Cloud
А вот и я! Как мне подключиться к вам???
Не волнуйся! Я буду твоим помощником и подскажу что делать!
Петя
Вася
21. Обнаружение и распространение сервисов
Registrar
Dark Layer 2 Cloud
AAA Server
Петя
Вася
Автоматическое обнаружение и распространение базовых сервисов– AAA, DNS, TFTPи т.д. через Autonomic Control Plane (ACP)
Ко мне подключен AAA server. Используйте его в нашем домене
22. Экосистема Autonomic Network
Какие сервера и приложения необходимы для работы?
(Каждое приложение, кроме СА-сервера должно бытьIPv6 capable)
Обязательно
Централизация сервисов
Развитиeв будущем
Zero Touch Deployment Server
SDN Controller / NMS Applications
•
Topology app*
•
Intent interpreter*
•
Autonomic Domain Manager*
•
Registrar functionality*
Certificate Authority (CA)
AAA Server
* Future Releases
23. Zero Touch: Какой сервер лучше использовать?
Приложения поверх инфраструктуры Autonomic Network
Конфигурация устройства используяACP
Периодическое обновление ПО черезdata plane
Zero Touch Deployment Server
TFTP
•
Любойopen-source IPv6-capable TFTP server
•
Бесплатное использование, но ограниченная функциональность
•
Support Model: No Vendor support
PnP
Cisco Plug-n-Play (PnP) solution*
•
Интегрируется с Cisco Prime
•
XMPP based Pub-Sub –строит ваш собственный сценарий!
•
Поддержка: Cisco Support
* Future releases
24. Создания списка разрешенных устройств
Устройства, подключаемые к домену, должны быть идентифицированы
Создание списка разрешенных устройств возможно несколькими способами
Автоматически получено от Cisco при заказе нового оборудования
Загружено пользователем при наличии работающего оборудования
Список загружается вручную
Закупка
Спецификация
Пользовательские обновления существующего списка
Registrar
Cisco создает список для новых устройств
25. Конфигурация Registrar-маршрутизатора
Router#configureterminal
Router(config)#autonomic registrar
Router(config-registrar)#domain-id abc.com
Router(config-registrar)#whitelist disk:whitelist.txt
Router(config-registrar)#external-CA url<>
Router(config-registrar)#no shut
Registrar
CA
Enter Autonomic Registrar Config mode
Configure domain-id –any name will do
Specify a local whitelist (Optional)
Specify an external CA’s url(Optional)
Unshutthe Registrar –You’re done!
•
Еслине указан external-CA urlто на Registrarлокально запускется IOS CA
26. Автоматическое обнаружение соседей
Registrar
Registrar
VLANS 415, 416 allowed
Новое устройство всегда находится в пассивном режиме, ожидая запроса от Registar
Настраиваемый диапазон VLANов на Registar
Использование QnQдля изоляции от DATA- PLANE
!
autonomic control-plane
vlanouter 400-420
vlaninner 4092
end
!
Begin Probe on VLAN 400
27. Подключение сервисов через ACP
Third–Party Metro Ethernet Cloud
Registrar
Registrar
AAA Server
PnP
CA
Подключение сервисов вACP:DNS, AAA, PnPи т.д.
interface Gig0/3
autonomic connect
ipv6 address 2000::10/64
end
Interface GigabitEthernet0/3
28. Обнаружение сервисов
Third–Party Metro Ethernet Cloud
Router#showautonomic service
Service IP-Addr
Syslog UNKNOWN
AAA UNKNOWN
AAA Accounting Port
AAA Authorization Port
Autonomic registrar FD08:2EEF:C2EE::D253:5185:5472
TFTP Server UNKNOWN
DNS Server UNKNOWN
Registrar
Registrar
Сервисы автоматически распостраняются на устройства
Note: Все сервисы находятся не вGlobal, а в Autonomic domain context
Router#showautonomic service
Service IP-Addr
Syslog 2000::1
AAA 2000::1
AAA Accounting Port 1813
AAA Authorization Port 1812
Autonomic registrar FD08:2EEF:C2EE::D253:5185:5472
TFTP Server 2000::1
DNS Server 2000::1
AAA Server
PnP
CA
29. Автоматическая конфигурация устройств
Third–Party Metro Ethernet Cloud
Registrar
Registrar
Конфиг устанавливается при помощиPnP server* или жеTFTP серверов
Активация сервисов!
TFTP
30. Roadmap
Real world Customer use case
Planned for future releases
Основной релиз: IOS-XE 3.13
Поддерживаемые платформы:
ASR901, ASR903, ASR901S, ME3600 / ME3800