2. Содержание
Основы многоуровневого
Data Center Services
дизайна кампуса Block
Основные сервисы
Рекомендации по
проектированию
VSS
Виртуализация Si Si
Соображения IP
телефонии
Si Si Si Si
Качество
обслуживания (QoS) Si Si Si Si
Безопасность Distribution Blocks
Собираем всѐ вместе
4. «Цепочки» коммутаторов на доступе
Избегайте возможных «чѐрных дыр»
Обратный трафик имеет шансы 50/50 попасть в ‘Чѐрную дыру’
Ядро
Уровень 3 Si Si
шансы = 50% что
трафик пойдѐт по
неправильному пути
Распре- Layer 3 Link
деление Distribution-A Distribution-B
Уровень 2/3 Si Si
Доступ
Уровень 2
Access-a Access-n Access-c
VLAN 2 VLAN 2 VLAN 2
5. «Цепочки» коммутаторов на доступе
Технология стэкирования избавляет от старой проблемы
Технологии Stackwise/Stackwise-Plus решает задачу
Не требуются дополнительные замыкающие (loopback) соединения
Нет необходимость L2 соединения на уровне распределения
Если вы используете стэкируемые коммутаторы, эти проблемы
не являются актуальными
Forwarding HSRP
Si Active
Layer 3
Forwarding Si
HSRP
Standby
3750-E
6. Что будет, если не соединять
коммутаторы распределения?
Медленная конвергенция STP STP Secondary
вызовет ощутимые потери Core
Root and HSRP
Standby
трафика
STP может стать причиной
непредсказуемого пути для STP Root and
HSRP Active
трафика и распределения Si
Hellos
Si
нагрузки
Сходимость STP вызывает
сходимость 3-го уровня B
F 2
2
Таймеры STP и L3 независимы
Access-a Access-b
Могут происходить ковергенция
и ре-конвергенция L3
VLAN 2 VLAN 2
Даже если соединения Трафик будет Трафик будет
распределения полагаются на отбрасываться отбрасываться,
STP и состояния соединений, до перехода в пока работают
режим таймеры
это может стать причиной Forwarding; 50 MaxAge,
проблем с HSRP секунд Listening и
Learning
7. Что если …?
«Чѐрные дыры» и множественные Переходы …
STP Агрессивный таймер
Ядро Core
Secondary HSRP ограничит
STP Root and Root and «чѐрную дыру» #1
Уровень 3 HSRP Active HSRP
Standby Backbone fast
Распре- обеспечит за 30
HSRP Active
деление сек. сходимость для
(Temporarily)
Hellos события #2
Уровень 2/3 Si Si
Даже с rapid
PVST+ минимум 1
секунда до события
#2
Доступ F: Forwarding MaxAge
Уровень 2 B: Blocking Seconds Before
Failure Is
Access-a Access-b Detected…
Then Listening
and Learning
VLAN 2 VLAN 2
Заблокированные соединения на access-b перейдут в forwarding за 50 секунд трафик
отбрасывается до срабатывания HSRP на резервном коммутаторе
После таймера MaxAge (или backbone fast или Rapid PVST+) новый переход HSRP
Access-b используется как транзитный узел для трафика от access-a
8. Ассиметричная маршрутизация (Unicast
Flooding)
Влияет на
отказоустойчивые
топологии с общим L2
доступом Asymmetric
Equal Cost
Один путь «наверх» Return Path
два пути «вниз»
CAM Timer Has
Таймеры обнуляются Aged Out on Upstream Packet
в CAM таблице Standby HSRP
Si Si Unicast to
Active HSRP
коммутатора
Downstream
standby HSRP Packet
Flooded
Без начального
пакета в CAM
происходит рассылка
на все порты VLAN
VLAN 2 VLAN 2 VLAN 2 VLAN 2
9. Предотвращение Unicast Flooding
На каждый коммутатор доступа
назначайте уникальные VLAN
данных голосовой VLAN
Теперь трафик попадает Asymmetric
только в один транк Equal Cost
Return Path
Коммутатор доступа
отправляет пакет
Upstream Packet
корректно; Si Si Unicast to
Downstream
в один порт Packet Active HSRP
Если требуется: Flooded on
Single Port
Подстройте таймеры
ARP и CAM; таймер
CAM превышает таймер
ARP
Подправьте метрики
маршрутизации чтобы
избавиться от экв. VLAN 3 VLAN 4 VLAN 5 VLAN 2
маршрутов
11. Catalyst 6500 Virtual Switching System
Обзор
Классический VSS физический VSS логический
10GE 10GE
Si Si Si Si
802.3ad 802.3ad
или или
PagP 802.3ad PagP 802.3ad
Коммутатор Сервер Коммутатор Сервер Коммутатор Сервер
доступа доступа доступа
Управление как одним устройством, отсутствие петель, нет зависимости от
STP, не требуется применение протоколов защиты шлюза по умолчанию
Лучшая производительность и масштабируемость Active-Active Multi-Chassis
Etherchannel (802.3ad/PagP) –нет заблокированных соединений
Субсекундная сходимость и восстановление в случае выхода из строя
коммутатора или соединения (SSO/NSF)
12. VSS в сети предприятия
VSS на распределении
Снижение L3
соседств, снижение
времени
L3 Core конвергенции
Нет FHRP,
Нет петель
L2/L3
Distribution
Несколько активных
соединений на
VLAN, нет
Access сходимости STP
13. Упрощение настроек
Отдельное устройство VSS
(конфигурация второго устройства не показана) (конфигурация одного устройства)
Spanning Tree Configuration
! Enable 802.1d per VLAN spanning tree enhancements. ! Enable 802.1d per VLAN spanning tree enhancements
spanning-tree mode pvst spanning-tree mode rapid-pvst
spanning-tree loopguard default no spanning-tree optimize bpdu transmission
no spanning-tree optimize bpdu transmission spanning-tree extend system-id
spanning-tree extend system-id spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority
spanning-tree uplinkfast 24576
spanning-tree backbonefast
spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority
24576!
L3 SVI Configuration
! Define the Layer 3 SVI for each voice and data VLAN ! Define the Layer 3 SVI for each voice and data VLAN
interface Vlan4 interface Vlan2
description Data VLAN for 4507 SupII+ description Data VLAN for 4507 SupII+
ip address 10.120.4.3 255.255.255.0 ip address 10.120.2.1 255.255.255.0
no ip redirects no ip redirects
no ip unreachables no ip unreachables
! Reduce PIM query interval to 250 msec ip pim sparse-mode
ip pim query-interval 250 msec load-interval 30
ip pim sparse-mode
load-interval 30
! Define HSRP default gateway with 250/800 msec hello/hold
standby 1 ip 10.120.4.1
standby 1 timers msec 250 msec 800
! Set preempt delay large enough to allow network to stabilize
before HSRP
! switches back on power on or link recovery
standby 1 preempt delay minimum 180
! Enable HSRP authentication
standby 1 authentication cisco123
14. Введение в Virtual Switching System
Концепция
Virtual Switch Domain
Active Control Plane Standby Hot
Virtual Switch Link
Data Plane
Switch 1 Switch 2
15. Архитектура Virtual Switching System
Virtual Switch Link (VSL)
Virtual Switch Link объединяет два физических коммутатора
вместе – обеспечивает механизм синхронизации
VS Header L2 Hdr L3 Hdr Data CRC
Virtual Switch Link
Virtual Switch Virtual Switch
Active Standby
16. Архитектура Virtual Switching System
Инициализация
Процесс инициализации состоит из 3-х основных шагов:
1 Определение соединений VSL Link Bringup
Протокол Link Management Protocol (LMP) используется для отслеживания и
2
отброса однонаправленных соединений, обмена параметрами Chassis ID и
другой информацией между коммутаторами
LMP LMP
RRP RRP
3 Протокол Role Resolution Protocol (RRP) используется для определения
совместимости оборудования и ПО для формирования VSL и определяет
какой из коммутаторов будет активным с точки зрения шины управления
17. Архитектура Virtual Switching System
VSLP Ping
Новый механизм ping был имплементирован в VSS для
проверки соединений VSL - VSLP Ping
VSL
VSLP Ping VSLP Ping
VSLP Ping VSLP Ping
Switch1 Switch2
VSLP Ping работает по-интерфейсно per-physical interface отображает COUNT, DESTINATION, SIZE,
TIMEOUT …
vss#ping vslp output interface tenGigabitEthernet 1/5/4
Type escape sequence to abort.
Sending 5, 100-byte VSLP ping to peer-sup via output port 1/5/4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms
18. Virtual Switching System
Общая шина управления
• Один активный супервизор с включенным функционалом inter-chassis
Stateful Switchover (SSO)
• Active супервизор обеспечивает работу функций control plane таких как
протоколы (routing, EtherChannel, SNMP, telnet, etc.) и управление
оборудованием (Online Insertion Removal, port management)
• Active/Standby супервизоры синхронизируют состояния (boot-env,
running-configuration, состояния протоколов линейных карт)
CFC or DFC Line Cards CFC or DFC Line Cards
CFC or DFC Line Cards CFC or DFC Line Cards
CFC or DFC Line Cards VSL CFC or DFC Line Cards
SF RP PFC SF RP PFC
Active Supervisor Standby HOT Supervisor
CFC or DFC Line Cards SSO CFC or DFC Line Cards
CFC or DFC Line Cards CFC or DFC Line Cards
Synchronization
CFC or DFC Line Cards CFC or DFC Line Cards
19. Virtual Switching System
Двойная активная шина коммутации
• Активны обе шины коммутации
• Супервизор Standby и все линейные карты активны и участвуют в
коммутации
VSS# show switch virtual redundancy
My Switch Id = 1 Si Si
Data
Peer Switch Id = 2 Data
Plane
Plane
<snip> Active
Active
Switch 1 Slot 5 Processor Information :
----------------------------------------------
-
Current Software state = ACTIVE
<snip>
Fabric State = ACTIVE
Control Plane State = ACTIVE
Switch 2 Slot 5 Processor Information :
----------------------------------------------
-
Current Software state = STANDBY HOT Switch2
(switchover target) Switch1
<snip>
Fabric State = ACTIVE
Control Plane State = STANDBY
20. Архитектура Virtual Switching System
Multichassis EtherChannel (MEC)
Соединения Etherchannel могут быть распределены между двумя
физическими шасси
Standalone VSS
Поддерживаются протоколы LACP и
PAGP и ручной режим ON-ON…
Традиционный Etherchannel на одно Multichassis EtherChannel на 2 VSS-
шасси шасси
21. Архитектура Virtual Switching System
Путь сетевого трафика в случае сбоев
• MEC или ECMP – основные механизмы
восстановления после сбоя соединения/устройства
Si Si
Si Si Si Si
Si Si
SW1 SW2 SW1 SW2 SW1 SW2
Выход из строя шасси VSS Выход из строя соединения в ядро Выход из строя соединения на доступ
22. Архитектура Virtual Switching System
Алгоритмы EtherChannel Hash для MEC
Алгоритмы хэширования для Etherchannel модифицированны
таким образом чтобы трафик всегда уходил через локальные
интерфейсы VSS
Синий трафик к Оранжевый трафик
серверу будет к серверу будет
отправлен через Link отправлен через Link
1 в соединении 2 в соединении MEC
MEC… …
Link 1 Link 2
23. Архитектура Virtual Switching System
поддержка резервных супервизоров
• Для чего требуются резервные супервизоры?
• Сбой в работе любого из супервизоров
приводит к остановке коммутации на
линейных картах в рамках шасси –
Si Si
снижение полосы VSS на 50%
• Отдельные устройства могут иметь только
одно подключение к VSS по ряду причин
(нерекомендуемый дизайн)
– Сервисные модули/Сервера
– Цена $$
• Выход из строя супервизора требует
ручного вмешательства для
восстановления работы шасси
– Соединения не активны когда супервизор
находится в режиме ROMMON
– Непредсказуемое время восстановления
– Ручной процесс установки и настройки в
режим VSS нового супервизора установки
нов
24. Аппаратная поддержка VSS Catalyst 6500
Модули супервизора
Супервизоры с поддержкой VSS
Supervisor Engine 2T
Supervisor Engine 720-10GE
Интерфейсы 10GE с поддержкой
VSL
Новые микросхемы ASICs
VS-S2T-10G/XL Поддержка полей для
маркировки и пересылки
трафика между шасси
MAC address learning на двух
шасси
VSS не поддерживается на
VS-S720-10G-3C/XL Supervisor Engine 720 или других
старых супервизорах
27. Что такое виртуализация сети?
Поддержка одной физической сетью нескольких виртуальных
С точки зрения пользователя – это подключение к выделенной сети с независимыми
политиками безопасности, маршрутизации, качества обслуживания и пр.
Обеспечение иерархии и виртуализации устройств, путей и сервисов
Оптимальное использование существующих ресурсов сети
Внутренние Дочерняя Сеть
подразделения компания гостевого доступа
29. Обзор MPLS VPN Позволяет поставщику услуг
предоставлять сервис для
подключения сетей разных клиентов
Трафик от клиентов инкапсулируется
в MPLS и доставляется на
устройства PE/CE
У каждого клиента может быть свое
адресное пространство,
пересекающееся с другими
клиентами
30. Изоляция путей (Path Isolation)
Виртуализация устройства
Виртуализация контрольной
шины
Виртуализация шины данных
Виртуализация сервисов
Виртуализация каналов
данных
Hop-by-Hop (сквозной VRF-Lite)
Multi-Hop (VRF-Lite + GRE,
MPLS VPN)
31. Эволюция VRF – Easy Virtual Network
VRF родился от MPLS
VPN
Применяется без MPLS в
VRF-Lite
EVN добавляет зрелости
VRF
32. Обзор Easy Virtual Network
Транки в ЛВС
упрощение настройки
автоматическая настройка VRF на транке
Репликация маршрутов
Общие сервисы на базе IGP протоколов
Не требуется BGP
Снижение сложности при поиске
неисправностей
routing-context, traceroute, debug condition, cisco-vrf-
mib
Доступно на ASR1K, Cat6500 и Cat4500 сейчас
33. Easy Virtual Network – как это работает?
Создайте L2 VLANs на уровне доступа
и отправьте его через транк на первый хоп L3
Опишите VRFs на каждом L3 устройстве.
Создайте связку VLAN – VRF.
Настройте IGP протокол для каждого VRF
на всех устройствах L3
Настройте VNET транк на каждом
физическом интерфейсе ядра.
Используется тот же самый тэг 802.1Q
При добавлении новых VRF не требуется
добавление подинтерфейсов. Это
автоматически производится VNET транком
34. Совместимость EVN и VRF
VRF-Lite Subinterface Config VNET Trunk Config
interface TenGigabitEthernet1/1 interface TenGigabitEthernet1/1
ip address 10.122.5.1 255.255.255.252 vnet trunk
ip pim query-interval 1 ip address 10.122.5.2 255.255.255.252
ip pim sparse-mode ip pim query-interval 1
ip pim sparse-mode
interface TenGigabitEthernet1/1.101
description Subinterface for Red VRF
encapsulation dot1Q 101
Оба маршрутизатора имеют
ip vrf forwarding red настроенные VRF
ip address 10.122.5.1 255.255.255.252
ip pim query-interval 1
На EVN маршрутизаторе VNET тэги
ip pim sparse-mode
Global Config:
interface TenGigabitEthernet1/1.102 vrf definition red
description Subinterface for Green VRF vnet tag 101
encapsulation dot1Q 102
ip vrf forwarding green vrf definition green
ip address 10.122.5.1 255.255.255.252
vnet tag 102
ip pim query-interval 1
ip pim sparse-mode
35. Интеграция VRF с L2 Edge
vrf definition red
vnet tag 101
vrf definition green
vnet tag 102
vrf definition blue
vnet tag 103
interface g1/0
vnet trunk
interface vlan 21
vrf forwarding red
interface vlan 22
vrf forwarding green
interface vlan 23
vrf forwarding blue
interface vlan 31
vrf forwarding red
interface vlan 32
vrf forwarding green
interface vlan 33
vrf forwarding blue
36. EVN - Show Derived-config
show run show derived-config
Router# show run Router# show derived-config
. . . . . .
interface Ethernet1/0 interface Ethernet1/0
vnet trunk vnet trunk
ip address 10.122.6.11 255.255.255.0 ip address 10.122.6.11 255.255.255.0
ip pim sparse-mode ip pim sparse-mode
. . . !
interface Ethernet1/0.101
description Subinterface for VNET red
vrf forwarding red
encapsulation dot1Q 101
ip address 10.122.6.11 255.255.255.0
ip pim sparse-mode
!
interface Ethernet1/0.102
description Subinterface for VNET green
vrf forwarding green
encapsulation dot1Q 102
ip address 10.122.6.11 255.255.255.0
ip pim sparse-mode
. . .
37. VNET Trunk – настройка индивидуальных
параметров
Отдельные специфические настройки интерфеса можно менять
для отдельного VRF
VRF-Lite Subinterface Config VNET Trunk Config
interface TenGigabitEthernet1/1 interface TenGigabitEthernet1/1
ip address 10.122.5.1 255.255.255.252 vnet trunk
ip ospf cost 20 ip address 10.122.5.2 255.255.255.252
ip pim sparse-mode ip ospf cost 20
ip pim sparse-mode
interface TenGigabitEthernet1/1.101 vnet name green
description Subinterface for Red VRF no ip pim sparse-mode
encapsulation dot1Q 101 ip ospf cost 30
ip vrf forwarding red
ip address 10.122.5.1 255.255.255.252
ip ospf cost 20 Global Config:
ip pim sparse-mode vrf definition red
vnet tag 101
interface TenGigabitEthernet1/1.102
description Subinterface for Green VRF vrf definition green
encapsulation dot1Q 102 vnet tag 102
ip vrf forwarding green
ip address 10.122.5.1 255.255.255.252
ip ospf cost 30
39. Анонсирование сервисов
Сервисы которые не хочется
дублировать:
Internet шлюз
Firewall и NAT - DMZ
DNS
DHCP
Требуется IP связность между VRF
Обычно достигается при помощи
возможностей Extranet или Fusion
Router/FW
Варианты анонсирования сервисов
Fusion Router/FW – Internet шлюз,
NAT/DMZ
Extranet – DNS, DHCP
40. Анонсирование сервисов - конфигурация
До: После:
ip vrf SHARED vrf definition SHARED
rd 3:3 address-family ipv4
route-target export 3:3 route-replicate from vrf RED unicast all route-map red-map
route-target import 1:1 route-replicate from vrf GREEN unicast all route-map grn-map
route-target import 2:2
!
ip vrf RED
rd 1:1 vrf definition RED
address-family ipv4
route-target export 1:1
route-target import 3:3 route-replicate from vrf SHARED unicast all
!
ip vrf GREEN
rd 2:2 vrf definition GREEN
route-target export 2:2 address-family ipv4
route-target import 3:3 route-replicate from vrf SHARED unicast all
!
router bgp 65001
bgp log-neighbor-changes
!
address-family ipv4 vrf SHARED
redistribute ospf 3
Преимущества Route-Replication:
no auto-summary
no synchronization
• не требуется BGP
exit-address-family
! • не требуется Route Distinguisher
address-family ipv4 vrf RED
redistribute ospf 1 • не требуется Route Targets
no auto-summary
no synchronization
exit-address-family
• не требуется Import/Export
!
address-family ipv4 vrf GREEN
• простое внедрение
redistribute ospf 2
no auto-summary • поддерживаются Unicast/Mcast
no synchronization
exit-address-family
!
42. EVN – поддержка на оборудовании
Platform Release FCS Date
ASR1K IOS XE 3.2S Nov 2010
Cat6K – Sup2T 15.0(1)SY1 March 2012
15.1(1)SG
Cat4K April 2012
IOS XE 3.3.0SG
Cat6K – Sup720* Roadmap Future
Cat3K-X Roadmap Future
ISR-G2 Roadmap Future
Nexus 7K Roadmap Future
Cat4K Release/Platforms:
15.1(1)SG:Sup6-E, Sup6L-E, 4900M, 4948E, 4940E-F
IOS XE 3.3.0SG: Sup7-E, Sup7L-E, 4500-X
* Sup720 не поддерживает VNET Trunk
“Many of the products and features described herein remain in varying stages of development and will be offered on a
when-and-if-available basis. This roadmap is subject to change at the sole discretion of Cisco, and Cisco will have no
liability for delay in the delivery or failure to deliver any of the products or features set forth in this document.”
44. Сеть кампуса для UC
Интеграция инфраструктуры, QoS и доступность
Доступ
Авт. обнаружение
телефонов
Access
Питание Inline power
QoS: приоритезация,
граница доверия и
классификация Si Si Si Si Si Si
Быстрая сходимость Distribution
Распределение
Высокая доступность,
отказоустойчивость, Layer 3 Layer 3
быстрая сходимость Core Equal Cost Equal Cost
Применение политик Si Si
Links Links
QoS: приоритезация,
граница доверия и
классификация
Distribution Si Si
Ядро
Si Si
Si Si
Высокая доступность,
отказоустойчивость,
быстрая сходимость
QoS: приоритезация, Access
граница доверия
WAN Data Center Internet
45. Интеграция инфраструктур
Расширение границы сети
Обнаружение IP телефона, подача питания
Обмен CDP между телефоном и коммутатором
Назначение IP телефона в корректный VLAN
Запрос DHCP и регистрация на Call Manager
Телефон содержит 3-х портовый коммутатор, который настраивается
при участии коммутатора доступа и CallManager’а
1. Подача питания/определение мощности
2. Настройка VLAN
3. Взаимодействие с 802.1x
4. Настройка QoS
5. DHCP и регистрация на CallManager
46. Интеграция инфраструктур: первый шаг
Согласование требований питания
Устройства Cisco prestandard вначале получают 6.3 Вт и далее
через CDP согласовывается требуемая мощность
Устройства 802.3af вначале получают 12.95 Вт если PSE не
может определить класс устройства
Минимальный уровень Максимальный уровень
Класс Исп. выдаваемой мощности потребляемой мощности на
на PSE устройстве
0 Default 15.4W 0.44 to 12.95W
1 Optional 4.0W 0.44 to 3.84W
2 Optional 7.0W 3.84 to 6.49W
3 Optional 15.4W 6.49 to 12.95W
Reserved for Reserved for Future Use: a Class 4
4 Future Treat as Class 0 Signature Cannot Be Provided by a
Use Compliant Powered Device
47. Расширенное согласование мощности
802.3af + двунаправленный обмен CDP (Cisco 7970)
PSE—источник Подключение PD
питания Обнаружение устр-ва IEEE PD
Cisco 6500,4500,
3750, 3560 Классификация PD
Подача питания
Телефон передаѐт по CDP параметры потреб.
мощности и список поддерживаемых режимов
PD—устройство
Коммутатор отправляет CDP ответ
со своими параметрами
Cisco 7970
В зависимости от возможностей
согласовывается финальная мощность
Обмен CDP позволяет определить точную потребляемую
мощность после начального включения
48. Соображения дизайна для PoE
Управление питанием
Коммутатор управляет питанием в зависимости от требований PD, а
не реального потребления
Потребляемая устройством мощность не является постоянной
7960G требует 7Вт при звонке на максимальной громкости и 5Вт
когда трубка снята или положена
Требуется понимание поведения устройства PoE
Применяйте статические конфигурации с осторожностью
Динамическое выделение:
power inline auto max 7200
Статическое выделение:
power inline static max 7200
Используйте онлайн-калькулятор для расчѐта
http://www.cisco.com/go/powercalculator
49. Интеграция инфраструктур:
следующие шаги
Конфигурация VLAN, QoS и 802.1x
Phone VLAN = 110 PC VLAN = 10
(VVID) (PVID)
Инкапсуляция Native VLAN (PVID) не
802.1Q с 802.1p требует изменений в
CoS Уровня 2 конфигурации
Во время начального обмена CDP телефон получает номер
голосового Voice VLAN ID (VVID)
Через поля CDP TLV телефон получает настройки QoS
Доступны LLDP/LLDP-MED …
Коммутатор может пропускать стадию 802.1x аутентификации для
VVID если обнаруживает IP телефон Cisco
51. Лучшие практики—Качество обслуживания
Требует сквозного
внедрения. Разные уровни
выполняют разную, но End-to-End QoS
одинаково важную роль.
Обеспечивает защиту Si Si Si Si Si Si
критически важных
приложений от влияния
перегрузки на соединениях и
Layer 3 Equal Layer 3 Equal
задержек в очередях Cost Links Cost Links
Si Si
Узлы агрегации должны
обеспечивать применение
политик QoS Si Si Si Si
Si Si
Необходима поддержка
очередей с несколькими
критериями доступа и
обслуживания WAN Data Center Internet
52. Лучшие практики—Качество обслуживания
Требует сквозного
внедрения. Разные уровни
выполняют разную, но End-to-End QoS
одинаково важную роль.
Обеспечивает защиту Si Si Si Si Si Si
критически важных
приложений от влияния
перегрузки на соединениях и
Layer 3 Equal Layer 3 Equal
задержек в очередях Cost Links Cost Links
Si Si
Узлы агрегации должны
обеспечивать применение
политик QoS Si Si Si Si
Si Si
Необходима поддержка
очередей с несколькими
критериями доступа и
обслуживания WAN Data Center Internet
53. Переполнение очереди передачи
10/100m Queued 128k Uplink
WAN
Router
100 Mбит/с в 128 Кб/с —Пакеты приходят быстрее чем могут выйти
Пакеты помещаются в очередь до отправки с медленного интерфейса
1 Gig Link Queued 100 Meg Link
Distribution Switch Access Switch
1 Гб/с в 100 Мбит/с —Пакеты приходят быстрее чем могут выйти
Пакеты помещаются в очередь до отправки с медленного интерфейса
54. Auto QoS VoIP—жизнь проще …
Настройки QoS для VoIP на коммутаторах кампуса
Access-Switch(config-if)#auto qos voip ?
cisco-phone Trust the QoS marking of Cisco IP Phone
cisco-softphone Trust the QoS marking of Cisco IP SoftPhone
trust Trust the DSCP/CoS marking
Access-Switch(config-if)#auto qos voip cisco-phone
Access-Switch(config-if)#exit
!
interface FastEthernet1/0/21
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
mls qos trust device cisco-phone
mls qos trust cos
auto qos voip cisco-phone
end
56. Рекомендации—Безопасность Кампуса
Будем говорить про …!
Набор средств безопасности Catalyst!
Dynamic port security, DHCP snooping, End-to-End Security
Dynamic ARP inspection, IP source
guard
Вещи про которые вы знаете —мы
Si Si Si Si Si Si
рассматривать не будем…
Используйте SSH вместо Telnet
Включайте AAA и ролевой доступ
(RADIUS/TACACS+) для CLI на всех
устройствах
Включайте SYSLOG на сервер. Сохраняйте
и архивируйте логи. Si
Si
Используйте SNMPv3
Выключайте ненужные сервисы:
No service tcp-small-servers
No service udp-small-servers
Используйте FTP или SFTP (SSH FTP) для Si Si Si Si
управления имиджами ПО и Si Si
конфигурационными файлами—избегайте
TFTP
Устанавливайте VTY access-lists
Включайте механизмы защиты шины
управления (EIGRP, OSPF, BGP, HSRP,
VTP, etc.) WAN Internet
Фильтруйте RFC2827
57. BPDU Guard
Предотвращение петель через WLAN (Windows XP Bridging)
Проблема:
Точки доступа WLAN не STP Loop
пересылают BPDUs Formed
BPDU Guard
Несколько машин Disables Port
Windows XP могут
создать петлю создать
петлю в проводном VLAN
через WLAN
BPDU
Generated
Решение:
На портах коммутаторов к
которым подключены BPDU
рабочие станции можно Win XP Discarded Win XP
настроить BPDU Guard Bridging Bridging
Enabled Enabled
58. Защита Уровня 2 от атак прослушивания
Борьба с атаками основанных на манипуляциях с MAC-адресами
00:0e:00:aa:aa:aa Только 3 MAC
00:0e:00:bb:bb:bb адреса
разрешены на
250,000 MAC порту: Shutdown
в секунду
Проблема Решение:
Средство Script Kiddie позволяет Port Security ограничивает кол-во MAC-
атакующему переполнить CAM адресов на порту коммутатора,
таблицу коммутатора; превратить блокирует порт и посылает SNMP trap
VLAN в ХАБ и получать все switchport port-security
пакеты switchport port-security maximum 10
Размер CAM таблицы switchport port-security violation restrict
switchport port-security aging time 2
коммутатора ограничен switchport port-security aging type inactivity
59. DHCP Snooping
Защита от нелегитимных серверов DHCP
1
DHCP
Server
1000 DHCP
запросов на 2
сервер DHCP
DHCP запросы (discover) и ответы (offer) отслеживаются
Снижение скорости запросов на доверенных интерфейсах для
защиты от DoS атак на DHCP сервер
Запрет ответов (offers) с недоверенных интерфейсов;
остановка подозрительных DHCP серверов
60. Защита Уровня 2 от атак прослушивания
Защита ARP
Dynamic ARP inspection
защищает от атак и Gateway = 10.1.1.1
использованием ARP (ettercap, Si
MAC=A
dsnif, arpspoof)
Использует таблицу DHCP
snooping
Отслеживает MAC и IP из Gratuitous ARP
транзакций DHCP 10.1.1.50=MAC_B
Ограничивает запросы ARP с Gratuitous ARP
клиентских портов, 10.1.1.1=MAC_B
останавливает сканирование
портов
Отбрасывает bogus gratuitous
ARPs; блокирует ARP
poisoning/MIM атаки Attacker = 10.1.1.25 Victim = 10.1.1.50
MAC=B MAC=C
61. IP Source Guard
Защита IP адресов от замены/подделки
IP source guard защищает от
подделки Gateway = 10.1.1.1
IP адресов MAC=A
Si
Используется таблица DHCP
snooping
Отслеживается ассоциация
IP адреса и порта
Динамически Hey, I’m 10.1.1.50 !
программируется ACL на
порту для сброса трафика
исходящего от IP адреса
присвоенного не через
DHCP
Attacker = 10.1.1.25 Victim = 10.1.1.50
62. Интегрированные функции безопасности
Cisco IOS обеспечивает ipdhcp snooping
ipdhcp snooping vlan 2-10
IP Source Guard
iparp inspection vlan 2-10
Dynamic ARP Inspection !
interface fa3/1
DHCP Snooping switchport port-security
switchport port-security max 3
Port Security
switchport port-security violation
restrict
Port security предотвращает атаку switchport port-security aging time 2
MAC flooding switchport port-security aging type
DHCP snooping предотвращает inactivity
клиентские атаки на коммутатор и ip arp inspection limit rate 100
сервер ip dhcp snooping limit rate 100
Dynamic ARP Inspection добавляет ip verify source vlan dhcp-snooping
безопасности к ARP используя
таблицу DHCP snooping !
IP source guard защищает Interface gigabit1/1
IP адрес источника от spoofing’а ipdhcp snooping trust
используя таблицу DHCP snooping iparp inspection trust
64. Иерархический кампус
Доступ
Si Si Si Si Si Si
Распре-
деление
Ядро
Si Si
Распре-
Si Si Si Si
Si Si деление
Доступ
WAN Data Center Internet
65. Соединения L3 на уровне распределения
Доступ Уровень 2— нет VLAN’ов распределѐнных по уровню доступа
Балансировка нагрузки через
отстроенный CEF
Проверка настроек CatOS/IOS Si Si
EtherChannel для балансировки Ядро
Суммаризация маршрутов в сторону
ядра
Ограничение избыточных/резерв. Layer 3
IGP соединений
Распре-
Настройка STP Root и HSRP primary Si Si
или GLBP для балансировки нагрузки на Point-to- деление
uplink’ах Point
Устанавливаем trunk mode on/no- Link
negotiate
Выключаем EtherChannel,
если не используем
На уровне доступа:
Выключить trunking VLAN 20 Data VLAN 40 Data Доступ
Выключить EtherChannel 10.1.20.0/24 10.1.40.0/24
Включить PortFast
VLAN 120 Voice VLAN 140 Voice
RootGuard или BPDU-Guard 10.1.120.0/24 10.1.140.0/24
Используем функции безопасности
66. Соединения L2 на уровне распределения
Доступ Уровень 2— часть VLAN’ов распределены по уровню доступа
Балансировка нагрузки через
отстроенный CEF
Проверка настроек CatOS/IOS
EtherChannel для балансировки Si Si
Ядро
Суммаризация маршрутов в сторону
ядра
Ограничение избыточных/резерв.
Layer 2
IGP соединений
Настройка STP Root и HSRP primary Распре-
Si Si
или GLBP и STP port cost для Trunk деление
балансировки на uplink’ах
Устанавливаем trunk mode on/no-
negotiate
Выключаем EtherChannel, если не
используем
RootGuard на downlink’ах
LoopGuard на uplink’ах
VLAN 20 Data VLAN 40 Data Доступ
На уровне доступа: 10.1.20.0/24 10.1.40.0/24
Выключить trunking VLAN 120 Voice VLAN 140 Voice
Выключить EtherChannel 10.1.120.0/24 10.1.140.0/24
Включить PortFast VLAN 250 WLAN
RootGuard или BPDU-Guard 10.1.250.0/24
Используем функции безопасности
67. Маршрутизируемый доступ и VSS
Развитие существующего дизайна
Si Si Si Si Ядро
VSS & vPC
Распре-
Si Layer 3 Si New
Concept деление
P-to-P Link
VLAN 40 Data
VLAN 20 Data Доступ
VLAN 20 Data 10.1.20.0/24
VLAN 40 Data
10.1.20.0/24 10.1.40.0/24
10.1.40.0/24
VLAN 120 Voice
VLAN 120 Voice VLAN 140 Voice
10.1.120.0/24
VLAN 140 Voice
10.1.120.0/24 10.1.140.0/24
10.1.140.0/24
VLAN 250 WLAN
10.1.250.0/24
68. SmartPorts — готовая конфигурация
Access-Switch#show parser macro brief
default global : cisco-global
default interface: cisco-desktop
default interface: cisco-phone Si Si
default interface: cisco-switch
default interface: cisco-router
default interface: cisco-wireless
Access-Switch(config-if)#$ macro apply cisco-phone
$access_vlan 100 $voice_vlan 10
Access-Switch#show run int fa1/0/19
Si Si
!
interface FastEthernet1/0/19
switchport access vlan 100
switchport mode access
switchport voice vlan 10
switchport port-security maximum 2
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
mls qos trust device cisco-phone
mls qos trust cos
macro description cisco-phone
auto qosvoipcisco-phone
spanning-tree portfast
spanning-tree bpduguard enable
end
69. ИТОГО
Иерархия—каждый уровень
Offers hierarchy—each layer has
specific role свою роль
имеет
Modular topology— Доступ
Модульность—
building blocks
строительные блоки
Easy to grow, understand,
and troubleshoot
Легко наращивать,
Creates small fault domains—
понимать, устранять
Clear demarcations and isolation Si Si Si Si Si Si Распре-
неисправности
Promotes load balancing деление
and redundancy
Создаѐм независимые
Promotes deterministic
traffic patterns чѐткие границы и
домены—
изоляция
Incorporates balance of
both Layer 2 and Layer 3 Layer 3 Layer 3
Обеспечиваем
technology, leveraging Equal Cost Equal Cost Ядро
the strength of both Si Si
балансировку нагрузки и Links Links
Utilizes Layer 3 routing
отказоустойчивость
for load balancing, fast
convergence, scalability,
andОпределѐнность пути для
control
трафика Распре-
Si Si Si Si
Использование баланса и Si Si деление
преимуществ технологий
уровня 2 и 3
Технологии маршрутизации
Доступ
для балансировки нагрузки,
WAN Data Center Internet
быстрой сходимости и
масштабируемости
70. Полезные материалы—Design Zone
High Availability Campus Design Guide
High Availability Campus Convergence Analysis
High Availability Campus Design Guide—
Routed Access EIGRP and OSPF
http://www.cisco.com/go/srnd