SlideShare a Scribd company logo

Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 2.

Cisco Russia
Cisco Russia
Technology
1 of 72
Download to read offline
Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 2. Станислав Рыпалов, CCIE R&S/Security #12561 Системный инженер
Содержание  Основы многоуровневого Data Center Services дизайна кампуса Block  Основные сервисы  Рекомендации по проектированию  VSS  Виртуализация Si Si  Соображения IP телефонии Si Si Si Si  Качество обслуживания (QoS) Si Si Si Si  Безопасность Distribution Blocks  Собираем всѐ вместе
Рекоммендации по проектированию
«Цепочки» коммутаторов на доступе Избегайте возможных «чѐрных дыр» Обратный трафик имеет шансы 50/50 попасть в ‘Чѐрную дыру’ Ядро Уровень 3 Si Si шансы = 50% что трафик пойдѐт по неправильному пути Распре- Layer 3 Link деление Distribution-A Distribution-B Уровень 2/3 Si Si Доступ Уровень 2 Access-a Access-n Access-c VLAN 2 VLAN 2 VLAN 2
«Цепочки» коммутаторов на доступе Технология стэкирования избавляет от старой проблемы  Технологии Stackwise/Stackwise-Plus решает задачу Не требуются дополнительные замыкающие (loopback) соединения Нет необходимость L2 соединения на уровне распределения  Если вы используете стэкируемые коммутаторы, эти проблемы не являются актуальными Forwarding HSRP Si Active Layer 3 Forwarding Si HSRP Standby 3750-E
Что будет, если не соединять коммутаторы распределения?  Медленная конвергенция STP STP Secondary вызовет ощутимые потери Core Root and HSRP Standby трафика  STP может стать причиной непредсказуемого пути для STP Root and HSRP Active трафика и распределения Si Hellos Si нагрузки  Сходимость STP вызывает сходимость 3-го уровня B F 2 2  Таймеры STP и L3 независимы Access-a Access-b  Могут происходить ковергенция и ре-конвергенция L3 VLAN 2 VLAN 2  Даже если соединения Трафик будет Трафик будет распределения полагаются на отбрасываться отбрасываться, STP и состояния соединений, до перехода в пока работают режим таймеры это может стать причиной Forwarding; 50 MaxAge, проблем с HSRP секунд Listening и Learning
Что если …? «Чѐрные дыры» и множественные Переходы … STP  Агрессивный таймер Ядро Core Secondary HSRP ограничит STP Root and Root and «чѐрную дыру» #1 Уровень 3 HSRP Active HSRP Standby  Backbone fast Распре- обеспечит за 30 HSRP Active деление сек. сходимость для (Temporarily) Hellos события #2 Уровень 2/3 Si Si  Даже с rapid PVST+ минимум 1 секунда до события #2 Доступ F: Forwarding MaxAge Уровень 2 B: Blocking Seconds Before Failure Is Access-a Access-b Detected… Then Listening and Learning VLAN 2 VLAN 2  Заблокированные соединения на access-b перейдут в forwarding за 50 секунд  трафик отбрасывается до срабатывания HSRP на резервном коммутаторе  После таймера MaxAge (или backbone fast или Rapid PVST+) новый переход HSRP  Access-b используется как транзитный узел для трафика от access-a
Ассиметричная маршрутизация (Unicast Flooding)  Влияет на отказоустойчивые топологии с общим L2 доступом Asymmetric Equal Cost  Один путь «наверх» Return Path два пути «вниз» CAM Timer Has  Таймеры обнуляются Aged Out on Upstream Packet в CAM таблице Standby HSRP Si Si Unicast to Active HSRP коммутатора Downstream standby HSRP Packet Flooded  Без начального пакета в CAM происходит рассылка на все порты VLAN VLAN 2 VLAN 2 VLAN 2 VLAN 2
Предотвращение Unicast Flooding  На каждый коммутатор доступа назначайте уникальные VLAN данных голосовой VLAN  Теперь трафик попадает Asymmetric только в один транк Equal Cost Return Path  Коммутатор доступа отправляет пакет Upstream Packet корректно; Si Si Unicast to Downstream в один порт Packet Active HSRP  Если требуется: Flooded on Single Port Подстройте таймеры ARP и CAM; таймер CAM превышает таймер ARP Подправьте метрики маршрутизации чтобы избавиться от экв. VLAN 3 VLAN 4 VLAN 5 VLAN 2 маршрутов
Альтернативный дизайн с VSS
Catalyst 6500 Virtual Switching System Обзор Классический VSS физический VSS логический 10GE 10GE Si Si Si Si 802.3ad 802.3ad или или PagP 802.3ad PagP 802.3ad Коммутатор Сервер Коммутатор Сервер Коммутатор Сервер доступа доступа доступа Управление как одним устройством, отсутствие петель, нет зависимости от STP, не требуется применение протоколов защиты шлюза по умолчанию Лучшая производительность и масштабируемость Active-Active Multi-Chassis Etherchannel (802.3ad/PagP) –нет заблокированных соединений Субсекундная сходимость и восстановление в случае выхода из строя коммутатора или соединения (SSO/NSF)
VSS в сети предприятия VSS на распределении Снижение L3 соседств, снижение времени L3 Core конвергенции Нет FHRP, Нет петель L2/L3 Distribution Несколько активных соединений на VLAN, нет Access сходимости STP
Упрощение настроек Отдельное устройство VSS (конфигурация второго устройства не показана) (конфигурация одного устройства) Spanning Tree Configuration ! Enable 802.1d per VLAN spanning tree enhancements. ! Enable 802.1d per VLAN spanning tree enhancements spanning-tree mode pvst spanning-tree mode rapid-pvst spanning-tree loopguard default no spanning-tree optimize bpdu transmission no spanning-tree optimize bpdu transmission spanning-tree extend system-id spanning-tree extend system-id spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority spanning-tree uplinkfast 24576 spanning-tree backbonefast spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority 24576! L3 SVI Configuration ! Define the Layer 3 SVI for each voice and data VLAN ! Define the Layer 3 SVI for each voice and data VLAN interface Vlan4 interface Vlan2 description Data VLAN for 4507 SupII+ description Data VLAN for 4507 SupII+ ip address 10.120.4.3 255.255.255.0 ip address 10.120.2.1 255.255.255.0 no ip redirects no ip redirects no ip unreachables no ip unreachables ! Reduce PIM query interval to 250 msec ip pim sparse-mode ip pim query-interval 250 msec load-interval 30 ip pim sparse-mode load-interval 30 ! Define HSRP default gateway with 250/800 msec hello/hold standby 1 ip 10.120.4.1 standby 1 timers msec 250 msec 800 ! Set preempt delay large enough to allow network to stabilize before HSRP ! switches back on power on or link recovery standby 1 preempt delay minimum 180 ! Enable HSRP authentication standby 1 authentication cisco123
Введение в Virtual Switching System Концепция Virtual Switch Domain Active Control Plane Standby Hot Virtual Switch Link Data Plane Switch 1 Switch 2
Архитектура Virtual Switching System Virtual Switch Link (VSL) Virtual Switch Link объединяет два физических коммутатора вместе – обеспечивает механизм синхронизации VS Header L2 Hdr L3 Hdr Data CRC Virtual Switch Link Virtual Switch Virtual Switch Active Standby
Архитектура Virtual Switching System Инициализация Процесс инициализации состоит из 3-х основных шагов: 1 Определение соединений VSL Link Bringup Протокол Link Management Protocol (LMP) используется для отслеживания и 2 отброса однонаправленных соединений, обмена параметрами Chassis ID и другой информацией между коммутаторами LMP LMP RRP RRP 3 Протокол Role Resolution Protocol (RRP) используется для определения совместимости оборудования и ПО для формирования VSL и определяет какой из коммутаторов будет активным с точки зрения шины управления
Архитектура Virtual Switching System VSLP Ping Новый механизм ping был имплементирован в VSS для проверки соединений VSL - VSLP Ping VSL VSLP Ping VSLP Ping VSLP Ping VSLP Ping Switch1 Switch2 VSLP Ping работает по-интерфейсно per-physical interface отображает COUNT, DESTINATION, SIZE, TIMEOUT … vss#ping vslp output interface tenGigabitEthernet 1/5/4 Type escape sequence to abort. Sending 5, 100-byte VSLP ping to peer-sup via output port 1/5/4, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms
Virtual Switching System Общая шина управления • Один активный супервизор с включенным функционалом inter-chassis Stateful Switchover (SSO) • Active супервизор обеспечивает работу функций control plane таких как протоколы (routing, EtherChannel, SNMP, telnet, etc.) и управление оборудованием (Online Insertion Removal, port management) • Active/Standby супервизоры синхронизируют состояния (boot-env, running-configuration, состояния протоколов линейных карт) CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards VSL CFC or DFC Line Cards SF RP PFC SF RP PFC Active Supervisor Standby HOT Supervisor CFC or DFC Line Cards SSO CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards Synchronization CFC or DFC Line Cards CFC or DFC Line Cards
Virtual Switching System Двойная активная шина коммутации • Активны обе шины коммутации • Супервизор Standby и все линейные карты активны и участвуют в коммутации VSS# show switch virtual redundancy My Switch Id = 1 Si Si Data Peer Switch Id = 2 Data Plane Plane <snip> Active Active Switch 1 Slot 5 Processor Information : ---------------------------------------------- - Current Software state = ACTIVE <snip> Fabric State = ACTIVE Control Plane State = ACTIVE Switch 2 Slot 5 Processor Information : ---------------------------------------------- - Current Software state = STANDBY HOT Switch2 (switchover target) Switch1 <snip> Fabric State = ACTIVE Control Plane State = STANDBY
Архитектура Virtual Switching System Multichassis EtherChannel (MEC) Соединения Etherchannel могут быть распределены между двумя физическими шасси Standalone VSS Поддерживаются протоколы LACP и PAGP и ручной режим ON-ON… Традиционный Etherchannel на одно Multichassis EtherChannel на 2 VSS- шасси шасси
Архитектура Virtual Switching System Путь сетевого трафика в случае сбоев • MEC или ECMP – основные механизмы восстановления после сбоя соединения/устройства Si Si Si Si Si Si Si Si SW1 SW2 SW1 SW2 SW1 SW2 Выход из строя шасси VSS Выход из строя соединения в ядро Выход из строя соединения на доступ
Архитектура Virtual Switching System Алгоритмы EtherChannel Hash для MEC Алгоритмы хэширования для Etherchannel модифицированны таким образом чтобы трафик всегда уходил через локальные интерфейсы VSS Синий трафик к Оранжевый трафик серверу будет к серверу будет отправлен через Link отправлен через Link 1 в соединении 2 в соединении MEC MEC… … Link 1 Link 2
Архитектура Virtual Switching System поддержка резервных супервизоров • Для чего требуются резервные супервизоры? • Сбой в работе любого из супервизоров приводит к остановке коммутации на линейных картах в рамках шасси – Si Si снижение полосы VSS на 50% • Отдельные устройства могут иметь только одно подключение к VSS по ряду причин (нерекомендуемый дизайн) – Сервисные модули/Сервера – Цена $$ • Выход из строя супервизора требует ручного вмешательства для восстановления работы шасси – Соединения не активны когда супервизор находится в режиме ROMMON – Непредсказуемое время восстановления – Ручной процесс установки и настройки в режим VSS нового супервизора установки нов
Аппаратная поддержка VSS Catalyst 6500 Модули супервизора  Супервизоры с поддержкой VSS Supervisor Engine 2T Supervisor Engine 720-10GE  Интерфейсы 10GE с поддержкой VSL  Новые микросхемы ASICs VS-S2T-10G/XL Поддержка полей для маркировки и пересылки трафика между шасси MAC address learning на двух шасси  VSS не поддерживается на VS-S720-10G-3C/XL Supervisor Engine 720 или других старых супервизорах
Аппаратная поддержка VSS Catalyst 4500-X
Виртуализация
Что такое виртуализация сети?  Поддержка одной физической сетью нескольких виртуальных  С точки зрения пользователя – это подключение к выделенной сети с независимыми политиками безопасности, маршрутизации, качества обслуживания и пр.  Обеспечение иерархии и виртуализации устройств, путей и сервисов  Оптимальное использование существующих ресурсов сети Внутренние Дочерняя Сеть подразделения компания гостевого доступа
Дизайн сети предприятия
Обзор MPLS VPN  Позволяет поставщику услуг предоставлять сервис для подключения сетей разных клиентов  Трафик от клиентов инкапсулируется в MPLS и доставляется на устройства PE/CE  У каждого клиента может быть свое адресное пространство, пересекающееся с другими клиентами
Изоляция путей (Path Isolation)  Виртуализация устройства  Виртуализация контрольной шины  Виртуализация шины данных  Виртуализация сервисов  Виртуализация каналов данных  Hop-by-Hop (сквозной VRF-Lite)  Multi-Hop (VRF-Lite + GRE, MPLS VPN)
Эволюция VRF – Easy Virtual Network  VRF родился от MPLS VPN  Применяется без MPLS в VRF-Lite  EVN добавляет зрелости VRF
Обзор Easy Virtual Network  Транки в ЛВС  упрощение настройки  автоматическая настройка VRF на транке  Репликация маршрутов  Общие сервисы на базе IGP протоколов  Не требуется BGP  Снижение сложности при поиске неисправностей  routing-context, traceroute, debug condition, cisco-vrf- mib Доступно на ASR1K, Cat6500 и Cat4500 сейчас
Easy Virtual Network – как это работает? Создайте L2 VLANs на уровне доступа и отправьте его через транк на первый хоп L3 Опишите VRFs на каждом L3 устройстве. Создайте связку VLAN – VRF. Настройте IGP протокол для каждого VRF на всех устройствах L3 Настройте VNET транк на каждом физическом интерфейсе ядра. Используется тот же самый тэг 802.1Q При добавлении новых VRF не требуется добавление подинтерфейсов. Это автоматически производится VNET транком
Совместимость EVN и VRF VRF-Lite Subinterface Config VNET Trunk Config interface TenGigabitEthernet1/1 interface TenGigabitEthernet1/1 ip address 10.122.5.1 255.255.255.252 vnet trunk ip pim query-interval 1 ip address 10.122.5.2 255.255.255.252 ip pim sparse-mode ip pim query-interval 1 ip pim sparse-mode interface TenGigabitEthernet1/1.101 description Subinterface for Red VRF encapsulation dot1Q 101 Оба маршрутизатора имеют ip vrf forwarding red настроенные VRF ip address 10.122.5.1 255.255.255.252 ip pim query-interval 1 На EVN маршрутизаторе VNET тэги ip pim sparse-mode Global Config: interface TenGigabitEthernet1/1.102 vrf definition red description Subinterface for Green VRF vnet tag 101 encapsulation dot1Q 102 ip vrf forwarding green vrf definition green ip address 10.122.5.1 255.255.255.252 vnet tag 102 ip pim query-interval 1 ip pim sparse-mode
Интеграция VRF с L2 Edge vrf definition red vnet tag 101 vrf definition green vnet tag 102 vrf definition blue vnet tag 103 interface g1/0 vnet trunk interface vlan 21 vrf forwarding red interface vlan 22 vrf forwarding green interface vlan 23 vrf forwarding blue interface vlan 31 vrf forwarding red interface vlan 32 vrf forwarding green interface vlan 33 vrf forwarding blue
EVN - Show Derived-config show run show derived-config Router# show run Router# show derived-config . . . . . . interface Ethernet1/0 interface Ethernet1/0 vnet trunk vnet trunk ip address 10.122.6.11 255.255.255.0 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode ip pim sparse-mode . . . ! interface Ethernet1/0.101 description Subinterface for VNET red vrf forwarding red encapsulation dot1Q 101 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode ! interface Ethernet1/0.102 description Subinterface for VNET green vrf forwarding green encapsulation dot1Q 102 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode . . .
VNET Trunk – настройка индивидуальных параметров Отдельные специфические настройки интерфеса можно менять для отдельного VRF VRF-Lite Subinterface Config VNET Trunk Config interface TenGigabitEthernet1/1 interface TenGigabitEthernet1/1 ip address 10.122.5.1 255.255.255.252 vnet trunk ip ospf cost 20 ip address 10.122.5.2 255.255.255.252 ip pim sparse-mode ip ospf cost 20 ip pim sparse-mode interface TenGigabitEthernet1/1.101 vnet name green description Subinterface for Red VRF no ip pim sparse-mode encapsulation dot1Q 101 ip ospf cost 30 ip vrf forwarding red ip address 10.122.5.1 255.255.255.252 ip ospf cost 20 Global Config: ip pim sparse-mode vrf definition red vnet tag 101 interface TenGigabitEthernet1/1.102 description Subinterface for Green VRF vrf definition green encapsulation dot1Q 102 vnet tag 102 ip vrf forwarding green ip address 10.122.5.1 255.255.255.252 ip ospf cost 30
VRF List
Анонсирование сервисов Сервисы которые не хочется дублировать:  Internet шлюз  Firewall и NAT - DMZ  DNS  DHCP Требуется IP связность между VRF Обычно достигается при помощи возможностей Extranet или Fusion Router/FW Варианты анонсирования сервисов Fusion Router/FW – Internet шлюз, NAT/DMZ Extranet – DNS, DHCP
Анонсирование сервисов - конфигурация До: После: ip vrf SHARED vrf definition SHARED rd 3:3 address-family ipv4 route-target export 3:3 route-replicate from vrf RED unicast all route-map red-map route-target import 1:1 route-replicate from vrf GREEN unicast all route-map grn-map route-target import 2:2 ! ip vrf RED rd 1:1 vrf definition RED address-family ipv4 route-target export 1:1 route-target import 3:3 route-replicate from vrf SHARED unicast all ! ip vrf GREEN rd 2:2 vrf definition GREEN route-target export 2:2 address-family ipv4 route-target import 3:3 route-replicate from vrf SHARED unicast all ! router bgp 65001 bgp log-neighbor-changes ! address-family ipv4 vrf SHARED redistribute ospf 3 Преимущества Route-Replication: no auto-summary no synchronization • не требуется BGP exit-address-family ! • не требуется Route Distinguisher address-family ipv4 vrf RED redistribute ospf 1 • не требуется Route Targets no auto-summary no synchronization exit-address-family • не требуется Import/Export ! address-family ipv4 vrf GREEN • простое внедрение redistribute ospf 2 no auto-summary • поддерживаются Unicast/Mcast no synchronization exit-address-family !
Внедрение QoS
EVN – поддержка на оборудовании Platform Release FCS Date ASR1K IOS XE 3.2S Nov 2010 Cat6K – Sup2T 15.0(1)SY1 March 2012 15.1(1)SG Cat4K April 2012 IOS XE 3.3.0SG Cat6K – Sup720* Roadmap Future Cat3K-X Roadmap Future ISR-G2 Roadmap Future Nexus 7K Roadmap Future Cat4K Release/Platforms: 15.1(1)SG:Sup6-E, Sup6L-E, 4900M, 4948E, 4940E-F IOS XE 3.3.0SG: Sup7-E, Sup7L-E, 4500-X * Sup720 не поддерживает VNET Trunk “Many of the products and features described herein remain in varying stages of development and will be offered on a when-and-if-available basis. This roadmap is subject to change at the sole discretion of Cisco, and Cisco will have no liability for delay in the delivery or failure to deliver any of the products or features set forth in this document.”
Инфраструктурные решения для IP телефонии
Сеть кампуса для UC Интеграция инфраструктуры, QoS и доступность  Доступ Авт. обнаружение телефонов Access Питание Inline power QoS: приоритезация, граница доверия и классификация Si Si Si Si Si Si Быстрая сходимость Distribution  Распределение Высокая доступность, отказоустойчивость, Layer 3 Layer 3 быстрая сходимость Core Equal Cost Equal Cost Применение политик Si Si Links Links QoS: приоритезация, граница доверия и классификация Distribution Si Si  Ядро Si Si Si Si Высокая доступность, отказоустойчивость, быстрая сходимость QoS: приоритезация, Access граница доверия WAN Data Center Internet
Интеграция инфраструктур Расширение границы сети Обнаружение IP телефона, подача питания Обмен CDP между телефоном и коммутатором Назначение IP телефона в корректный VLAN Запрос DHCP и регистрация на Call Manager Телефон содержит 3-х портовый коммутатор, который настраивается при участии коммутатора доступа и CallManager’а 1. Подача питания/определение мощности 2. Настройка VLAN 3. Взаимодействие с 802.1x 4. Настройка QoS 5. DHCP и регистрация на CallManager
Интеграция инфраструктур: первый шаг Согласование требований питания  Устройства Cisco prestandard вначале получают 6.3 Вт и далее через CDP согласовывается требуемая мощность  Устройства 802.3af вначале получают 12.95 Вт если PSE не может определить класс устройства Минимальный уровень Максимальный уровень Класс Исп. выдаваемой мощности потребляемой мощности на на PSE устройстве 0 Default 15.4W 0.44 to 12.95W 1 Optional 4.0W 0.44 to 3.84W 2 Optional 7.0W 3.84 to 6.49W 3 Optional 15.4W 6.49 to 12.95W Reserved for Reserved for Future Use: a Class 4 4 Future Treat as Class 0 Signature Cannot Be Provided by a Use Compliant Powered Device
Расширенное согласование мощности 802.3af + двунаправленный обмен CDP (Cisco 7970) PSE—источник Подключение PD питания Обнаружение устр-ва IEEE PD Cisco 6500,4500, 3750, 3560 Классификация PD Подача питания Телефон передаѐт по CDP параметры потреб. мощности и список поддерживаемых режимов PD—устройство Коммутатор отправляет CDP ответ со своими параметрами Cisco 7970 В зависимости от возможностей согласовывается финальная мощность  Обмен CDP позволяет определить точную потребляемую мощность после начального включения
Соображения дизайна для PoE Управление питанием  Коммутатор управляет питанием в зависимости от требований PD, а не реального потребления  Потребляемая устройством мощность не является постоянной  7960G требует 7Вт при звонке на максимальной громкости и 5Вт когда трубка снята или положена  Требуется понимание поведения устройства PoE  Применяйте статические конфигурации с осторожностью Динамическое выделение: power inline auto max 7200 Статическое выделение: power inline static max 7200  Используйте онлайн-калькулятор для расчѐта http://www.cisco.com/go/powercalculator
Интеграция инфраструктур: следующие шаги Конфигурация VLAN, QoS и 802.1x Phone VLAN = 110 PC VLAN = 10 (VVID) (PVID) Инкапсуляция Native VLAN (PVID) не 802.1Q с 802.1p требует изменений в CoS Уровня 2 конфигурации  Во время начального обмена CDP телефон получает номер голосового Voice VLAN ID (VVID)  Через поля CDP TLV телефон получает настройки QoS  Доступны LLDP/LLDP-MED …  Коммутатор может пропускать стадию 802.1x аутентификации для VVID если обнаруживает IP телефон Cisco
Качество обслуживания
Лучшие практики—Качество обслуживания  Требует сквозного внедрения. Разные уровни выполняют разную, но End-to-End QoS одинаково важную роль.  Обеспечивает защиту Si Si Si Si Si Si критически важных приложений от влияния перегрузки на соединениях и Layer 3 Equal Layer 3 Equal задержек в очередях Cost Links Cost Links Si Si  Узлы агрегации должны обеспечивать применение политик QoS Si Si Si Si Si Si  Необходима поддержка очередей с несколькими критериями доступа и обслуживания WAN Data Center Internet
Лучшие практики—Качество обслуживания  Требует сквозного внедрения. Разные уровни выполняют разную, но End-to-End QoS одинаково важную роль.  Обеспечивает защиту Si Si Si Si Si Si критически важных приложений от влияния перегрузки на соединениях и Layer 3 Equal Layer 3 Equal задержек в очередях Cost Links Cost Links Si Si  Узлы агрегации должны обеспечивать применение политик QoS Si Si Si Si Si Si  Необходима поддержка очередей с несколькими критериями доступа и обслуживания WAN Data Center Internet
Переполнение очереди передачи 10/100m Queued 128k Uplink WAN Router 100 Mбит/с в 128 Кб/с —Пакеты приходят быстрее чем могут выйти Пакеты помещаются в очередь до отправки с медленного интерфейса 1 Gig Link Queued 100 Meg Link Distribution Switch Access Switch 1 Гб/с в 100 Мбит/с —Пакеты приходят быстрее чем могут выйти Пакеты помещаются в очередь до отправки с медленного интерфейса
Auto QoS VoIP—жизнь проще … Настройки QoS для VoIP на коммутаторах кампуса Access-Switch(config-if)#auto qos voip ? cisco-phone Trust the QoS marking of Cisco IP Phone cisco-softphone Trust the QoS marking of Cisco IP SoftPhone trust Trust the DSCP/CoS marking Access-Switch(config-if)#auto qos voip cisco-phone Access-Switch(config-if)#exit ! interface FastEthernet1/0/21 srr-queue bandwidth share 10 10 60 20 srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phone mls qos trust cos auto qos voip cisco-phone end
Безопасность
Рекомендации—Безопасность Кампуса  Будем говорить про …! Набор средств безопасности Catalyst! Dynamic port security, DHCP snooping, End-to-End Security Dynamic ARP inspection, IP source guard  Вещи про которые вы знаете —мы Si Si Si Si Si Si рассматривать не будем… Используйте SSH вместо Telnet Включайте AAA и ролевой доступ (RADIUS/TACACS+) для CLI на всех устройствах Включайте SYSLOG на сервер. Сохраняйте и архивируйте логи. Si Si Используйте SNMPv3 Выключайте ненужные сервисы: No service tcp-small-servers No service udp-small-servers Используйте FTP или SFTP (SSH FTP) для Si Si Si Si управления имиджами ПО и Si Si конфигурационными файлами—избегайте TFTP Устанавливайте VTY access-lists Включайте механизмы защиты шины управления (EIGRP, OSPF, BGP, HSRP, VTP, etc.) WAN Internet Фильтруйте RFC2827
BPDU Guard Предотвращение петель через WLAN (Windows XP Bridging)  Проблема: Точки доступа WLAN не STP Loop пересылают BPDUs Formed BPDU Guard Несколько машин Disables Port Windows XP могут создать петлю создать петлю в проводном VLAN через WLAN BPDU Generated  Решение: На портах коммутаторов к которым подключены BPDU рабочие станции можно Win XP Discarded Win XP настроить BPDU Guard Bridging Bridging Enabled Enabled
Защита Уровня 2 от атак прослушивания Борьба с атаками основанных на манипуляциях с MAC-адресами 00:0e:00:aa:aa:aa Только 3 MAC 00:0e:00:bb:bb:bb адреса разрешены на 250,000 MAC порту: Shutdown в секунду Проблема Решение: Средство Script Kiddie позволяет Port Security ограничивает кол-во MAC- атакующему переполнить CAM адресов на порту коммутатора, таблицу коммутатора; превратить блокирует порт и посылает SNMP trap VLAN в ХАБ и получать все switchport port-security пакеты switchport port-security maximum 10 Размер CAM таблицы switchport port-security violation restrict switchport port-security aging time 2 коммутатора ограничен switchport port-security aging type inactivity
DHCP Snooping Защита от нелегитимных серверов DHCP 1 DHCP Server 1000 DHCP запросов на 2 сервер DHCP  DHCP запросы (discover) и ответы (offer) отслеживаются  Снижение скорости запросов на доверенных интерфейсах для защиты от DoS атак на DHCP сервер  Запрет ответов (offers) с недоверенных интерфейсов; остановка подозрительных DHCP серверов
Защита Уровня 2 от атак прослушивания Защита ARP  Dynamic ARP inspection защищает от атак и Gateway = 10.1.1.1 использованием ARP (ettercap, Si MAC=A dsnif, arpspoof)  Использует таблицу DHCP snooping  Отслеживает MAC и IP из Gratuitous ARP транзакций DHCP 10.1.1.50=MAC_B  Ограничивает запросы ARP с Gratuitous ARP клиентских портов, 10.1.1.1=MAC_B останавливает сканирование портов  Отбрасывает bogus gratuitous ARPs; блокирует ARP poisoning/MIM атаки Attacker = 10.1.1.25 Victim = 10.1.1.50 MAC=B MAC=C
IP Source Guard Защита IP адресов от замены/подделки  IP source guard защищает от подделки Gateway = 10.1.1.1 IP адресов MAC=A Si  Используется таблица DHCP snooping  Отслеживается ассоциация IP адреса и порта  Динамически Hey, I’m 10.1.1.50 ! программируется ACL на порту для сброса трафика исходящего от IP адреса присвоенного не через DHCP Attacker = 10.1.1.25 Victim = 10.1.1.50
Интегрированные функции безопасности Cisco IOS обеспечивает ipdhcp snooping ipdhcp snooping vlan 2-10 IP Source Guard iparp inspection vlan 2-10 Dynamic ARP Inspection ! interface fa3/1 DHCP Snooping switchport port-security switchport port-security max 3 Port Security switchport port-security violation restrict  Port security предотвращает атаку switchport port-security aging time 2 MAC flooding switchport port-security aging type  DHCP snooping предотвращает inactivity клиентские атаки на коммутатор и ip arp inspection limit rate 100 сервер ip dhcp snooping limit rate 100  Dynamic ARP Inspection добавляет ip verify source vlan dhcp-snooping безопасности к ARP используя таблицу DHCP snooping !  IP source guard защищает Interface gigabit1/1 IP адрес источника от spoofing’а ipdhcp snooping trust используя таблицу DHCP snooping iparp inspection trust
Архитектура
Иерархический кампус Доступ Si Si Si Si Si Si Распре- деление Ядро Si Si Распре- Si Si Si Si Si Si деление Доступ WAN Data Center Internet
Соединения L3 на уровне распределения Доступ Уровень 2— нет VLAN’ов распределѐнных по уровню доступа  Балансировка нагрузки через отстроенный CEF  Проверка настроек CatOS/IOS Si Si EtherChannel для балансировки Ядро  Суммаризация маршрутов в сторону ядра  Ограничение избыточных/резерв. Layer 3 IGP соединений Распре-  Настройка STP Root и HSRP primary Si Si или GLBP для балансировки нагрузки на Point-to- деление uplink’ах Point  Устанавливаем trunk mode on/no- Link negotiate  Выключаем EtherChannel, если не используем  На уровне доступа: Выключить trunking VLAN 20 Data VLAN 40 Data Доступ Выключить EtherChannel 10.1.20.0/24 10.1.40.0/24 Включить PortFast VLAN 120 Voice VLAN 140 Voice  RootGuard или BPDU-Guard 10.1.120.0/24 10.1.140.0/24  Используем функции безопасности
Соединения L2 на уровне распределения Доступ Уровень 2— часть VLAN’ов распределены по уровню доступа  Балансировка нагрузки через отстроенный CEF  Проверка настроек CatOS/IOS EtherChannel для балансировки Si Si Ядро  Суммаризация маршрутов в сторону ядра  Ограничение избыточных/резерв. Layer 2 IGP соединений  Настройка STP Root и HSRP primary Распре- Si Si или GLBP и STP port cost для Trunk деление балансировки на uplink’ах  Устанавливаем trunk mode on/no- negotiate  Выключаем EtherChannel, если не используем  RootGuard на downlink’ах  LoopGuard на uplink’ах VLAN 20 Data VLAN 40 Data Доступ  На уровне доступа: 10.1.20.0/24 10.1.40.0/24 Выключить trunking VLAN 120 Voice VLAN 140 Voice Выключить EtherChannel 10.1.120.0/24 10.1.140.0/24 Включить PortFast VLAN 250 WLAN  RootGuard или BPDU-Guard 10.1.250.0/24  Используем функции безопасности
Маршрутизируемый доступ и VSS Развитие существующего дизайна Si Si Si Si Ядро VSS & vPC Распре- Si Layer 3 Si New Concept деление P-to-P Link VLAN 40 Data VLAN 20 Data Доступ VLAN 20 Data 10.1.20.0/24 VLAN 40 Data 10.1.20.0/24 10.1.40.0/24 10.1.40.0/24 VLAN 120 Voice VLAN 120 Voice VLAN 140 Voice 10.1.120.0/24 VLAN 140 Voice 10.1.120.0/24 10.1.140.0/24 10.1.140.0/24 VLAN 250 WLAN 10.1.250.0/24
SmartPorts — готовая конфигурация Access-Switch#show parser macro brief default global : cisco-global default interface: cisco-desktop default interface: cisco-phone Si Si default interface: cisco-switch default interface: cisco-router default interface: cisco-wireless Access-Switch(config-if)#$ macro apply cisco-phone $access_vlan 100 $voice_vlan 10 Access-Switch#show run int fa1/0/19 Si Si ! interface FastEthernet1/0/19 switchport access vlan 100 switchport mode access switchport voice vlan 10 switchport port-security maximum 2 switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity srr-queue bandwidth share 10 10 60 20 srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phone mls qos trust cos macro description cisco-phone auto qosvoipcisco-phone spanning-tree portfast spanning-tree bpduguard enable end
ИТОГО   Иерархия—каждый уровень Offers hierarchy—each layer has specific role свою роль имеет  Modular topology— Доступ  Модульность— building blocks  строительные блоки Easy to grow, understand, and troubleshoot   Легко наращивать, Creates small fault domains— понимать, устранять Clear demarcations and isolation Si Si Si Si Si Si Распре-  неисправности Promotes load balancing деление and redundancy   Создаѐм независимые Promotes deterministic traffic patterns чѐткие границы и домены—  изоляция Incorporates balance of both Layer 2 and Layer 3 Layer 3 Layer 3  Обеспечиваем technology, leveraging Equal Cost Equal Cost Ядро the strength of both Si Si балансировку нагрузки и Links Links  Utilizes Layer 3 routing отказоустойчивость for load balancing, fast convergence, scalability, andОпределѐнность пути для  control трафика Распре- Si Si Si Si  Использование баланса и Si Si деление преимуществ технологий уровня 2 и 3  Технологии маршрутизации Доступ для балансировки нагрузки, WAN Data Center Internet быстрой сходимости и масштабируемости
Полезные материалы—Design Zone  High Availability Campus Design Guide  High Availability Campus Convergence Analysis  High Availability Campus Design Guide— Routed Access EIGRP and OSPF  http://www.cisco.com/go/srnd
Вопросы и Ответы
Спасибо! Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/quest Ваше мнение очень важно для нас!

Recommended

Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Част...
Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Част... Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Част...
Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Част...Cisco Russia
 
Использование технологии виртуализации в локальных вычислительных сетях.
Использование технологии виртуализации в локальных вычислительных сетях.Использование технологии виртуализации в локальных вычислительных сетях.
Использование технологии виртуализации в локальных вычислительных сетях.Cisco Russia
 
Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возмо...Cisco Russia
 
Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Обеспечение отказоустойчивости в сетях Carrier Ethernet. Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Обеспечение отказоустойчивости в сетях Carrier Ethernet. Cisco Russia
 
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности. Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.Cisco Russia
 
Новейшие разработки в области технологий L2VPN.
Новейшие разработки в области технологий L2VPN.Новейшие разработки в области технологий L2VPN.
Новейшие разработки в области технологий L2VPN.Cisco Russia
 
Новое поколение сервисных модулей для ЦОД. Модуль анализа сетевого трафика дл...
Новое поколение сервисных модулей для ЦОД. Модуль анализа сетевого трафика дл...Новое поколение сервисных модулей для ЦОД. Модуль анализа сетевого трафика дл...
Новое поколение сервисных модулей для ЦОД. Модуль анализа сетевого трафика дл...Cisco Russia
 
компьютерные сети. архитектура и построение современных сетей
компьютерные сети. архитектура и построение современных сетейкомпьютерные сети. архитектура и построение современных сетей
компьютерные сети. архитектура и построение современных сетейMasha Rudnichenko
 

Recommended

Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Част...
Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Част... Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Част...
Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Част...Cisco Russia
 
Использование технологии виртуализации в локальных вычислительных сетях.
Использование технологии виртуализации в локальных вычислительных сетях.Использование технологии виртуализации в локальных вычислительных сетях.
Использование технологии виртуализации в локальных вычислительных сетях.Cisco Russia
 
Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возмо...Cisco Russia
 
Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Обеспечение отказоустойчивости в сетях Carrier Ethernet. Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Обеспечение отказоустойчивости в сетях Carrier Ethernet. Cisco Russia
 
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности. Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.Cisco Russia
 
Новейшие разработки в области технологий L2VPN.
Новейшие разработки в области технологий L2VPN.Новейшие разработки в области технологий L2VPN.
Новейшие разработки в области технологий L2VPN.Cisco Russia
 
Новое поколение сервисных модулей для ЦОД. Модуль анализа сетевого трафика дл...
Новое поколение сервисных модулей для ЦОД. Модуль анализа сетевого трафика дл...Новое поколение сервисных модулей для ЦОД. Модуль анализа сетевого трафика дл...
Новое поколение сервисных модулей для ЦОД. Модуль анализа сетевого трафика дл...Cisco Russia
 
компьютерные сети. архитектура и построение современных сетей
компьютерные сети. архитектура и построение современных сетейкомпьютерные сети. архитектура и построение современных сетей
компьютерные сети. архитектура и построение современных сетейMasha Rudnichenko
 
Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Cisco Russia
 
Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения. Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения. Cisco Russia
 
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Cisco Russia
 
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДПринципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДCisco Russia
 
Juniper QFabric
Juniper QFabricJuniper QFabric
Juniper QFabricSergii Liventsev
 
Решения Dell для обеспечения непрерывности бизнеса
Решения Dell для обеспечения непрерывности бизнесаРешения Dell для обеспечения непрерывности бизнеса
Решения Dell для обеспечения непрерывности бизнесаDellTeam
 
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco Cisco Russia
 
Juniper Wi-Fi
Juniper Wi-FiJuniper Wi-Fi
Juniper Wi-FiSergii Liventsev
 
Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.Cisco Russia
 
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...Cisco Russia
 
Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Cisco Russia
 
Коммутаторы Cisco Catalyst 2К-4К что нового?
Коммутаторы Cisco Catalyst 2К-4К что нового? Коммутаторы Cisco Catalyst 2К-4К что нового?
Коммутаторы Cisco Catalyst 2К-4К что нового? Cisco Russia
 
Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи. Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи. Cisco Russia
 
Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность. Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность. Cisco Russia
 
Интеллектуальный уровень доступа как граница кампусной сети.
Интеллектуальный уровень доступа как граница кампусной сети. Интеллектуальный уровень доступа как граница кампусной сети.
Интеллектуальный уровень доступа как граница кампусной сети. Cisco Russia
 
Использование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видеоИспользование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видеоCisco Russia
 
Современный ЦОД с точки зрения ИТ-архитектора.
Современный ЦОД с точки зрения ИТ-архитектора. Современный ЦОД с точки зрения ИТ-архитектора.
Современный ЦОД с точки зрения ИТ-архитектора. Cisco Russia
 
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения. ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения. Cisco Russia
 
Анонс новых высокопроизводительных точек доступа семейства 3600.
Анонс новых высокопроизводительных точек доступа семейства 3600. Анонс новых высокопроизводительных точек доступа семейства 3600.
Анонс новых высокопроизводительных точек доступа семейства 3600. Cisco Russia
 
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-S
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-SCELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-S
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-SCisco Russia
 
Автоматизация и программируемость корпоративных сетей Cisco
Автоматизация и программируемость корпоративных сетей CiscoАвтоматизация и программируемость корпоративных сетей Cisco
Автоматизация и программируемость корпоративных сетей CiscoCisco Russia
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Cisco Russia
 

More Related Content

What's hot

Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Cisco Russia
 
Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения. Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения. Cisco Russia
 
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Cisco Russia
 
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДПринципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДCisco Russia
 
Решения Dell для обеспечения непрерывности бизнеса
Решения Dell для обеспечения непрерывности бизнесаРешения Dell для обеспечения непрерывности бизнеса
Решения Dell для обеспечения непрерывности бизнесаDellTeam
 
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco Cisco Russia
 
Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.Cisco Russia
 
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...Cisco Russia
 
Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Cisco Russia
 
Коммутаторы Cisco Catalyst 2К-4К что нового?
Коммутаторы Cisco Catalyst 2К-4К что нового? Коммутаторы Cisco Catalyst 2К-4К что нового?
Коммутаторы Cisco Catalyst 2К-4К что нового? Cisco Russia
 
Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи. Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи. Cisco Russia
 
Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность. Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность. Cisco Russia
 
Интеллектуальный уровень доступа как граница кампусной сети.
Интеллектуальный уровень доступа как граница кампусной сети. Интеллектуальный уровень доступа как граница кампусной сети.
Интеллектуальный уровень доступа как граница кампусной сети. Cisco Russia
 
Использование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видеоИспользование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видеоCisco Russia
 
Современный ЦОД с точки зрения ИТ-архитектора.
Современный ЦОД с точки зрения ИТ-архитектора. Современный ЦОД с точки зрения ИТ-архитектора.
Современный ЦОД с точки зрения ИТ-архитектора. Cisco Russia
 
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения. ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения. Cisco Russia
 
Анонс новых высокопроизводительных точек доступа семейства 3600.
Анонс новых высокопроизводительных точек доступа семейства 3600. Анонс новых высокопроизводительных точек доступа семейства 3600.
Анонс новых высокопроизводительных точек доступа семейства 3600. Cisco Russia
 
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-S
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-SCELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-S
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-SCisco Russia
 

What's hot (20)

Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.
 
Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения. Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения.
 
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
 
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДПринципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
 
Juniper QFabric
Juniper QFabricJuniper QFabric
Juniper QFabric
 
Решения Dell для обеспечения непрерывности бизнеса
Решения Dell для обеспечения непрерывности бизнесаРешения Dell для обеспечения непрерывности бизнеса
Решения Dell для обеспечения непрерывности бизнеса
 
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco
Построение защищенной сети для ООО «Росфорт» на базе технологий Cisco
 
Juniper Wi-Fi
Juniper Wi-FiJuniper Wi-Fi
Juniper Wi-Fi
 
Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.
 
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...
Обзор и архитектура коммутаторов уровня доступа Catalyst 3750-X, 3560-X и 296...
 
Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД.
 
Коммутаторы Cisco Catalyst 2К-4К что нового?
Коммутаторы Cisco Catalyst 2К-4К что нового? Коммутаторы Cisco Catalyst 2К-4К что нового?
Коммутаторы Cisco Catalyst 2К-4К что нового?
 
Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи. Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи.
 
Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность. Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность.
 
Интеллектуальный уровень доступа как граница кампусной сети.
Интеллектуальный уровень доступа как граница кампусной сети. Интеллектуальный уровень доступа как граница кампусной сети.
Интеллектуальный уровень доступа как граница кампусной сети.
 
Использование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видеоИспользование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видео
 
Современный ЦОД с точки зрения ИТ-архитектора.
Современный ЦОД с точки зрения ИТ-архитектора. Современный ЦОД с точки зрения ИТ-архитектора.
Современный ЦОД с точки зрения ИТ-архитектора.
 
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения. ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.
 
Анонс новых высокопроизводительных точек доступа семейства 3600.
Анонс новых высокопроизводительных точек доступа семейства 3600. Анонс новых высокопроизводительных точек доступа семейства 3600.
Анонс новых высокопроизводительных точек доступа семейства 3600.
 
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-S
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-SCELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-S
CELC - Обзор коммутаторов Catalyst 3750-X, 3560-X и 2960-S
 

Viewers also liked

Автоматизация и программируемость корпоративных сетей Cisco
Автоматизация и программируемость корпоративных сетей CiscoАвтоматизация и программируемость корпоративных сетей Cisco
Автоматизация и программируемость корпоративных сетей CiscoCisco Russia
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Cisco Russia
 
Normalization Cross Correlation Value of Rotational Attack on Digital Image W...
Normalization Cross Correlation Value of Rotational Attack on Digital Image W...Normalization Cross Correlation Value of Rotational Attack on Digital Image W...
Normalization Cross Correlation Value of Rotational Attack on Digital Image W...Komal Goyal
 
Пять трендов на пять лет. Или где тумбочка с деньгами у интернет-провайдера
Пять трендов на пять лет. Или где тумбочка с деньгами у интернет-провайдераПять трендов на пять лет. Или где тумбочка с деньгами у интернет-провайдера
Пять трендов на пять лет. Или где тумбочка с деньгами у интернет-провайдераМихаил Климарёв
 
Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях
Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетяхОтказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях
Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетяхCisco Russia
 
Digital image protection using adaptive watermarking techniques
Digital image protection using adaptive watermarking techniquesDigital image protection using adaptive watermarking techniques
Digital image protection using adaptive watermarking techniquesanandk10
 
Оптимизация дизайна сети
Оптимизация дизайна сетиОптимизация дизайна сети
Оптимизация дизайна сетиCisco Russia
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДВарианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДCisco Russia
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеCisco Russia
 
Развитие решений по коммутации в корпоративных сетях Cisco
Развитие решений по коммутации в корпоративных сетях CiscoРазвитие решений по коммутации в корпоративных сетях Cisco
Развитие решений по коммутации в корпоративных сетях CiscoCisco Russia
 
Дизайн отказоустойчивых локальных сетей
Дизайн отказоустойчивых локальных сетейДизайн отказоустойчивых локальных сетей
Дизайн отказоустойчивых локальных сетейCisco Russia
 
Сравнение стандартов 802.11n и 802.11ac
Сравнение стандартов 802.11n и 802.11acСравнение стандартов 802.11n и 802.11ac
Сравнение стандартов 802.11n и 802.11acCisco Russia
 
Cisco switching technical
Cisco switching technicalCisco switching technical
Cisco switching technicalImranD1
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейCisco Russia
 
Интернет вещей. Обзор технологии и примеры решений.
Интернет вещей. Обзор технологии и примеры решений. Интернет вещей. Обзор технологии и примеры решений.
Интернет вещей. Обзор технологии и примеры решений. Cisco Russia
 
Стандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПСтандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПCisco Russia
 
Ip Networking Over Satelite Course Sampler
Ip Networking Over Satelite Course SamplerIp Networking Over Satelite Course Sampler
Ip Networking Over Satelite Course SamplerJim Jenkins
 
Layer 1 Encryption in WDM Transport Systems
Layer 1 Encryption in WDM Transport SystemsLayer 1 Encryption in WDM Transport Systems
Layer 1 Encryption in WDM Transport SystemsADVA
 
Сети для самых маленьких. Часть восьмая. BGP и IP SLA
Сети для самых маленьких. Часть восьмая. BGP и IP SLAСети для самых маленьких. Часть восьмая. BGP и IP SLA
Сети для самых маленьких. Часть восьмая. BGP и IP SLANatasha Samoylenko
 
Designing Secure Cisco Data Centers
Designing Secure Cisco Data CentersDesigning Secure Cisco Data Centers
Designing Secure Cisco Data CentersCisco Russia
 

Viewers also liked (20)

Автоматизация и программируемость корпоративных сетей Cisco
Автоматизация и программируемость корпоративных сетей CiscoАвтоматизация и программируемость корпоративных сетей Cisco
Автоматизация и программируемость корпоративных сетей Cisco
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2
 
Normalization Cross Correlation Value of Rotational Attack on Digital Image W...
Normalization Cross Correlation Value of Rotational Attack on Digital Image W...Normalization Cross Correlation Value of Rotational Attack on Digital Image W...
Normalization Cross Correlation Value of Rotational Attack on Digital Image W...
 
Пять трендов на пять лет. Или где тумбочка с деньгами у интернет-провайдера
Пять трендов на пять лет. Или где тумбочка с деньгами у интернет-провайдераПять трендов на пять лет. Или где тумбочка с деньгами у интернет-провайдера
Пять трендов на пять лет. Или где тумбочка с деньгами у интернет-провайдера
 
Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях
Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетяхОтказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях
Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях
 
Digital image protection using adaptive watermarking techniques
Digital image protection using adaptive watermarking techniquesDigital image protection using adaptive watermarking techniques
Digital image protection using adaptive watermarking techniques
 
Оптимизация дизайна сети
Оптимизация дизайна сетиОптимизация дизайна сети
Оптимизация дизайна сети
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДВарианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОД
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
 
Развитие решений по коммутации в корпоративных сетях Cisco
Развитие решений по коммутации в корпоративных сетях CiscoРазвитие решений по коммутации в корпоративных сетях Cisco
Развитие решений по коммутации в корпоративных сетях Cisco
 
Дизайн отказоустойчивых локальных сетей
Дизайн отказоустойчивых локальных сетейДизайн отказоустойчивых локальных сетей
Дизайн отказоустойчивых локальных сетей
 
Сравнение стандартов 802.11n и 802.11ac
Сравнение стандартов 802.11n и 802.11acСравнение стандартов 802.11n и 802.11ac
Сравнение стандартов 802.11n и 802.11ac
 
Cisco switching technical
Cisco switching technicalCisco switching technical
Cisco switching technical
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалей
 
Интернет вещей. Обзор технологии и примеры решений.
Интернет вещей. Обзор технологии и примеры решений. Интернет вещей. Обзор технологии и примеры решений.
Интернет вещей. Обзор технологии и примеры решений.
 
Стандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПСтандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТП
 
Ip Networking Over Satelite Course Sampler
Ip Networking Over Satelite Course SamplerIp Networking Over Satelite Course Sampler
Ip Networking Over Satelite Course Sampler
 
Layer 1 Encryption in WDM Transport Systems
Layer 1 Encryption in WDM Transport SystemsLayer 1 Encryption in WDM Transport Systems
Layer 1 Encryption in WDM Transport Systems
 
Сети для самых маленьких. Часть восьмая. BGP и IP SLA
Сети для самых маленьких. Часть восьмая. BGP и IP SLAСети для самых маленьких. Часть восьмая. BGP и IP SLA
Сети для самых маленьких. Часть восьмая. BGP и IP SLA
 
Designing Secure Cisco Data Centers
Designing Secure Cisco Data CentersDesigning Secure Cisco Data Centers
Designing Secure Cisco Data Centers
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 2.

  • 1. Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 2. Станислав Рыпалов, CCIE R&S/Security #12561 Системный инженер
  • 2. Содержание  Основы многоуровневого Data Center Services дизайна кампуса Block  Основные сервисы  Рекомендации по проектированию  VSS  Виртуализация Si Si  Соображения IP телефонии Si Si Si Si  Качество обслуживания (QoS) Si Si Si Si  Безопасность Distribution Blocks  Собираем всѐ вместе
  • 4. «Цепочки» коммутаторов на доступе Избегайте возможных «чѐрных дыр» Обратный трафик имеет шансы 50/50 попасть в ‘Чѐрную дыру’ Ядро Уровень 3 Si Si шансы = 50% что трафик пойдѐт по неправильному пути Распре- Layer 3 Link деление Distribution-A Distribution-B Уровень 2/3 Si Si Доступ Уровень 2 Access-a Access-n Access-c VLAN 2 VLAN 2 VLAN 2
  • 5. «Цепочки» коммутаторов на доступе Технология стэкирования избавляет от старой проблемы  Технологии Stackwise/Stackwise-Plus решает задачу Не требуются дополнительные замыкающие (loopback) соединения Нет необходимость L2 соединения на уровне распределения  Если вы используете стэкируемые коммутаторы, эти проблемы не являются актуальными Forwarding HSRP Si Active Layer 3 Forwarding Si HSRP Standby 3750-E
  • 6. Что будет, если не соединять коммутаторы распределения?  Медленная конвергенция STP STP Secondary вызовет ощутимые потери Core Root and HSRP Standby трафика  STP может стать причиной непредсказуемого пути для STP Root and HSRP Active трафика и распределения Si Hellos Si нагрузки  Сходимость STP вызывает сходимость 3-го уровня B F 2 2  Таймеры STP и L3 независимы Access-a Access-b  Могут происходить ковергенция и ре-конвергенция L3 VLAN 2 VLAN 2  Даже если соединения Трафик будет Трафик будет распределения полагаются на отбрасываться отбрасываться, STP и состояния соединений, до перехода в пока работают режим таймеры это может стать причиной Forwarding; 50 MaxAge, проблем с HSRP секунд Listening и Learning
  • 7. Что если …? «Чѐрные дыры» и множественные Переходы … STP  Агрессивный таймер Ядро Core Secondary HSRP ограничит STP Root and Root and «чѐрную дыру» #1 Уровень 3 HSRP Active HSRP Standby  Backbone fast Распре- обеспечит за 30 HSRP Active деление сек. сходимость для (Temporarily) Hellos события #2 Уровень 2/3 Si Si  Даже с rapid PVST+ минимум 1 секунда до события #2 Доступ F: Forwarding MaxAge Уровень 2 B: Blocking Seconds Before Failure Is Access-a Access-b Detected… Then Listening and Learning VLAN 2 VLAN 2  Заблокированные соединения на access-b перейдут в forwarding за 50 секунд  трафик отбрасывается до срабатывания HSRP на резервном коммутаторе  После таймера MaxAge (или backbone fast или Rapid PVST+) новый переход HSRP  Access-b используется как транзитный узел для трафика от access-a
  • 8. Ассиметричная маршрутизация (Unicast Flooding)  Влияет на отказоустойчивые топологии с общим L2 доступом Asymmetric Equal Cost  Один путь «наверх» Return Path два пути «вниз» CAM Timer Has  Таймеры обнуляются Aged Out on Upstream Packet в CAM таблице Standby HSRP Si Si Unicast to Active HSRP коммутатора Downstream standby HSRP Packet Flooded  Без начального пакета в CAM происходит рассылка на все порты VLAN VLAN 2 VLAN 2 VLAN 2 VLAN 2
  • 9. Предотвращение Unicast Flooding  На каждый коммутатор доступа назначайте уникальные VLAN данных голосовой VLAN  Теперь трафик попадает Asymmetric только в один транк Equal Cost Return Path  Коммутатор доступа отправляет пакет Upstream Packet корректно; Si Si Unicast to Downstream в один порт Packet Active HSRP  Если требуется: Flooded on Single Port Подстройте таймеры ARP и CAM; таймер CAM превышает таймер ARP Подправьте метрики маршрутизации чтобы избавиться от экв. VLAN 3 VLAN 4 VLAN 5 VLAN 2 маршрутов
  • 11. Catalyst 6500 Virtual Switching System Обзор Классический VSS физический VSS логический 10GE 10GE Si Si Si Si 802.3ad 802.3ad или или PagP 802.3ad PagP 802.3ad Коммутатор Сервер Коммутатор Сервер Коммутатор Сервер доступа доступа доступа Управление как одним устройством, отсутствие петель, нет зависимости от STP, не требуется применение протоколов защиты шлюза по умолчанию Лучшая производительность и масштабируемость Active-Active Multi-Chassis Etherchannel (802.3ad/PagP) –нет заблокированных соединений Субсекундная сходимость и восстановление в случае выхода из строя коммутатора или соединения (SSO/NSF)
  • 12. VSS в сети предприятия VSS на распределении Снижение L3 соседств, снижение времени L3 Core конвергенции Нет FHRP, Нет петель L2/L3 Distribution Несколько активных соединений на VLAN, нет Access сходимости STP
  • 13. Упрощение настроек Отдельное устройство VSS (конфигурация второго устройства не показана) (конфигурация одного устройства) Spanning Tree Configuration ! Enable 802.1d per VLAN spanning tree enhancements. ! Enable 802.1d per VLAN spanning tree enhancements spanning-tree mode pvst spanning-tree mode rapid-pvst spanning-tree loopguard default no spanning-tree optimize bpdu transmission no spanning-tree optimize bpdu transmission spanning-tree extend system-id spanning-tree extend system-id spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority spanning-tree uplinkfast 24576 spanning-tree backbonefast spanning-tree vlan 2-7,20-51,102-149,202-207,220-249 priority 24576! L3 SVI Configuration ! Define the Layer 3 SVI for each voice and data VLAN ! Define the Layer 3 SVI for each voice and data VLAN interface Vlan4 interface Vlan2 description Data VLAN for 4507 SupII+ description Data VLAN for 4507 SupII+ ip address 10.120.4.3 255.255.255.0 ip address 10.120.2.1 255.255.255.0 no ip redirects no ip redirects no ip unreachables no ip unreachables ! Reduce PIM query interval to 250 msec ip pim sparse-mode ip pim query-interval 250 msec load-interval 30 ip pim sparse-mode load-interval 30 ! Define HSRP default gateway with 250/800 msec hello/hold standby 1 ip 10.120.4.1 standby 1 timers msec 250 msec 800 ! Set preempt delay large enough to allow network to stabilize before HSRP ! switches back on power on or link recovery standby 1 preempt delay minimum 180 ! Enable HSRP authentication standby 1 authentication cisco123
  • 14. Введение в Virtual Switching System Концепция Virtual Switch Domain Active Control Plane Standby Hot Virtual Switch Link Data Plane Switch 1 Switch 2
  • 15. Архитектура Virtual Switching System Virtual Switch Link (VSL) Virtual Switch Link объединяет два физических коммутатора вместе – обеспечивает механизм синхронизации VS Header L2 Hdr L3 Hdr Data CRC Virtual Switch Link Virtual Switch Virtual Switch Active Standby
  • 16. Архитектура Virtual Switching System Инициализация Процесс инициализации состоит из 3-х основных шагов: 1 Определение соединений VSL Link Bringup Протокол Link Management Protocol (LMP) используется для отслеживания и 2 отброса однонаправленных соединений, обмена параметрами Chassis ID и другой информацией между коммутаторами LMP LMP RRP RRP 3 Протокол Role Resolution Protocol (RRP) используется для определения совместимости оборудования и ПО для формирования VSL и определяет какой из коммутаторов будет активным с точки зрения шины управления
  • 17. Архитектура Virtual Switching System VSLP Ping Новый механизм ping был имплементирован в VSS для проверки соединений VSL - VSLP Ping VSL VSLP Ping VSLP Ping VSLP Ping VSLP Ping Switch1 Switch2 VSLP Ping работает по-интерфейсно per-physical interface отображает COUNT, DESTINATION, SIZE, TIMEOUT … vss#ping vslp output interface tenGigabitEthernet 1/5/4 Type escape sequence to abort. Sending 5, 100-byte VSLP ping to peer-sup via output port 1/5/4, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms
  • 18. Virtual Switching System Общая шина управления • Один активный супервизор с включенным функционалом inter-chassis Stateful Switchover (SSO) • Active супервизор обеспечивает работу функций control plane таких как протоколы (routing, EtherChannel, SNMP, telnet, etc.) и управление оборудованием (Online Insertion Removal, port management) • Active/Standby супервизоры синхронизируют состояния (boot-env, running-configuration, состояния протоколов линейных карт) CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards VSL CFC or DFC Line Cards SF RP PFC SF RP PFC Active Supervisor Standby HOT Supervisor CFC or DFC Line Cards SSO CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards Synchronization CFC or DFC Line Cards CFC or DFC Line Cards
  • 19. Virtual Switching System Двойная активная шина коммутации • Активны обе шины коммутации • Супервизор Standby и все линейные карты активны и участвуют в коммутации VSS# show switch virtual redundancy My Switch Id = 1 Si Si Data Peer Switch Id = 2 Data Plane Plane <snip> Active Active Switch 1 Slot 5 Processor Information : ---------------------------------------------- - Current Software state = ACTIVE <snip> Fabric State = ACTIVE Control Plane State = ACTIVE Switch 2 Slot 5 Processor Information : ---------------------------------------------- - Current Software state = STANDBY HOT Switch2 (switchover target) Switch1 <snip> Fabric State = ACTIVE Control Plane State = STANDBY
  • 20. Архитектура Virtual Switching System Multichassis EtherChannel (MEC) Соединения Etherchannel могут быть распределены между двумя физическими шасси Standalone VSS Поддерживаются протоколы LACP и PAGP и ручной режим ON-ON… Традиционный Etherchannel на одно Multichassis EtherChannel на 2 VSS- шасси шасси
  • 21. Архитектура Virtual Switching System Путь сетевого трафика в случае сбоев • MEC или ECMP – основные механизмы восстановления после сбоя соединения/устройства Si Si Si Si Si Si Si Si SW1 SW2 SW1 SW2 SW1 SW2 Выход из строя шасси VSS Выход из строя соединения в ядро Выход из строя соединения на доступ
  • 22. Архитектура Virtual Switching System Алгоритмы EtherChannel Hash для MEC Алгоритмы хэширования для Etherchannel модифицированны таким образом чтобы трафик всегда уходил через локальные интерфейсы VSS Синий трафик к Оранжевый трафик серверу будет к серверу будет отправлен через Link отправлен через Link 1 в соединении 2 в соединении MEC MEC… … Link 1 Link 2
  • 23. Архитектура Virtual Switching System поддержка резервных супервизоров • Для чего требуются резервные супервизоры? • Сбой в работе любого из супервизоров приводит к остановке коммутации на линейных картах в рамках шасси – Si Si снижение полосы VSS на 50% • Отдельные устройства могут иметь только одно подключение к VSS по ряду причин (нерекомендуемый дизайн) – Сервисные модули/Сервера – Цена $$ • Выход из строя супервизора требует ручного вмешательства для восстановления работы шасси – Соединения не активны когда супервизор находится в режиме ROMMON – Непредсказуемое время восстановления – Ручной процесс установки и настройки в режим VSS нового супервизора установки нов
  • 24. Аппаратная поддержка VSS Catalyst 6500 Модули супервизора  Супервизоры с поддержкой VSS Supervisor Engine 2T Supervisor Engine 720-10GE  Интерфейсы 10GE с поддержкой VSL  Новые микросхемы ASICs VS-S2T-10G/XL Поддержка полей для маркировки и пересылки трафика между шасси MAC address learning на двух шасси  VSS не поддерживается на VS-S720-10G-3C/XL Supervisor Engine 720 или других старых супервизорах
  • 27. Что такое виртуализация сети?  Поддержка одной физической сетью нескольких виртуальных  С точки зрения пользователя – это подключение к выделенной сети с независимыми политиками безопасности, маршрутизации, качества обслуживания и пр.  Обеспечение иерархии и виртуализации устройств, путей и сервисов  Оптимальное использование существующих ресурсов сети Внутренние Дочерняя Сеть подразделения компания гостевого доступа
  • 29. Обзор MPLS VPN  Позволяет поставщику услуг предоставлять сервис для подключения сетей разных клиентов  Трафик от клиентов инкапсулируется в MPLS и доставляется на устройства PE/CE  У каждого клиента может быть свое адресное пространство, пересекающееся с другими клиентами
  • 30. Изоляция путей (Path Isolation)  Виртуализация устройства  Виртуализация контрольной шины  Виртуализация шины данных  Виртуализация сервисов  Виртуализация каналов данных  Hop-by-Hop (сквозной VRF-Lite)  Multi-Hop (VRF-Lite + GRE, MPLS VPN)
  • 31. Эволюция VRF – Easy Virtual Network  VRF родился от MPLS VPN  Применяется без MPLS в VRF-Lite  EVN добавляет зрелости VRF
  • 32. Обзор Easy Virtual Network  Транки в ЛВС  упрощение настройки  автоматическая настройка VRF на транке  Репликация маршрутов  Общие сервисы на базе IGP протоколов  Не требуется BGP  Снижение сложности при поиске неисправностей  routing-context, traceroute, debug condition, cisco-vrf- mib Доступно на ASR1K, Cat6500 и Cat4500 сейчас
  • 33. Easy Virtual Network – как это работает? Создайте L2 VLANs на уровне доступа и отправьте его через транк на первый хоп L3 Опишите VRFs на каждом L3 устройстве. Создайте связку VLAN – VRF. Настройте IGP протокол для каждого VRF на всех устройствах L3 Настройте VNET транк на каждом физическом интерфейсе ядра. Используется тот же самый тэг 802.1Q При добавлении новых VRF не требуется добавление подинтерфейсов. Это автоматически производится VNET транком
  • 34. Совместимость EVN и VRF VRF-Lite Subinterface Config VNET Trunk Config interface TenGigabitEthernet1/1 interface TenGigabitEthernet1/1 ip address 10.122.5.1 255.255.255.252 vnet trunk ip pim query-interval 1 ip address 10.122.5.2 255.255.255.252 ip pim sparse-mode ip pim query-interval 1 ip pim sparse-mode interface TenGigabitEthernet1/1.101 description Subinterface for Red VRF encapsulation dot1Q 101 Оба маршрутизатора имеют ip vrf forwarding red настроенные VRF ip address 10.122.5.1 255.255.255.252 ip pim query-interval 1 На EVN маршрутизаторе VNET тэги ip pim sparse-mode Global Config: interface TenGigabitEthernet1/1.102 vrf definition red description Subinterface for Green VRF vnet tag 101 encapsulation dot1Q 102 ip vrf forwarding green vrf definition green ip address 10.122.5.1 255.255.255.252 vnet tag 102 ip pim query-interval 1 ip pim sparse-mode
  • 35. Интеграция VRF с L2 Edge vrf definition red vnet tag 101 vrf definition green vnet tag 102 vrf definition blue vnet tag 103 interface g1/0 vnet trunk interface vlan 21 vrf forwarding red interface vlan 22 vrf forwarding green interface vlan 23 vrf forwarding blue interface vlan 31 vrf forwarding red interface vlan 32 vrf forwarding green interface vlan 33 vrf forwarding blue
  • 36. EVN - Show Derived-config show run show derived-config Router# show run Router# show derived-config . . . . . . interface Ethernet1/0 interface Ethernet1/0 vnet trunk vnet trunk ip address 10.122.6.11 255.255.255.0 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode ip pim sparse-mode . . . ! interface Ethernet1/0.101 description Subinterface for VNET red vrf forwarding red encapsulation dot1Q 101 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode ! interface Ethernet1/0.102 description Subinterface for VNET green vrf forwarding green encapsulation dot1Q 102 ip address 10.122.6.11 255.255.255.0 ip pim sparse-mode . . .
  • 37. VNET Trunk – настройка индивидуальных параметров Отдельные специфические настройки интерфеса можно менять для отдельного VRF VRF-Lite Subinterface Config VNET Trunk Config interface TenGigabitEthernet1/1 interface TenGigabitEthernet1/1 ip address 10.122.5.1 255.255.255.252 vnet trunk ip ospf cost 20 ip address 10.122.5.2 255.255.255.252 ip pim sparse-mode ip ospf cost 20 ip pim sparse-mode interface TenGigabitEthernet1/1.101 vnet name green description Subinterface for Red VRF no ip pim sparse-mode encapsulation dot1Q 101 ip ospf cost 30 ip vrf forwarding red ip address 10.122.5.1 255.255.255.252 ip ospf cost 20 Global Config: ip pim sparse-mode vrf definition red vnet tag 101 interface TenGigabitEthernet1/1.102 description Subinterface for Green VRF vrf definition green encapsulation dot1Q 102 vnet tag 102 ip vrf forwarding green ip address 10.122.5.1 255.255.255.252 ip ospf cost 30
  • 39. Анонсирование сервисов Сервисы которые не хочется дублировать:  Internet шлюз  Firewall и NAT - DMZ  DNS  DHCP Требуется IP связность между VRF Обычно достигается при помощи возможностей Extranet или Fusion Router/FW Варианты анонсирования сервисов Fusion Router/FW – Internet шлюз, NAT/DMZ Extranet – DNS, DHCP
  • 40. Анонсирование сервисов - конфигурация До: После: ip vrf SHARED vrf definition SHARED rd 3:3 address-family ipv4 route-target export 3:3 route-replicate from vrf RED unicast all route-map red-map route-target import 1:1 route-replicate from vrf GREEN unicast all route-map grn-map route-target import 2:2 ! ip vrf RED rd 1:1 vrf definition RED address-family ipv4 route-target export 1:1 route-target import 3:3 route-replicate from vrf SHARED unicast all ! ip vrf GREEN rd 2:2 vrf definition GREEN route-target export 2:2 address-family ipv4 route-target import 3:3 route-replicate from vrf SHARED unicast all ! router bgp 65001 bgp log-neighbor-changes ! address-family ipv4 vrf SHARED redistribute ospf 3 Преимущества Route-Replication: no auto-summary no synchronization • не требуется BGP exit-address-family ! • не требуется Route Distinguisher address-family ipv4 vrf RED redistribute ospf 1 • не требуется Route Targets no auto-summary no synchronization exit-address-family • не требуется Import/Export ! address-family ipv4 vrf GREEN • простое внедрение redistribute ospf 2 no auto-summary • поддерживаются Unicast/Mcast no synchronization exit-address-family !
  • 42. EVN – поддержка на оборудовании Platform Release FCS Date ASR1K IOS XE 3.2S Nov 2010 Cat6K – Sup2T 15.0(1)SY1 March 2012 15.1(1)SG Cat4K April 2012 IOS XE 3.3.0SG Cat6K – Sup720* Roadmap Future Cat3K-X Roadmap Future ISR-G2 Roadmap Future Nexus 7K Roadmap Future Cat4K Release/Platforms: 15.1(1)SG:Sup6-E, Sup6L-E, 4900M, 4948E, 4940E-F IOS XE 3.3.0SG: Sup7-E, Sup7L-E, 4500-X * Sup720 не поддерживает VNET Trunk “Many of the products and features described herein remain in varying stages of development and will be offered on a when-and-if-available basis. This roadmap is subject to change at the sole discretion of Cisco, and Cisco will have no liability for delay in the delivery or failure to deliver any of the products or features set forth in this document.”
  • 44. Сеть кампуса для UC Интеграция инфраструктуры, QoS и доступность  Доступ Авт. обнаружение телефонов Access Питание Inline power QoS: приоритезация, граница доверия и классификация Si Si Si Si Si Si Быстрая сходимость Distribution  Распределение Высокая доступность, отказоустойчивость, Layer 3 Layer 3 быстрая сходимость Core Equal Cost Equal Cost Применение политик Si Si Links Links QoS: приоритезация, граница доверия и классификация Distribution Si Si  Ядро Si Si Si Si Высокая доступность, отказоустойчивость, быстрая сходимость QoS: приоритезация, Access граница доверия WAN Data Center Internet
  • 45. Интеграция инфраструктур Расширение границы сети Обнаружение IP телефона, подача питания Обмен CDP между телефоном и коммутатором Назначение IP телефона в корректный VLAN Запрос DHCP и регистрация на Call Manager Телефон содержит 3-х портовый коммутатор, который настраивается при участии коммутатора доступа и CallManager’а 1. Подача питания/определение мощности 2. Настройка VLAN 3. Взаимодействие с 802.1x 4. Настройка QoS 5. DHCP и регистрация на CallManager
  • 46. Интеграция инфраструктур: первый шаг Согласование требований питания  Устройства Cisco prestandard вначале получают 6.3 Вт и далее через CDP согласовывается требуемая мощность  Устройства 802.3af вначале получают 12.95 Вт если PSE не может определить класс устройства Минимальный уровень Максимальный уровень Класс Исп. выдаваемой мощности потребляемой мощности на на PSE устройстве 0 Default 15.4W 0.44 to 12.95W 1 Optional 4.0W 0.44 to 3.84W 2 Optional 7.0W 3.84 to 6.49W 3 Optional 15.4W 6.49 to 12.95W Reserved for Reserved for Future Use: a Class 4 4 Future Treat as Class 0 Signature Cannot Be Provided by a Use Compliant Powered Device
  • 47. Расширенное согласование мощности 802.3af + двунаправленный обмен CDP (Cisco 7970) PSE—источник Подключение PD питания Обнаружение устр-ва IEEE PD Cisco 6500,4500, 3750, 3560 Классификация PD Подача питания Телефон передаѐт по CDP параметры потреб. мощности и список поддерживаемых режимов PD—устройство Коммутатор отправляет CDP ответ со своими параметрами Cisco 7970 В зависимости от возможностей согласовывается финальная мощность  Обмен CDP позволяет определить точную потребляемую мощность после начального включения
  • 48. Соображения дизайна для PoE Управление питанием  Коммутатор управляет питанием в зависимости от требований PD, а не реального потребления  Потребляемая устройством мощность не является постоянной  7960G требует 7Вт при звонке на максимальной громкости и 5Вт когда трубка снята или положена  Требуется понимание поведения устройства PoE  Применяйте статические конфигурации с осторожностью Динамическое выделение: power inline auto max 7200 Статическое выделение: power inline static max 7200  Используйте онлайн-калькулятор для расчѐта http://www.cisco.com/go/powercalculator
  • 49. Интеграция инфраструктур: следующие шаги Конфигурация VLAN, QoS и 802.1x Phone VLAN = 110 PC VLAN = 10 (VVID) (PVID) Инкапсуляция Native VLAN (PVID) не 802.1Q с 802.1p требует изменений в CoS Уровня 2 конфигурации  Во время начального обмена CDP телефон получает номер голосового Voice VLAN ID (VVID)  Через поля CDP TLV телефон получает настройки QoS  Доступны LLDP/LLDP-MED …  Коммутатор может пропускать стадию 802.1x аутентификации для VVID если обнаруживает IP телефон Cisco
  • 51. Лучшие практики—Качество обслуживания  Требует сквозного внедрения. Разные уровни выполняют разную, но End-to-End QoS одинаково важную роль.  Обеспечивает защиту Si Si Si Si Si Si критически важных приложений от влияния перегрузки на соединениях и Layer 3 Equal Layer 3 Equal задержек в очередях Cost Links Cost Links Si Si  Узлы агрегации должны обеспечивать применение политик QoS Si Si Si Si Si Si  Необходима поддержка очередей с несколькими критериями доступа и обслуживания WAN Data Center Internet
  • 52. Лучшие практики—Качество обслуживания  Требует сквозного внедрения. Разные уровни выполняют разную, но End-to-End QoS одинаково важную роль.  Обеспечивает защиту Si Si Si Si Si Si критически важных приложений от влияния перегрузки на соединениях и Layer 3 Equal Layer 3 Equal задержек в очередях Cost Links Cost Links Si Si  Узлы агрегации должны обеспечивать применение политик QoS Si Si Si Si Si Si  Необходима поддержка очередей с несколькими критериями доступа и обслуживания WAN Data Center Internet
  • 53. Переполнение очереди передачи 10/100m Queued 128k Uplink WAN Router 100 Mбит/с в 128 Кб/с —Пакеты приходят быстрее чем могут выйти Пакеты помещаются в очередь до отправки с медленного интерфейса 1 Gig Link Queued 100 Meg Link Distribution Switch Access Switch 1 Гб/с в 100 Мбит/с —Пакеты приходят быстрее чем могут выйти Пакеты помещаются в очередь до отправки с медленного интерфейса
  • 54. Auto QoS VoIP—жизнь проще … Настройки QoS для VoIP на коммутаторах кампуса Access-Switch(config-if)#auto qos voip ? cisco-phone Trust the QoS marking of Cisco IP Phone cisco-softphone Trust the QoS marking of Cisco IP SoftPhone trust Trust the DSCP/CoS marking Access-Switch(config-if)#auto qos voip cisco-phone Access-Switch(config-if)#exit ! interface FastEthernet1/0/21 srr-queue bandwidth share 10 10 60 20 srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phone mls qos trust cos auto qos voip cisco-phone end
  • 56. Рекомендации—Безопасность Кампуса  Будем говорить про …! Набор средств безопасности Catalyst! Dynamic port security, DHCP snooping, End-to-End Security Dynamic ARP inspection, IP source guard  Вещи про которые вы знаете —мы Si Si Si Si Si Si рассматривать не будем… Используйте SSH вместо Telnet Включайте AAA и ролевой доступ (RADIUS/TACACS+) для CLI на всех устройствах Включайте SYSLOG на сервер. Сохраняйте и архивируйте логи. Si Si Используйте SNMPv3 Выключайте ненужные сервисы: No service tcp-small-servers No service udp-small-servers Используйте FTP или SFTP (SSH FTP) для Si Si Si Si управления имиджами ПО и Si Si конфигурационными файлами—избегайте TFTP Устанавливайте VTY access-lists Включайте механизмы защиты шины управления (EIGRP, OSPF, BGP, HSRP, VTP, etc.) WAN Internet Фильтруйте RFC2827
  • 57. BPDU Guard Предотвращение петель через WLAN (Windows XP Bridging)  Проблема: Точки доступа WLAN не STP Loop пересылают BPDUs Formed BPDU Guard Несколько машин Disables Port Windows XP могут создать петлю создать петлю в проводном VLAN через WLAN BPDU Generated  Решение: На портах коммутаторов к которым подключены BPDU рабочие станции можно Win XP Discarded Win XP настроить BPDU Guard Bridging Bridging Enabled Enabled
  • 58. Защита Уровня 2 от атак прослушивания Борьба с атаками основанных на манипуляциях с MAC-адресами 00:0e:00:aa:aa:aa Только 3 MAC 00:0e:00:bb:bb:bb адреса разрешены на 250,000 MAC порту: Shutdown в секунду Проблема Решение: Средство Script Kiddie позволяет Port Security ограничивает кол-во MAC- атакующему переполнить CAM адресов на порту коммутатора, таблицу коммутатора; превратить блокирует порт и посылает SNMP trap VLAN в ХАБ и получать все switchport port-security пакеты switchport port-security maximum 10 Размер CAM таблицы switchport port-security violation restrict switchport port-security aging time 2 коммутатора ограничен switchport port-security aging type inactivity
  • 59. DHCP Snooping Защита от нелегитимных серверов DHCP 1 DHCP Server 1000 DHCP запросов на 2 сервер DHCP  DHCP запросы (discover) и ответы (offer) отслеживаются  Снижение скорости запросов на доверенных интерфейсах для защиты от DoS атак на DHCP сервер  Запрет ответов (offers) с недоверенных интерфейсов; остановка подозрительных DHCP серверов
  • 60. Защита Уровня 2 от атак прослушивания Защита ARP  Dynamic ARP inspection защищает от атак и Gateway = 10.1.1.1 использованием ARP (ettercap, Si MAC=A dsnif, arpspoof)  Использует таблицу DHCP snooping  Отслеживает MAC и IP из Gratuitous ARP транзакций DHCP 10.1.1.50=MAC_B  Ограничивает запросы ARP с Gratuitous ARP клиентских портов, 10.1.1.1=MAC_B останавливает сканирование портов  Отбрасывает bogus gratuitous ARPs; блокирует ARP poisoning/MIM атаки Attacker = 10.1.1.25 Victim = 10.1.1.50 MAC=B MAC=C
  • 61. IP Source Guard Защита IP адресов от замены/подделки  IP source guard защищает от подделки Gateway = 10.1.1.1 IP адресов MAC=A Si  Используется таблица DHCP snooping  Отслеживается ассоциация IP адреса и порта  Динамически Hey, I’m 10.1.1.50 ! программируется ACL на порту для сброса трафика исходящего от IP адреса присвоенного не через DHCP Attacker = 10.1.1.25 Victim = 10.1.1.50
  • 62. Интегрированные функции безопасности Cisco IOS обеспечивает ipdhcp snooping ipdhcp snooping vlan 2-10 IP Source Guard iparp inspection vlan 2-10 Dynamic ARP Inspection ! interface fa3/1 DHCP Snooping switchport port-security switchport port-security max 3 Port Security switchport port-security violation restrict  Port security предотвращает атаку switchport port-security aging time 2 MAC flooding switchport port-security aging type  DHCP snooping предотвращает inactivity клиентские атаки на коммутатор и ip arp inspection limit rate 100 сервер ip dhcp snooping limit rate 100  Dynamic ARP Inspection добавляет ip verify source vlan dhcp-snooping безопасности к ARP используя таблицу DHCP snooping !  IP source guard защищает Interface gigabit1/1 IP адрес источника от spoofing’а ipdhcp snooping trust используя таблицу DHCP snooping iparp inspection trust
  • 64. Иерархический кампус Доступ Si Si Si Si Si Si Распре- деление Ядро Si Si Распре- Si Si Si Si Si Si деление Доступ WAN Data Center Internet
  • 65. Соединения L3 на уровне распределения Доступ Уровень 2— нет VLAN’ов распределѐнных по уровню доступа  Балансировка нагрузки через отстроенный CEF  Проверка настроек CatOS/IOS Si Si EtherChannel для балансировки Ядро  Суммаризация маршрутов в сторону ядра  Ограничение избыточных/резерв. Layer 3 IGP соединений Распре-  Настройка STP Root и HSRP primary Si Si или GLBP для балансировки нагрузки на Point-to- деление uplink’ах Point  Устанавливаем trunk mode on/no- Link negotiate  Выключаем EtherChannel, если не используем  На уровне доступа: Выключить trunking VLAN 20 Data VLAN 40 Data Доступ Выключить EtherChannel 10.1.20.0/24 10.1.40.0/24 Включить PortFast VLAN 120 Voice VLAN 140 Voice  RootGuard или BPDU-Guard 10.1.120.0/24 10.1.140.0/24  Используем функции безопасности
  • 66. Соединения L2 на уровне распределения Доступ Уровень 2— часть VLAN’ов распределены по уровню доступа  Балансировка нагрузки через отстроенный CEF  Проверка настроек CatOS/IOS EtherChannel для балансировки Si Si Ядро  Суммаризация маршрутов в сторону ядра  Ограничение избыточных/резерв. Layer 2 IGP соединений  Настройка STP Root и HSRP primary Распре- Si Si или GLBP и STP port cost для Trunk деление балансировки на uplink’ах  Устанавливаем trunk mode on/no- negotiate  Выключаем EtherChannel, если не используем  RootGuard на downlink’ах  LoopGuard на uplink’ах VLAN 20 Data VLAN 40 Data Доступ  На уровне доступа: 10.1.20.0/24 10.1.40.0/24 Выключить trunking VLAN 120 Voice VLAN 140 Voice Выключить EtherChannel 10.1.120.0/24 10.1.140.0/24 Включить PortFast VLAN 250 WLAN  RootGuard или BPDU-Guard 10.1.250.0/24  Используем функции безопасности
  • 67. Маршрутизируемый доступ и VSS Развитие существующего дизайна Si Si Si Si Ядро VSS & vPC Распре- Si Layer 3 Si New Concept деление P-to-P Link VLAN 40 Data VLAN 20 Data Доступ VLAN 20 Data 10.1.20.0/24 VLAN 40 Data 10.1.20.0/24 10.1.40.0/24 10.1.40.0/24 VLAN 120 Voice VLAN 120 Voice VLAN 140 Voice 10.1.120.0/24 VLAN 140 Voice 10.1.120.0/24 10.1.140.0/24 10.1.140.0/24 VLAN 250 WLAN 10.1.250.0/24
  • 68. SmartPorts — готовая конфигурация Access-Switch#show parser macro brief default global : cisco-global default interface: cisco-desktop default interface: cisco-phone Si Si default interface: cisco-switch default interface: cisco-router default interface: cisco-wireless Access-Switch(config-if)#$ macro apply cisco-phone $access_vlan 100 $voice_vlan 10 Access-Switch#show run int fa1/0/19 Si Si ! interface FastEthernet1/0/19 switchport access vlan 100 switchport mode access switchport voice vlan 10 switchport port-security maximum 2 switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity srr-queue bandwidth share 10 10 60 20 srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phone mls qos trust cos macro description cisco-phone auto qosvoipcisco-phone spanning-tree portfast spanning-tree bpduguard enable end
  • 69. ИТОГО   Иерархия—каждый уровень Offers hierarchy—each layer has specific role свою роль имеет  Modular topology— Доступ  Модульность— building blocks  строительные блоки Easy to grow, understand, and troubleshoot   Легко наращивать, Creates small fault domains— понимать, устранять Clear demarcations and isolation Si Si Si Si Si Si Распре-  неисправности Promotes load balancing деление and redundancy   Создаѐм независимые Promotes deterministic traffic patterns чѐткие границы и домены—  изоляция Incorporates balance of both Layer 2 and Layer 3 Layer 3 Layer 3  Обеспечиваем technology, leveraging Equal Cost Equal Cost Ядро the strength of both Si Si балансировку нагрузки и Links Links  Utilizes Layer 3 routing отказоустойчивость for load balancing, fast convergence, scalability, andОпределѐнность пути для  control трафика Распре- Si Si Si Si  Использование баланса и Si Si деление преимуществ технологий уровня 2 и 3  Технологии маршрутизации Доступ для балансировки нагрузки, WAN Data Center Internet быстрой сходимости и масштабируемости
  • 70. Полезные материалы—Design Zone  High Availability Campus Design Guide  High Availability Campus Convergence Analysis  High Availability Campus Design Guide— Routed Access EIGRP and OSPF  http://www.cisco.com/go/srnd
  • 72. Спасибо! Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/quest Ваше мнение очень важно для нас!