More Related Content
Similar to Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco.
Similar to Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco. (20)
More from Cisco Russia (20)
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco.
- 1. Принимайте активное участие в Cisco Expo и получите в
подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
© 2012 Cisco and/or its affiliates. All rights reserved. 1
- 2. Cisco Expo
2012
Лучшие практики и рекомендуемые
дизайны по построению WAN-сетей
на базе возможностей оборудования
Сisco
Максим Порицкий
cистемный инженер, CCIE R&S
mporitsk@cisco.com
© 2012 Cisco and/or its affiliates. All rights reserved. 2
- 3. Введение в WAN
Общий дизайн удаленных сайтов
Общий дизайн центрального сайта
Качество обслуживания (QoS)
Позиционирование оборудования
Удаленные сайты – тонкости настройки и лучшие практики
Центральный сайт – тонкости настройки и лучшие практики
Шифрование в WAN
© 2012 Cisco and/or its affiliates. All rights reserved. 3
- 4. © 2012 Cisco and/or its affiliates. All rights reserved. 4
- 5. © 2012 Cisco and/or its affiliates. All rights reserved. 5
- 6. Транспорт, безопасность
Multiprotocol Label Switching (MPLS) Layer 3 VPN + GET VPN
Надежность + гарантия качества
Peer-to-peer VPN-модель (нет выделенных VC, ISP принимает активное
участие в маршрутизации трафика)
Для Ent – облако - PE-CE
BGP – распространение маршрутов
VRF – логическая изоляция подсетей
Шифрование трафика
Основной канал
Internet VPN + Dynamic Multipoint VPN (DMVPN)
Надежность + Best-effort
Множество ISP-interconnect
Шифрование трафика
Резервный канал
© 2012 Cisco and/or its affiliates. All rights reserved. 6
- 7. Отказоустойчивость, безопасность
Обеспечение отказоустойчивости на уровне каналов и/или
Обеспечение отказоустойчивости на уровне устройств
Обеспечение шифрования данных
Сервисы
Все сервисы централизованы в ЦОД-е
Централизованный доступ в Интернет (для web-browsing)
Поддержка IP Multicast
Обеспечение QoS
Топология
Поддержка Hub and spoke и Spoke-to-spoke
SBA (Design Zone for Smart Business Architecture)
Customer access: http://www.cisco.com/go/sba
Partner access: http://www.cisco.com/go/sbachanne
© 2012 Cisco and/or its affiliates. All rights reserved. 7
- 8. © 2012 Cisco and/or its affiliates. All rights reserved. 8
- 9. Резервирование
Без Резервирование каналов связи и
резервирования каналов связи устройств
MPLS MPLS-A MPLS-B MPLS-A MPLS-B
MPLS WAN
Internet Internet
MPLS DMVPN MPLS DMVPN
MPLS + Internet
WAN
Internet Internet Internet Internet
Internet (DMVPN-2)
(DMVPN-1) (DMVPN-2) (DMVPN-1)
DMVPN
Internet WAN
© 2012 Cisco and/or its affiliates. All rights reserved. 9
- 10. Без резервирования
маршрутизаторов С резервированием
Добавили маршрутизаторов
устройство,
транзитный канал,
FHRP (HSRP)
EIGRP
Vlan99 - transit
HSRP Vlans
No HSRP
Vlan64 - data Active Vlan64 - data
Required HSRP Router
Vlan69 - voice Vlan69 - voice
802.1q Vlan trunk (64, 69) 802.1q Vlan trunk (64, 69, 99)
1 Service = 1 VLAN; 1 VLAN = /24; R-SwTrunk; R – sub int Def GW
FHRP = HSRP, VRRP, GLBP; R1 - R2 EIGRP
© 2012 Cisco and/or its affiliates. All rights reserved. 10
- 11. R1—Master, пересылает трафик;
R2—Backup
IP: 10.0.0.254 IP: 10.0.0.253
Стандарт IETF RFC 2338 (Апрель 1998) MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc
vIP: 10.0.0.10 vIP:
Группа маршрутизаторов работает как vMAC: 0000.5e00.0101 vMAC:
один виртуальный с одним виртуальным
IP адресом и MAC адресом VRRP VRRP
ACTIVE BACKUP
Один (master) маршрутизатор R2
R1
пересылает пакеты для/из локальной
сети
Остальные маршрутизаторы работают
как резервные
Используйте VRRP, если требуется
поддержка оборудования других Доступ
производителей
IP: 10.0.0.1 IP: 10.0.0.2
MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02
GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0000.5e00.0101 ARP: 0000.5e00.0101
© 2012 Cisco and/or its affiliates. All rights reserved. 11
- 12. R1—Master, пересылает трафик;
R2—Backup
Группа маршрутизаторов работает
как один виртуальный с одним IP: 10.0.0.254
MAC: 0000.0c12.3456
IP: 10.0.0.253
MAC: 0000.0C78.9abc
виртуальным IP адресом и MAC vIP: 10.0.0.10 vIP:
адресом vMAC: 0000.5e00.0101 vMAC:
Один (active) маршрутизатор HSRP HSRP
пересылает пакеты для/из ACTIVE BACKUP
локальной сети R1 R2
Остальные маршрутизаторы
работают как горячий резерв
Используйте HSRP, если только
Cisco-сеть и интересуют
дополнительные возможности
Доступ
HSRP preemption (standby 1
preempt) позволит standby снова
стать active в случае high priority
IP: 10.0.0.1 IP: 10.0.0.2
MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02
GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0000.5e00.0101 ARP: 0000.5e00.0101
© 2012 Cisco and/or its affiliates. All rights reserved. 12
- 13. R1- AVG; R1, R2 – оба пересылают трафик;
IP: 10.0.0.254 IP: 10.0.0.253
MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc
vIP: 10.0.0.10 vIP: 10.0.0.10
vMAC: 0000.5e00.0101 vMAC: 0000.5e00.0102
Все преимущества HSRP
+ балансировка нагрузки между GLBP AVG/AVF, GLBP AVF,
шлюзами использует всю SVF SVF
доступную полосу R1 R2
Группа маршрутизаторов
работают как один виртуальный,
разделяют один виртуальный IP
адрес, но используют несколько
виртуальных MAC адресов
Доступ
Позволяют трафику из одной
подсети использовать несколько
шлюзов по умолчанию с одним
виртуальным IP адресом
IP: 10.0.0.1 IP: 10.0.0.2
MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02
GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0000.5e00.0101 ARP: 0000.5e00.0102
© 2012 Cisco and/or its affiliates. All rights reserved. 13
- 14. Без резервирования Добавили уровень С резервированием
маршрутизаторов агрегации, транзитный маршрутизаторов
канал (для сайта с
резервированием
устройств)
802.1q trunk (50,99) 802.1q trunk (54,99)
802.1q trunk (50)
Vlan50 – router 1 link
Vlan50 – router 1 link
Vlan54 – router 2 link
Vlan99 – transit
802.1q trunk (xx-xx) 802.1q trunk (xx-xx)
802.1q trunk (xx-xx) 802.1q trunk (xx-xx)
data data data data
voice voice voice voice
R-Distr Sw Etherchannel; Distr Sw – L3/L2 demarcation point
R1 – R1 – Dist SW EIGRP; Dist SW - SVI Def GW
© 2012 Cisco and/or its affiliates. All rights reserved. 14
- 15. © 2012 Cisco and/or its affiliates. All rights reserved. 15
- 16. © 2012 Cisco and/or its affiliates. All rights reserved. 16
- 17. © 2012 Cisco and/or its affiliates. All rights reserved. 17
- 18. Варианты дизайна (основной-резервный канал): MPLS1+MPLS2, Internet1+Internet2,
MPLS+Internet (основной-резервный канал)
MPLS
PE-CE = BGP (OSPF, EIGRP)
Private AS
iBGP – между CE для корректной маршрутизацииВзаимная редистрибьюция
WAN Distribution Layer / Core
MPLS CE Routers DMVPN Hub Routers
EIGRP EIGRP EIGRP Internet Edge
BGP iBGP BGP EIGRP
default
BGP AS = 65511
eBGP eBGP
EIGRP EIGRP
(200) (201)
MPLS A MPLS B
AS 65401 AS 65402
ISP A / ISP B
DMVPN 1 DMVPN 2
© 2012 Cisco and/or its affiliates. All rights reserved. 18
- 19. Internet
Шифрование – DMVPN-туннели
VPN HUB – внутри туннеля – EIGRP (каждый EIGRP имеет свой уникальный №
процесса)
EIGRP в центре - № процесса = 100
Взаимная редистрибьюция
DMVPN Backup Shared или DMVPN Backup Dedicated DMZ Internet
WAN Distribution Layer / Core
MPLS CE Routers DMVPN Hub Routers
EIGRP EIGRP EIGRP Internet Edge
BGP iBGP BGP EIGRP
default
BGP AS = 65511
eBGP eBGP
EIGRP EIGRP
(200) (201)
MPLS A MPLS B
AS 65401 AS 65402
ISP A / ISP B
DMVPN 1 DMVPN 2
© 2012 Cisco and/or its affiliates. All rights reserved. 19
- 20. © 2012 Cisco and/or its affiliates. All rights reserved. 20
- 21. Traffic Profiles and Requirements
QoS для “management и network
control” MUST !!!
Voice SD Video Conf Telepresence Data
Bursty Bursty
Smooth Smooth/bursty
Greedy Drop sensitive
Benign Benign/greedy
Drop sensitive Delay
Drop sensitive Drop insensitive
Delay sensitive
Delay sensitive Delay insensitive
sensitive Jitter sensitive
UDP priority TCP retransmits
UDP priority UDP priority
Bandwidth per Call SD/VC has the Same HD/VC has Tighter Traffic patterns for
Depends on Requirements as Requirements than Data Vary Among
Codec, VoIP, but Has VoIP in terms of Applications
Sampling-Rate, Radically Different jitter, and BW varies
and Layer 2 Media Traffic Patterns based on the
(BW Varies Greatly) resolutions
Data Classes:
• Latency ≤ 150 ms Latency ≤ 150 ms Latency ≤ 200 ms Mission-Critical Apps
Jitter ≤ 20 ms Transactional/Interactiv
• Jitter ≤ 30 ms Jitter ≤ 30 ms e Apps
• Loss ≤ 1% Loss ≤ 0.05% Loss ≤ 0.10%
Bulk Data Apps
• Bandwidth (30-128Kbps) Bandwidth (1Mbps) Bandwidth (5.5- Best Effort Apps
One-Way Requirements One-Way Requirements 16Mbps) (Default)
One-Way Requirements
© 2012 Cisco and/or its affiliates. All rights reserved. 21
- 22. Type of service (ToS) Field – 8 бит (RFC 791) в заголовке IP
Precedence – 3 бита - важность и приоритет пакета
TOS - 3 бита индикация запроса - throughput, delay, reliability
MBZ – 2 бита (0 – не используется)
© 2012 Cisco and/or its affiliates. All rights reserved. 22
- 23. Differentiated Services (DS) Field – 8 бит (RFC 2474) в заголовке IP
Differentiated Services Code Point (DSCP) – 6 бит (важность и приоритет пакета)
Explicit Congestion Notification (ECN) - 2 бита (RFC 3168) – индикация о перегрузке
сети – редко используется
На границе сети осуществляется анализ
значения DSCP и обеспечение соответствующего
сервиса
© 2012 Cisco and/or its affiliates. All rights reserved. 23
- 24. IOS QoS Mechanisms and Operation
Tx-Ring Operation
IOS Interface Buffers
Packets Packets
Tx-Ring
In Out
If the Tx-Ring is filled to capacity,
then the IOS software knows that the interface
is congested and it should activate any
LLQ/CBWFQ policies that have been
applied to the interface
The default value of the Tx-Ring varies according to platform and link type
and speed
© 2012 Cisco and/or its affiliates. All rights reserved. 24
- 25. CBWFQ (class-map) – создание классов сервисов + ассоциация специфического
трафика
Маркировка осуществляется как можно ближе к источнику (на оборудовании LAN)
match = DSCP или protocol
© 2012 Cisco and/or its affiliates. All rights reserved. 25
- 26. policy-map – комбинация различных классов сервисов с определением их
характеристик:
Назначение приоритетной очереди для класса (LLQ - priority)
Определение BW для класса
Механизм уведомления о перегрузке (random-detect)
© 2012 Cisco and/or its affiliates. All rights reserved. 26
- 27. IOS QoS Mechanisms and Operation
(Single) LLQ Operation
IOS Interface Buffers
1 Mbps
VoIP policy-map LLQ
Policer class VOIP
LLQ priority 1000
…
Packets Packets
In Out
CBWFQ
Scheduler
Tx-Ring
FQ CBWFQ
Pre-Sorters
© 2012 Cisco and/or its affiliates. All rights reserved. 27
- 28. IOS QoS Mechanisms and Operation
DSCP-Based WRED Operation
policy-map BULK-WRED
class BULK
Tail bandwidth percent 10 Front
of of
random-detect dscp-based Queue
Queue Bulk Data CBWFQ
Fair-
Direction
Queue
Pre- of
Sorter Packet
Flow
AF13 Minimum WRED Threshold:
Begin randomly dropping AF13 Packets
AF12 Minimum WRED Threshold:
Begin randomly dropping AF12 Packets
AF11 Minimum WRED Threshold:
Begin randomly dropping AF11 Packets
Maximum WRED Thresholds for AF11, AF12 and AF13 are set to the tail of the queue in this example
© 2012 Cisco and/or its affiliates. All rights reserved. 28
- 29. BW физического интерфейса ≠ BW заказчика
ISP выделает (продает) часть BW физического интерфейса
Policers (на стороне ISP) обычно удаляет пакеты
Shapers (на стороне заказчика )обычно пытается сгладить всплески за счет
буферизации излишнего трафика
Иерархия в рамках доступной BW (родительская policy), ссылка на дочернюю policy
(hierarchical policy )
© 2012 Cisco and/or its affiliates. All rights reserved. 29
- 30. Without Traffic Shaping
Line
Rate
With Traffic Shaping
Shaped
Rate
Traffic Shaping Limits the Transmit Rate to a Value Lower Than Line
Rate
© 2012 Cisco and/or its affiliates. All rights reserved. 30
- 31. DSCP is copied to the
DSCP
new IP Header IP HDR IP Payload
GRE Tunnel
DSCP
DSCP
GRE
IP HDR HDR
IP HDR IP Payload
IPSec Tunnel mode
DSCP
DSCP
ESP ESP
IP HDR ESP HDR IP HDR IP Payload Trailer Auth
QoS classification/marking must occur before encryption !
QOS pre-classify is needed only if QOS classification requires Layer 3 and 4
information is needed for packet classification. This is need because original
header fields for port numbers are encrypted.
© 2012 Cisco and/or its affiliates. All rights reserved. 31
- 32. Классифицировать и маркировать – ближе к источнику
Не доверять пользовательским маркировкам
Использовать DSCP вместо IP Precedence– 64 vs 8
1-8 классов трафика
Ограничивать (police) нежелательный трафик ближе к источнику vs FW
Внедрять QoS где возможны скопления – oversubscription speed vs WAN Edge
Strict Priority – не более 33% от общей BW
Best Effort class – default class - не более 25% от общей BW
Использовать WRED для всех TCP-потоков для раннего предотвращения
скоплений (DSCP-based WRED)
© 2012 Cisco and/or its affiliates. All rights reserved. 32
- 33. © 2012 Cisco and/or its affiliates. All rights reserved. 33
- 34. * При обработки Internet mix (IMIX) трафика с
включенными сервисами (Sec, QoS,
3945E
маршрутизация) и загрузкой CPU не более 75
процентов
WAN Access Speed With Services
3925E
3945
3925
2951
2921
2911
1941/2901
1921
8XX
2- 15 Mb 15 Mb 25 Mb 35 Mb 50 Mb 75 Mb 100 Mb 150 Mb 250 Mb 350 Mb
© 2012 Cisco and/or its affiliates. All rights reserved. 34
- 35. Поддержка RPS
Поддержка 3G модема
WAN/LAN интерфейсные карты – 16-48 FE/GE, SFP, PoE
Сервисные модули: Wireless Controller, WAAS, CUME, SRST, CUE, NAM
DSP-ресурсы для локальной обработки голоса и видео конференции
Поддержка SRE-модулей, блейд-серверов пользовательские приложения
Поддержка шифрования на базе ДСТУ 28147:2009 (конфіденційна, що не є
власністю держави)
© 2012 Cisco and/or its affiliates. All rights reserved. 35
- 36. Помимо BW (производительность)
Кол-во подключаемых сайтов
Максимальная отказоустойчивость
© 2012 Cisco and/or its affiliates. All rights reserved. 36
- 37. © 2012 Cisco and/or its affiliates. All rights reserved. 37
- 38. 2 маршрутизатора, 2 канала связи, только Access Layer
Задействовано 2 протокола маршрутизации (в сторону WAN)
Необходим протокол маршрутизации (в сторону клиентов)
Active HSRP – всегда имеет информацию о всех маршрутах
Необходима “One Way Route Redistribution”
DMVPN
MPLS VPN
Internet
One Way Route Redistribution BGP
Summary EIGRP
EIGRP Summary
(200)
eBGP
Summary Routes Make Two- BGP EIGRP
Way Redistribution Unnecessary EIGRP EIGRP
EIGRP
(100)
Анонсирование всех необходимых подсетей (network)
Минимизация соседских интерфейсов (passive-interface)
Суммаризация подсетей (ip summary-address, aggregate-address)
© 2012 Cisco and/or its affiliates. All rights reserved. 38
- 39. Remote Site
D EX 10.5.192.0/21 [170/xxxx] via 10.5.52.3 MPLS B
AS 65402
10.5.192.0/21
MPLS A MPLS B
AS 65401 AS 65402
1. Узел посылает пакет к HSRP
R1 R2
active (10.5.52.1)
Gig0/1.64 (.2) (.3) Gig0/1.64 2. Пакет принимается R1 на Gig 0/1.64
(.1)
Active HSRP Router
10.5.52.0/24
3. R1 выполняет route lookup,
Vlan64 - data определяет next hop 10.5.52.3
4. R1 посылает пакет к 10.5.52.3,
10.5.52.10/24
через Gig0/1.64 (hairpin out same
intf)
Узел посылает данные 5. Пакет принимается R2 на Gig 0/1.64
удаленному узлу
(10.5.52.10 → 10.5.192.10) 6. Пакет перенаправляется в WAN
к конечному удаленному узлу
© 2012 Cisco and/or its affiliates. All rights reserved. 39
- 40. Remote Site
D EX 10.5.192.0/21 [170/xxxx] via 10.5.48.2 MPLS B
AS 65402
10.5.192.0/21
MPLS A MPLS B
AS 65401 AS 65402
Vlan99 - transit 1. Узел посылает пакет к HSRP
R1 10.5.48.0/30 R2
active (10.5.52.1)
Gig0/1.99 (.1) (.2)
Gig0/1.99
2. Пакет принимается R1 на Gig 0/1.64
Gig0/1.64 (.2) (.3) Gig0/1.64
(.1)
3. R1 выполняет route lookup,
Active HSRP Router
10.5.52.0/24
определяет next hop 10.5.48.2
4. R1 посылает пакет к 10.5.48.2,
Vlan64 - data
10.5.52.10/24
через Gig 0/1.99
5. Пакет принимается R2 на Gig 0/1.99
Узел посылает данные
удаленному узлу
6. Пакет перенаправляется в WAN
(10.5.52.10 → 10.5.192.10) к конечному удаленному узлу
© 2012 Cisco and/or its affiliates. All rights reserved. 40
- 41. IP SLA (IP service-level agreement) – генерация трафика и посылка его удаленному
узлу
Обычное IP устройство (ICMP reply) - доступность
Cisco устройство (IP SLA responder) – доступность, delay, jitter и т.д.
EOT (Enhanced Object Tracking) – отслеживание состояния объектов (interface line
protocol, IP route reachability, IP SLA и т.д.) и выполнение запланированных
действий
IP SLA + EOT + HSRP – оптимизация времени сходимости в случае сбоя на WAN
© 2012 Cisco and/or its affiliates. All rights reserved. 41
- 42. R1#
ip sla 100
icmp-echo 192.168.3.26 source-interface
B* 10.4.0.0/20 [20/0] via 192.168.3.26 GigabitEthernet0/0
timeout 1000
threshold 1000
frequency 15
ip sla schedule 100 life forever start-
Vlan99 - transit
192.168.3.26 R1 R2 time now
10.5.48.0/30
(.1) (.2) track 50 ip sla 100 reachability
Gig0/1.64 (.2) (.3) Gig0/1.64 interface GigabitEthernet0/1.64
encapsulation dot1Q 64
(.1)
ip address 10.5.52.2 255.255.255.0
Active HSRP Router
standby 1 ip 10.5.52.1
Vlan64 - data
standby 1 priority 110
standby 1 preempt
standby 1 track 50 decrement 10
Узел посылает данные
R2#
удаленному узлу interface GigabitEthernet0/1.64
(10.5.52.10 → 10.4.0.X) encapsulation dot1Q 64
ip address 10.5.52.3 255.255.255.0
standby 1 ip 10.5.52.1
standby 1 priority 105
standby 1 preempt
© 2012 Cisco and/or its affiliates. All rights reserved. 42
- 43. R1#
ip sla 100
icmp-echo 192.168.3.26 source-interface
B* 10.4.0.0/20 [20/0] via 192.168.3.26 GigabitEthernet0/0
timeout 1000
threshold 1000
frequency 15
ip sla schedule 100 life forever start-
time now
track 50 ip sla 100 reachability
IP SLA 192.168.3.26
Probe interface GigabitEthernet0/1.64
encapsulation dot1Q 64
Gig0/0
ip address 10.5.52.2 255.255.255.0
standby 1 ip 10.5.52.1
R1
standby 1 priority 110
standby 1 preempt
standby 1 track 50 decrement 10
Узел посылает данные
R2#
удаленному узлу interface GigabitEthernet0/1.64
(10.5.52.10 → 10.4.0.X) encapsulation dot1Q 64
ip address 10.5.52.3 255.255.255.0
standby 1 ip 10.5.52.1
standby 1 priority 105
standby 1 preempt
© 2012 Cisco and/or its affiliates. All rights reserved. 43
- 44. D EX 10.4.0.0/20 [170/xxxx] via 10.4.34.1
Vlan99 - transit
R1 R2 10.4.34.1
10.5.48.0/30
(.1) (.2)
Gig0/1.64 (.2) (.3) Gig0/1.64
IP SLA 192.168.3.26
Probe (.1)
Active HSRP Router
Vlan64 - data
Gig0/0
R1
R2# show standby brief
Interface Grp Pri P State Active Standby Virtual IP
Gi0/1.64 1 105 P Active local 10.5.52.2 10.5.52.1
R1#
08:59:00.117: %TRACKING-5-STATE: 50 ip sla 100 reachability Up->Down
08:59:01.321: %HSRP-5-STATECHANGE: GigabitEthernet0/1.64 Grp 1 state Active->Speak
08:59:12.569: %HSRP-5-STATECHANGE: GigabitEthernet0/1.64 Grp 1 state Speak->Standby
© 2012 Cisco and/or its affiliates. All rights reserved. 44
- 45. R1#
ip sla 100
icmp-echo 192.168.3.26 source-interface
GigabitEthernet0/0
timeout 1000
threshold 1000
IP SLA
frequency 15
Probe ip sla schedule 100 life forever start-time now
3G Wireless
WAN track 60 ip sla 100 reachability
Ce0/0/0 event manager applet ACTIVATE-3G
event track 60 state down
R1 action 1 cli command "enable"
action 2 cli command "configure terminal"
action 3 cli command "interface cellular0/0/0"
No HSRP action 4 cli command "no shutdown"
Required
Vlan64 - Data
action 5 cli command "end"
action 99 syslog msg "Activating 3G interface"
R1#
14:22:14: %TRACKING-5-STATE: 60 ip sla 100 reachability Up->Down
14:22:14: %SYS-5-CONFIG_I: Configured from console by on vty0(EEM:ACTIVATE-3G)
14:22:14: %HA_EM-6-LOG: ACTIVATE-3G: Activating 3G interface
14:22:34: %LINK-3-UPDOWN: Interface Cellular0/0/0, changed state to up
14:22:34: %DIALER-6-BIND: Interface Ce0/0/0 bound to profile Di1
14:22:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface Cellular0/0/0, changed state to up
14:22:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel10, changed state to up
14:22:40: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
14:22:42: %DUAL-5-NBRCHANGE: EIGRP-IPv4 200: Neighbor 10.4.34.1 (Tunnel11) is up: new adjacency
© 2012 Cisco and/or its affiliates. All rights reserved. 45
- 46. R1#
event manager applet TIME-OF-DAY-ACTIVATE-3G
event timer cron cron-entry "45 4 * * 1-5"
action 1 cli command "enable"
action 2 cli command "configure terminal"
action 3 cli command "interface cellular0/0/0"
action 4 cli command "no shutdown"
VPN Tunnel
action 5 cli command "end"
3G Wireless
WAN action 99 syslog msg "M-F @ 4:45AM Activating 3G int“
event manager applet TIME-OF-DAY-DEACTIVATE-3G
Ce0/0/0
event timer cron cron-entry "15 18 * * 1-5"
R1 action 1 cli command "enable"
action 2 cli command "configure terminal"
action 3 cli command "interface cellular0/0/0"
No HSRP action 4 cli command "shutdown"
Required
Vlan64 - Data
action 5 cli command "end"
action 99 syslog msg "M-F @ 6:15PM Deactivating 3G int"
© 2012 Cisco and/or its affiliates. All rights reserved. 46
- 47. Удаленные сайты не должны быть транзитными для трафика
По умолчанию BGP переанонсирует изученные Campus
маршруты dual-MPLS design MPLS-A MPLS-B
Dual-carrier сайты сбой у ISP Site 1 транзитный
для узлов MPLS B
транзитные потоки перегрузка каналов
AS-Path фильтрация только локальные маршруты
анонсируются
iBGP
router bgp 65511
neighbor 192.168.4.10 route-map NO-TRANSIT-AS out
!
ip as-path access-list 10 permit ^$ MPLS A MPLS B
!
route-map NO-TRANSIT-AS permit 10
match as-path 10
R1 R2 R1
iBGP
Site 1 Site 2
© 2012 Cisco and/or its affiliates. All rights reserved. 47
- 48. Stub Routing – улучшение стабильности сети и предотвращение транзита
Campus
Dual-carrier сайты Stub routing
стабильность, меньше ресурсов, проще
конфигурация
Stub routing только локальные и суммарные
маршруты анонсируются предотвращается
транзит через spoke сайт iBGP
DMVPN DMVPN
router eigrp 200 EIGRP EIGRP
eigrp stub connected summary
R1 R1
© 2012 Cisco and/or its affiliates. All rights reserved. 48
- 49. Логический интерфейс /32 всегда UP
DMVPN
Используйте loopback интерфейсы как:
EIGRP
router-id MPLS VPN (200) Internet
snmp-server trap-source Loopback0
ip ssh source-interface Loopback0
ip pim register-source Loopback0
ip tacacs source-interface Loopback0
ntp source Loopback0
Не забыть анонсировать Loopback !
interface Loopback0
ip address 10.255.251.201 255.255.255.255
router bgp 65511
bgp router-id 10.255.251.201
network 10.255.251.201 mask 255.255.255.255 Loopback
neighbor 192.168.3.22 remote-as 65401
router eigrp 200
network 10.255.0.0 0.0.255.255 All Loopbacks
eigrp router-id 10.255.251.201
© 2012 Cisco and/or its affiliates. All rights reserved. 49
- 50. DMVPN
MPLS VPN
Анонсировать loopback-интерфейсы при Internet
суммаризации BGP EIGRP
Суммарные анонсы одинаковые на R1 и R2 summary summary
EIGRP
Основной канал рабочий оба loopback- eBGP
(200)
интерфейса достижимы через основной канал
Анонс суммарных маршрутов через оба R1 R2
EIGRP
канала лучший путь через основной канал (100)
interface Loopback0 interface Loopback0
ip address 10.5.48.254 255.255.255.255 ip address 10.5.48.253 255.255.255.255
router bgp 65511 router eigrp 200
bgp router-id 10.5.48.254 network 10.4.34.0 0.0.1.255
network 10.5.52.0 mask 255.255.255.0 network 10.5.0.0 0.0.255.255
network 10.5.53.0 mask 255.255.255.0 passive-interface default
network 192.168.3.20 mask 255.255.255.252 no passive-interface Tunnel10
aggregate-address 10.5.48.0 255.255.248.0 summary-only eigrp router-id 10.5.48.253
neighbor 192.168.3.22 remote-as 65401 eigrp stub connected summary
no auto-summary interface Tunnel10
ip summary-address eigrp 200 10.5.48.0
255.255.248.0
© 2012 Cisco and/or its affiliates. All rights reserved. 50
- 51. DMVPN
MPLS VPN
Сбой основного канала резервный канал Internet
рабочий оба loopback-интерфейса EIGRP
достижимы через резервный канал summary
EIGRP
(200)
eBGP
R1 EIGRP R2
(100)
interface Loopback0 interface Loopback0
ip address 10.5.48.254 255.255.255.255 ip address 10.5.48.253 255.255.255.255
router bgp 65511 router eigrp 200
bgp router-id 10.5.48.254 network 10.4.34.0 0.0.1.255
network 10.5.52.0 mask 255.255.255.0 network 10.5.0.0 0.0.255.255
network 10.5.53.0 mask 255.255.255.0 passive-interface default
network 192.168.3.20 mask 255.255.255.252 no passive-interface Tunnel10
aggregate-address 10.5.48.0 255.255.248.0 summary-only eigrp router-id 10.5.48.253
neighbor 192.168.3.22 remote-as 65401 eigrp stub connected summary
no auto-summary interface Tunnel10
ip summary-address eigrp 200 10.5.48.0
255.255.248.0
© 2012 Cisco and/or its affiliates. All rights reserved. 51
- 52. DMVPN
Сбой канала между R1 и R2 MPLS VPN
Internet
Основной канал рабочий оба loopback- BGP
EIGRP
интерфейса достижимы через основной канал summary
summary
EIGRP
Анонс суммарных маршрутов через оба (200)
eBGP
канала лучший путь через основной канал
Однако! R2 loopback будет недостижим
трафик от HQ сайта через основной канал на R1 EIGRP R2
R1 не достигнет loopback R2 (100)
interface Loopback0 interface Loopback0
ip address 10.5.48.254 255.255.255.255 ip address 10.5.48.253 255.255.255.255
router bgp 65511 router eigrp 200
bgp router-id 10.5.48.254 network 10.4.34.0 0.0.1.255
network 10.5.52.0 mask 255.255.255.0 network 10.5.0.0 0.0.255.255
network 10.5.53.0 mask 255.255.255.0 passive-interface default
network 192.168.3.20 mask 255.255.255.252 no passive-interface Tunnel10
aggregate-address 10.5.48.0 255.255.248.0 summary-only eigrp router-id 10.5.48.253
neighbor 192.168.3.22 remote-as 65401 eigrp stub connected summary
no auto-summary interface Tunnel10
ip summary-address eigrp 200 10.5.48.0
255.255.248.0
© 2012 Cisco and/or its affiliates. All rights reserved. 52
- 53. Взаимная информированность о Loopback-интерфейсах
DMVPN
MPLS VPN
Internet
EIGRP
BGP
Используйте “LAN” протокол summary
summary
маршрутизации для анонса R2 EIGRP
(200)
loopback к R1 (и R1 loopback к R2) eBGP
R1 EIGRP R2
(100)
interface Loopback0 interface Loopback0
ip address 10.255.251.203 255.255.255.255 ip address 10.255.253.203 255.255.255.255
router eigrp 100 router eigrp 100
network 10.255.251.203 0.0.0.0 network 10.255.253.203 0.0.0.0
eigrp router-id 10.255.251.203 eigrp router-id 10.5.253.203
© 2012 Cisco and/or its affiliates. All rights reserved. 53
- 54. Решение проблемы доступности loopback R2 при аварии на канале R1-R2
Оба loopback интерфейса должны DMVPN
быть явно указаны в BGP
конфигурации
Правили синхронизации в BGP MPLS VPN
Internet
анонс через R1 loopback R2 только EIGRP
BGP
если он подтвержден EIGRP summary
summary
Если канал между R1 и R2 нарушен EIGRP
(200)
eBGP
loopback R1 доступен через R1,
loopback R2 доступен через R2 BGP EIGRP
Двусторонняя редистрибьюция
R1 EIGRP EIGRP EIGRP
R2
требуется на R2, но только loopback
(100)
интерфейсы должны
редистрибьютится от LAN в WAN
router bgp 65511
router eigrp 200
bgp router-id 10.255.251.203
network 10.255.0.0 0.0.255.255
network 10.255.251.203 mask 255.255.255.255
redistribute eigrp 100 route-map LOOPBACK-ONLY
network 10.255.253.203 mask 255.255.255.255
eigrp router-id 10.255.253.203
eigrp stub connected summary redistributed
ip access-list standard R1-LOOPBACK
Summary Routes Make Two- permit 10.255.251.203
Way Redistribution Unnecessary route-map LOOPBACK-ONLY permit 10
match ip address R1-LOOPBACK
© 2012 Cisco and/or its affiliates. All rights reserved. 54
- 55. Управление устройством через шифрованные средства
SSH and HTTPS – использовать безопасные (шифрование)
протоколы
Небезопасные средства выключить – Telnet, HTTP
ip domain-name cisco.local
ip ssh version 2
no ip http server
ip http secure-server
line vty 0 15
transport input ssh
Для управления устройством NMS
SNMP(v2c) should be configured for both a read-only and a read-write
community string
snmp-server community cisco*7^%# RO
snmp-server community cisco123^&*% RW
© 2012 Cisco and/or its affiliates. All rights reserved. 55
- 56. Управление устройством (SSH and HTTPS) контролируется
централизованной системой AAA
Основная система TACACS+ , резервная – локальная база на устройстве
enable secret c1sco123
service password-encryption
!
username admin password c1sco123
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa authorization console
ip http authentication aaa
tacacs-server host 10.4.48.15 key SecretKey123$#@%
© 2012 Cisco and/or its affiliates. All rights reserved. 56
- 57. NTP Server
IP Addr: 10.4.48.17
Troubleshooting a network event требует
корреляции между разными устройствами
(switches and routers)
Обеспечьте синхронизацию времени и
Si Si
временной зоны с NTP сервером
Si Si
Configure console messages, logs, and debug
Si Si
output to provide time stamps
Si Si
ntp server 10.4.48.17
!
clock timezone PST -8
clock summer-time PDT recurring
!
!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
© 2012 Cisco and/or its affiliates. All rights reserved. 57
- 58. © 2012 Cisco and/or its affiliates. All rights reserved. 58
- 59. Campus/ Summary
Data Center (10.5.0.0/16)
Важно осуществлять суммаризацию на уровне
распределения/ядра центрального сайта в
сторону “Edge WAN” и в сторону “campus & data
center”
В сторону “Edge WAN” анонсировать также
default
Суммаризация уменьшает потребление BW, Summaries
CPU, memory; ускоряет сходимость (10.4.0.0/16)
+
Default
10.4.0.0/16 – подсеть центрального сайта (0.0.0.0/0.0.0.0)
10.5.0.0/16 – подсеть удаленных сайтов
MPLS A MPLS B
© 2012 Cisco and/or its affiliates. All rights reserved. 59
- 60. Administrative distance – выбор лучшего
маршрута для одинаковых подсетей
(маршрутов) Default
Разные протоколы маршрутизации – разные AD Протокол маршрутизации Distance
Выбор лучшего маршрута для разных Connected Interface 0
протоколов маршрутизации
Static Route 1
Диапазон administrative distance 1 – 255
Приоритет у минимального значения EIGRP Summary Route 5
Метрики – выбор между одинаковыми
BGP external (eBGP) 20
протоколами маршрутизации
EIGRP internal 90
OSPF 110
IS-IS 115
RIP 120
EIGRP External 170
BGP Internal (iBGP) 200
Unknown 255
© 2012 Cisco and/or its affiliates. All rights reserved. 60
- 61. OSPF EIGRP OSPF
Как происходит
определение лучшего
маршрута ?
10.0.14.0/24 10.0.14.0/24 10.0.14.0/25
Сравниваются только
идентичные маршруты (с
одинаковой длиной маски) 2 идентичных
Одинаковые маршруты с
маршрута
разной длиной маски - EIGRP Internal = 90
неидентичные маршруты OSPF = 110
Маршруты с минимальным
значением AD находятся в
1 неидентичный
таблице маршрутизации
маршрут
router#show ip route 10.0.14.0 255.255.255.0 longer-prefixes
10.0.0.0/8 is variably subnetted, 16 subnets, 3 masks
O IA 10.0.14.0/25 [110/40] via 10.0.67.6, 00:02:02, Ethernet0/1
D 10.0.14.0/24 [90/358400] via 10.0.37.3, 2d12h, Ethernet0/0
© 2012 Cisco and/or its affiliates. All rights reserved. 61
- 62. BGP Prefers Path with:
Highest Weight (default value of weight is 0 and the range is from 0 to 65535)
Highest Local PREF
Locally originated via network or aggregate BGP
Shortest AS_PATH
Lowest Origin type
IGP>EGP>INCOMPLETE
Lowest MED
eBGP over iBGP paths
Lowest IGP metric to BGP next hop
weight parameter should always be used to influence BGP routing decision !
© 2012 Cisco and/or its affiliates. All rights reserved. 62
- 63. EIGRP использует композитную метрику
EIGRP Metric = 256*([K1*Bw + K2*Bw/(256-Load) + K3*Delay]*[K5/(Reliability + K4)])
Bandwidth [Bw] – минимальная BW на всем пути
Delay – суммарная задержка на всем пути
Load (1-255)
Reliability (1-255)
MTU (minimum along path)
По умолчанию: (K1=K3=1; K2=K4=K5=0)
EIGRP Metric = 256 * (bandwidth + delay)
Delay parameter should always be used to influence EIGRP routing decision !
© 2012 Cisco and/or its affiliates. All rights reserved. 63
- 64. Вариант неправильного выбора основного маршрута (через DMVPN) при Dual-Path дизайне
D 10.5.48.0/21 [90/xxxxx] via 10.4.32.18
eBGP маршруты редистр. в EIGRP
100 как внешние маршруты с AD =
170
WAN Distribution Если EIGRP AS для центрального
Layer сайта = EIGRP AS DMVPN сети
путь через DMVPN (Internet)
приоритетнее (AD = 90) чем через
10.4.32.18
WAN (MPLS)
DMVPN Hub
MPLS CE Router
Router
EIGRP EIGRP
eBGP EIGRP
BGP AS = 65511
Mutual Route Redistribution
eBGP
EIGRP
(100)
MPLS A
AS 65401
DMVPN 1
Remote Site
10.5.48.0/21
© 2012 Cisco and/or its affiliates. All rights reserved. 64
- 65. Вариант правильного выбора основного маршрута (через MPLS) при Dual-Path дизайне
Разные EIGRP AS процессы для
D EX 10.5.48.0/21 [170/34304] via 10.4.32.2
контроля над маршрутной
информацией:
- EIGRP AS100 – HQ,
WAN Distribution
- EIGRP AS200 – DMVPN туннель Layer
Маршруты EIGRP 200 редистр. в
EIGRP 100 D EX (AD = 170)
10.4.32.2
DMVPN hub router# DMVPN Hub
router eigrp 100 Router
MPLS CE Router
redistribute eigrp 200
EIGRP EIGRP
EIGRP исп. bandwidth и delay метрики в
BGP
случае идентичности prefix и AD EIGRP
BGP AS = 65511
Если маршруты от обоих WAN
источников = equal-cost paths исп. eBGP
EIGRP delay для правильного выбора EIGRP
пути (через MPLS) (200)
MPLS A
AS 65401 DMVPN 1
MPLS CE router#
Remote Site
router eigrp 100
default-metric 1000000 10 255 1 1500 10.5.48.0/21
© 2012 Cisco and/or its affiliates. All rights reserved. 65
- 66. Нужно ли контролировать маршрутную информацию при Dual-Path дизайне ?
D EX 10.5.48.0/21 [170/xxxx] via 10.4.32.18
WAN Distribution Layer
10.4.32.1 10.4.32.18
D EX 10.5.48.0/21 [170/xxxx] via 10.4.32.1
DMVPN Hub
MPLS CE Router
Router
EIGRP
В случае сбоя WAN-канала, MPLS CE EIGRP
использует альтернативный путь к remote BGP EIGRP
сайту через distribution layer (EIGRP route)
Маршрут удаленного сайта редистр. в eBGP BGP AS = 65511
BGP с weight = 32768 EIGRP
(200)
MPLS A
AS 65401 DMVPN 1
Remote Site
10.5.48.0/21
© 2012 Cisco and/or its affiliates. All rights reserved. 66
- 67. Нужно ли контролировать маршрутную информацию при Dual-Path дизайне ?
D EX 10.5.48.0/21 [170/xxxx] via 10.4.32.18
WAN Distribution
Layer
D EX 10.5.48.0/21 [170/xxxx] via 10.4.32.1
10.4.32.1 10.4.32.18
MPLS CE Router
DMVPN Hub
Router
После восстановления WAN-канала, EIGRP
MPLS CE получает BGP уведомления о EIGRP
маршрутах удаленного сайта BGP EIGRP
BGP AS = 65511
Какой из 2-х BGP-маршрутов окажется в
таблице маршрутизации ? eBGP 192.168.3.2
EIGRP
(200)
MPLS A
AS 65401 DMVPN 1
X B 10.5.48.0/21 [20/0] via 192.168.3.2
Remote Site
10.5.48.0/21
Маршрут через WAN Distribution !
© 2012 Cisco and/or its affiliates. All rights reserved. 67
- 68. Нужно ли контролировать маршрутную информацию при Dual-Path дизайне ?
CE-1#show ip bgp 10.5.48.0 255.255.248.0
BGP routing table entry for 10.5.48.0/21, version 1293
Paths: (3 available, best #3, table default)
Advertised to update-groups:
4 5 WAN Distribution
65401 65401, (aggregated by 65511 10.5.48.254) Layer eBGP route
192.168.3.2 from 192.168.3.2 (192.168.100.3) (no weight
Origin IGP, localpref 100, valid, external, atomic-aggregate defined)
Local 10.4.32.1
10.4.32.1 from 0.0.0.0 (10.4.32.1)
Origin incomplete, metric 3584, localpref 100, weight 32768, valid, sourced, best
DMVPN Hub
MPLS CE Router
Router
EIGRP EIGRP
После восстановления WAN-канала, BGP EIGRP
distribution layer маршрут останется в
таблице из-за BGP weight 32768 > 0 BGP AS = 65511
eBGP
EIGRP
(200)
MPLS A
AS 65401 DMVPN 1
Remote Site
10.5.48.0/21
© 2012 Cisco and/or its affiliates. All rights reserved. 68
- 69. Нужно ли контролировать маршрутную информацию при Dual-Path дизайне ?
Варианты решения
Проводить настройку атрибутов (weight)
Campus/
neighbor 10.4.142.2 weight 35000
Data Center
Использовать iBGP
При редистр. BGPEIGRP маршруты содержат
Route tag самой последней AS
Использовать route-map для блокировки WAN
маршрутов при редистрибьюции BGPEIGRP
(MPLS маршруты всегда известны через iBGP)
EIGRP routes
router eigrp 100
distribute-list route-map BLOCK-TAGGED-ROUTES in from
default-metric [BW] 100 255 1 1500 distribution
redistribute bgp 65511
layer
route-map BLOCK-TAGGED-ROUTES deny 10
iBGP
match tag 65401 65402
route-map BLOCK-TAGGED-ROUTES permit 20
MPLS A MPLS B
AS 65401 AS 65402
© 2012 Cisco and/or its affiliates. All rights reserved. 69
- 70. © 2012 Cisco and/or its affiliates. All rights reserved. 70
- 71. Трафик данных + критические приложения
Централизация ресурсов Cloud-based IT services и cloud computing
Безопасность целостность, конфиденциальность, доступность
Internet + crypto MPLS + crypto
Голос + видео: one-to-many (i.e., Internet broadcast) and many-to-many (i.e., conferencing)
© 2012 Cisco and/or its affiliates. All rights reserved. 71