Архитектура и принципы проектирования многоуровневых...
DESCRIPTION
TRANSCRIPT
Станислав Рыпалов, CCIE R&S/Security #12561Системный инженер
Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 1.
Содержание Основы дизайна кампуса
Основные сервисы
Рекомендации по проектированию
VSS
Виртуализация
Соображения IP телефонии
Качество обслуживания (QoS)
Безопасность
Собираем всё вместе
SiSiSiSi
SiSiSiSi
SiSi
Data Center
SiSi SiSi
ServicesBlock
Distribution Blocks
SiSi SiSi SiSi
Доступность сети класса предприятияНадёжная Коммутационная Фабрика Кампуса
Отказоустойчивость сети
Отказоустойчивость систем
Эффективное управление
Ухо человека замечает разницу в голосе при пропадании 10 пакетов G.711 или вариации задержки 150-200 мсек
Видео менее устойчиво к потерям пакетов и задержке
Время конвергенции в кампусе 200 мсек
Next-Generation AppsVideo Conf., Unified Messaging,Global Outsourcing, E-Business, Wireless Ubiquity
Mission Critical Apps.Databases, Order-Entry,CRM, ERP
Desktop AppsE-mail, File and Print
Конечная цель……………..100%
ПРИЛОЖЕНИЯ ДИКТУЮТ ТРЕБОВАНИЯ К ДОСТУПНОСТИ СЕТИ
Системный подход в обеспечении высокой доступности
Data CenterWAN Internet
SiSi SiSi SiSi SiSi SiSi SiSi
SiSi SiSi
SiSi SiSiSiSi SiSi
SiSi SiSi
Доступ
Ядро
Распределение
Распределение
Доступ
Отказоустойчивый Структурированный Модульный Иерархический Дизайн
SiSi SiSi
SiSiSiSi
SiSi SiSi
Иерархический дизайн сети
«Строительный» блок
Доступ
Распределение
Ядро
Распределение
Доступ Иерархия—каждый уровень имеет свою роль
Модульность—строительные блоки Легко наращивать, понимать и
устранять неисправности Небольшие домены/блоки —
чёткая демаркационная линия и изоляция неисправностей
Балансировка нагрузки и отказоустойчивость
Предсказуемость пути трафика Использование лучших методов как
Уровня 2, так и Уровня 3 Применение маршрутизации для
балансировки нагрузки, быстрой сходимости, масштабируемости и контроля
Без твёрдых основ всё остальное не имеет смысла
Уровень Доступа
Не только связность Функции Уровня 2/Уровня 3; сходимость,
доступность, безопасность, QoS, IP multicast, и т.д.
Сервисы сети: QoS, границы доверия, снижение кол-ва широковещательных запросов, IGMP snooping
Сервисы сети: PVST+, Rapid PVST+, EIGRP, OSPF, DTP, PAgP/LACP, UDLD, FlexLink, и т.д.
Встроенные функции безопасности Cisco Catalyst® IBNS (802.1x), (CISF): port security, DHCP snooping, DAI, IPSG и т.д.
Автоматическое обнаружение телефонов, граница доверия, power over Ethernet, голосовойVLAN и т.д.
Набор средств Spanning Tree: PortFast, UplinkFast, BackboneFast, LoopGuard, BPDU Guard, BPDU Filter, RootGuard и т.д.
Доступ
Распре-деление
ЯдроSiSiSiSi
SiSi SiSi
Среда с богатым набором функций
SiSiSiSi
SiSi SiSi
Уровень Распределения
Доступ
Распре-деление
Ядро
Политики, Сходимость, QoS и Высокая Доступность
Доступность, балансировка нагрузки, QoS важны на этом уровне
Агрегация соединений от уровня доступа и подключение к ядру
Ограничение скорости потоков (защита ядра) и изоляция проблем уровня доступа
Суммаризация маршрутов, быстрая сходимость,балансировка нагрузки
HSRP или GLBP для резервирования шлюза по умолчанию
SiSiSiSi
SiSi SiSi
Уровень Ядра
Фундамент сети—соединяет «строительные» блоки
Сложность/Производительность и стабильность—чем меньше тем лучше
Точка агрегации соединений от уровня Распределения
Выделенный уровень ядра обеспечивает возможность расширения и роста
Сохраняйте дизайн независимо от технологий
Доступ
Распре-деление
Ядро
Масштабируемость, Высокая Доступность и Быстрая Сходимость
Нужен ли мне уровень Ядра?
БЕЗ ЯДРА Полносвязность блоков распределения Дополнительные
соединения Сложная
маршрутизация
4-й Блок12 новых соед.24 ИТОГО
8 IGP соседей
3-й Блок8 новых соед.
12 ИТОГО
5 IGP соседей
Второй блок–4соединения
Вопрос масштабируемости, сложности и сходимости
2-й Блок8 новых соед.
Нужен ли мне уровень Ядра?
Выделенные коммутаторы ядра Легче добавлять модули/блоки Меньше соединений Легче наращивать полосу
пропускания Снижение кол-ва IGP peer Эквивалентные соед.
Уровня 3 обеспечиваютбыструю сходимость
4-й Блок4 новых соед.
16 ИТОГО
3 IGP соседа
3-й Блок4 новых соед.
12 ИТОГО
3 IGP соседа
Это вопрос масштабируемости, сложности и сходимости
Data CenterWAN Internet
SiSi SiSi SiSi SiSi
SiSi SiSi
SiSi SiSiSiSi SiSi
SiSi SiSi
Доступ
Ядро
Распределение
Распределение
Доступ
Альтернативные решения на распределенииLayer 2 Access Routed Access Virtual Switching System
Соединения L3 на распределении
Балансировка нагрузки через отстроенный CEF
Проверка настроек CatOS/IOS EtherChannel для балансировки
Суммаризация маршрутов в сторону ядра
Ограничение избыточных/резерв. IGP соединений
Настройка STP Root и HSRP primaryили GLBP для балансировки нагрузки на uplink’ах
Устанавливаем trunk mode on/no-negotiate
Выключаем EtherChannel, если не используем
На уровне доступа:Выключить trunkingВыключить EtherChannelВключить PortFast
RootGuard или BPDU-Guard Используем функции безопасности
Доступ
Распре-деление
Ядро
Доступ Уровень 2— нет VLAN’ов распределённых по уровню доступа
VLAN 120 Voice10.1.120.0/24
Point-to-Point Link
VLAN 20 Data10.1.20.0/24
VLAN 140 Voice10.1.140.0/24
SiSi SiSi
SiSi SiSi
VLAN 40 Data10.1.40.0/24
Layer 3
VLAN 250 WLAN10.1.250.0/24
Соединения L2 на распределении Балансировка нагрузки через
отстроенный CEF Проверка настроек CatOS/IOS
EtherChannel для балансировки Суммаризация маршрутов в сторону
ядра Ограничение избыточных/резерв.
IGP соединений Настройка STP Root и HSRP primary
или GLBP и STP port cost для балансировки на uplink’ах
Устанавливаем trunk mode on/no-negotiate
Выключаем EtherChannel, если не используем
RootGuard на downlink’ах LoopGuard на uplink’ах На уровне доступа:
Выключить trunkingВыключить EtherChannelВключить PortFast
RootGuard или BPDU-Guard Используем функции безопасности
VLAN 120 Voice10.1.120.0/24
Trunk
VLAN 20 Data10.1.20.0/24
VLAN 140 Voice10.1.140.0/24
SiSi SiSi
SiSi SiSi
Layer 2
Доступ Уровень 2— часть VLAN’ов распределены по уровню доступа
VLAN 40 Data10.1.40.0/24
Доступ
Распре-деление
Ядро
VLAN 20 Data10.1.20.0/24
Маршрутизируемый доступ иVirtual Switching System
VLAN 120 Voice10.1.120.0/24
P-to-P Link
Layer 3
VLAN 20 Data10.1.20.0/24
VLAN 140 Voice10.1.140.0/24
VLAN 40 Data10.1.40.0/24
SiSi SiSi
SiSi SiSi
Новый вариант
VLAN 40 Data10.1.40.0/24
SiSi SiSi
VLAN 120 Voice10.1.120.0/24VLAN 140 Voice10.1.140.0/24VLAN 250 WLAN10.1.250.0/24
Эволюция существующего дизайна
Доступ
Распре-деление
Ядро
VSS & vPC
Основные сервисы Физические соединения
(Уровень 1)
Резервирование на Уровне 2—spanning tree
Протоколы маршрутизации
Транковые протоколы—(ISL/.1q)
Unidirectional link detection
Балансировка нагрузкиагрегация EtherChannelБалансировка CEF equal cost
Защита шлюза по умолчаниюVRRP, HSRP или GLBP
Spanning
TreeRouting
HSRP
Data CenterWAN Internet
Layer 3 Equal Cost Links
Layer 3 Equal Cost Links
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Физический уровень – лучшие практики
Используйте соединения point-to-point — без дополнительных точек агрегации L2 между узлами
Используйте оптические соединения для уменьшения времени сходимости(debounce timer)
Настройка carrier таймерови задержек
Используйте физические интерфейсы вместо VLAN/SVI там где возможно
Отказоустойчивость и взаимодействие протоколов Непрямые неисправности
соединения тяжело обнаружить
Без прямого сообщения от физического интерфейса о пропаже соединения или изменении топологии время конвергенции зависит от программных средств
Непрямая неисправность в коммутируемой среде детектируется spanning tree helloпакетами
Для некоторых топологий нам необходимы TCN обновления или multicast flooding (uplink fast) для обеспечения сходимости SiSi
SiSi
SiSi
BPDUs
Hub
SiSi
SiSi
SiSi
Hub
HellosОбнаружение неисправности соединения
Отказоустойчивость и взаимодействие протоколов
Прямые оптические соединения обеспечивают быстрое обнаружение неисправности
Протоколы IEEE 802.3z и 802.3ae определяют работу сигнализации неисправности соединения
Бит D13 в Fast Link Pulse (FLP) может быть установлен для индикации физической неисправности
Не отключайте auto-negotiation на интерфейсах GigE и 10GigE
Таймер отключения на оптическихинтерфейсах GigE и 10GigE карт 10 мсек
Минимальное время отключения для витой пары 300 msec
Carrier-delay 3560, 3750 и 4500—0 мсек6500—установлен по умолчанию
1
2
3
Linecard Throttling: Debounce Timer
Механизм определения неисправностиIEEE
Cisco IOS® Throttling: Carrier Delay Timer
SiSi SiSi
1
Отказоустойчивость соединения и обнаружение неисправности
Отказоустойчивость и взаимодействие протоколов Интерфейсы L3 routed обеспечивают лучшую сходимость чем L2 порты
ассоциированные с L3 SVI
21:32:47.813 UTC: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/1, changed state to down21:32:47.821 UTC: %LINK-3-UPDOWN: Interface GigabitEthernet2/1, changed state to down21:32:48.069 UTC: %LINK-3-UPDOWN: Interface Vlan301, changed state to down21:32:48.069 UTC: IP-EIGRP(Default-IP-Routing-Table:100): Callback: route, adjust Vlan301
21:38:37.042 UTC: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet3/1, changed state to down21:38:37.050 UTC: %LINK-3-UPDOWN: Interface GigabitEthernet3/1, changed state to down21:38:37.050 UTC: IP-EIGRP(Default-IP-Routing-Table:100): Callback: route_adjust GigabitEthernet3/1
SiSiSiSi
L2SiSiSiSi
L3
~ 8 мсек потери
~ 150–200 мсек потери
Уровни 2 и 3—зачем использовать маршрутизируемые интерфейсы
1. Link Down2. Interface Down3. Autostate4. SVI Down5. Routing Update
1. Link Down2. Interface Down3. Routing Update
Лучшие практики—конфигурация STP
Используйте одинаковый номер VLAN на нескольких коммутаторах доступа только если это необходимо!
Используйте rapid PVST+ длялучшей сходимости
Чаще применяется в центрах обработки данных
Требуется для защиты от петель на стороне пользователей
Требуется для защиты от случайных ошибок ( неправильная конфигурация или ошибки HW)
Применяйте набор средств/функций spanning tree
Data CenterWAN Internet
Layer 3 Equal Cost Links
Layer 3 Equal Cost Links
Layer 2 Loops
VLAN 100 VLAN 100 VLAN 100
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Многоуровневый сетевой дизайн
Каждый коммутатор доступа имеет свой набор VLAN
Нет петель уровня 2 Соединения уровня 3 между
коммутаторами распределения Нет заблокированных
соединений
Как минимум один VLANраспределён на несколько коммутаторов доступа
Петли уровня 2 Уровень 2 и 3 присутствуют на
соединениях на распределении Заблокированные соединения
SiSi SiSi SiSi SiSi
Vlan 10 Vlan 20 Vlan 30 Vlan 30 Vlan 30 Vlan 30
Доступ уровня 2 с распределением уровня 3
0
5
10
15
20
25
30
35
PVST+ Rapid PVST+
UpstreamDownstream
Оптимизация сходимости L2
Tim
e to
Res
tore
Dat
a Fl
ows
(sec
)
PVST+, Rapid PVST+ или MST
Rapid-PVST+ существенно уменьшает время сходимости для любого VLAN, который требует изменения топологии из-за подъёма соединения
Rapid-PVST+ улучшает время сходимости для случая неисправности на непрямых соединениях
PVST+ (802.1d)Традиционное внедрение STP
Rapid PVST+ (802.1w)Хорошо масштабируется(~10,000 портов)
Легко внедрять, проверено
MST (802.1s)Обеспечивает работу STP при больших внедрениях(~30,000 портов)
Нет гибкости rapid PVST+
Защита Уровня 2
Правильно располагайте root
Root primary/secondary macro
root bridge должен находиться там где Вы его назначили
RootGuardLoopGuardUplinkFastUDLD
Только рабочие станции должны быть видны за конечными портами
BPDU GuardRootGuardPortFastPort-security
SiSiSiSi
BPDU Guard илиRootGuard
PortFastPort Security
RootGuard
UplinkFast
STP Root
LoopGuard
LoopGuard
Поведение Spanning Tree должно быть предсказуемым!
Data CenterWAN Internet
Layer 3 Equal Cost Links
Layer 3 Equal Cost Links
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Лучшие практики—протоколы маршрутизации Обычно внедряют между уровнем
распределения и ядра, и на соединениях ядра
Используются для быстрого переключения в обход неисправных соединений и узлов, и обеспечения балансировки нагрузки между резервными соединениями
Топология «треугольник» обеспечивает предсказуемое время конвергенции
Ограничьте соседство только теми соединениями, которые будут использованы для транзита
Проверяйте L3 пути на отсутствие «чёрных» дыр
Используйте суммаризацию для снижения кол-ва запросов EIGRP и распространения OSPF LSA
Настройте балансировку CEF L3/L4 для достижения максимальной эффективности использования эквивалентных соединений(CEF polarization)
Лучшие практики—треугольники и квадраты
Эквивалентные резервированные соединения уровня 3 поддерживают быструю сходимость
Аппаратная—быстрое восстановление в резервные соединения Исключительно быстрая сходимость (двойные эквив. пути: нет
необходимости для OSPF или EIGRP в расчёте нового пути)
«Треугольник»: Потеря соединения/узлане требует конвергенции протокола маршрутизации
Model A
«Квадрат»: Потеря соединения/узлатребует конвергенции протокола маршрутизации
Model B
SiSi
SiSiSiSi
SiSi SiSi
SiSiSiSi
SiSi
Предсказуемость против Непредсказуемости
Лучшие практики—Пассивные интерфейсы для IGP
Ограничивайте ненужное взаим. используя пассивные интерфейсы:
4 VLAN’а на узел дистрибьюцииИтого 12 соседствЗатраты на память и ресурсы CPU без реальных преимуществДополнительная нагрузка на IGP
RoutingUpdates
Пример OSPF:
Router(config)#router ospf 1Router(config-router)#passive-interfaceVlan 99
Router(config)#router ospf 1Router(config-router)#passive-interface defaultRouter(config-router)#no passive-interface Vlan 99
Пример EIGRP:
Router(config)#router eigrp 1Router(config-router)#passive-interfaceVlan 99
Router(config)#router eigrp 1Router(config-router)#passive-interface defaultRouter(config-router)#no passive-interface Vlan 99
Distribution
Access
SiSiSiSi
Ограничивайте взаимодействие/peeringOSPF и EIGRP через уровень доступа
10.1.2.0/2410.1.1.0/24
Суммаризация на уровне распределения
Важно обеспечить суммаризацию от уровня распределения в сторону ядра
Для построения обратного пути требуется маршрутная информация OSPF или EIGRP
Ограничивая количество peer’ов опрашиваемых EIGRP или кол-во обрабатываемых LSAs вOSPF мы оптимизируем процесс перемаршрутизации
Пример EIGRP:
SiSiSiSi
SiSi SiSi
No SummariesQueries Go Beyond the Core
Rest of Network
interface Port-channel1description to Core#1ip address 10.122.0.34 255.255.255.252ip hello-interval eigrp 100 1ip hold-time eigrp 100 3ip summary-address eigrp 100 10.1.0.0 255.255.0.0 5
Доступ
Распре-деление
Ядро
Ограничить распространение EIGRP Queries и OSPF LSA
SiSiSiSi
SiSi SiSi
Суммаризация на уровне распределения
Важно обеспечить суммаризацию от уровня распределения в сторону ядра
Для построения обратного пути требуется маршрутная информация OSPF или EIGRP
Ограничивая количество peer’ов опрашиваемых EIGRP или кол-во обрабатываемых LSAs в OSPF мы оптимизируем процесс перемаршрутизации
Для EIGRP, если есть суммаризация на распределении, мы останавливаем запросы от ядра на изменения (flap) происходящие на уровне доступа
Для OSPF, суммаризация обеспечивает снижения кол-ва LSA 10.1.2.0/2410.1.1.0/24
Rest of Network
Summary:10.1.0.0/16
SummariesStop Queries at the Core
Снижение сложности сходимости IGP
Доступ
Распре-деление
Ядро
Суммаризация на уровне распределения
Суммируйте маршруты на уровне распределения для снижения кол-ва запросов EIGRP и OSPF LSA
Пример:Upstream: при падении соед. отработает HSRP и трафик пойдёт через коммутатор слева
Return path: старый маршрутизтор анонсирует суммарный маршрут в ядро
Обратный трафик будет отброшен на правом коммутаторе
Суммаризация требует наличия соединения между коммутаторами распределения
Альтернатива: используйте уровень доступа для транзита
10.1.2.0/2410.1.1.0/24
Summary:10.1.0.0/16
SiSiSiSi
SiSi SiSi
Совет—Обязательно соединение Распределение-Распределение
Доступ
Распре-деление
Ядро
Альтернативные пути
Что если сломается? Нет маршрута в ядро? Позволить трафику пройти
через уровень доступа?Хотите ли вы использовать коммутаторы доступа для транзита?Каким образом обеспечить необходимую производительность?
Создайте запасной маршрут в ядро
Лучшие практики: создайте запасное соединение с ядром и используйте L3 соединения на уровне распределения
Single Pathto Core
A B
SiSiSiSi
SiSiSiSi
Доступ
Распре-деление
Ядро
SiSi
Load-Sharing Simple
Балансирование нагрузки по эквивалентным путям В зависимости от потоков трафика
и IP адресации один из алгоритмов может оказаться лучше других
Будьте осторожны с эффектом поляризации, внося изменения в настройки по умолчанию на всех уровнях
SiSiSiSi
SiSi
30% of Flows
70% of Flows
SiSiSiSi
SiSiSiSiLoad-Sharing Simple
Load-Sharing Full Simple
* = Default Load-Sharing Mode** = PFC3 in Sup720 and Sup32 Supervisors
Опции Catalyst 6500 PFC3** Load-SharingDefault* Src IP + Dst IP + Unique IDFull Src IP + Dst IP + Src Port + Dst PortFull Exclude Port Src IP + Dst IP + (Src or Dst Port)Simple Src IP + Dst IPFull Simple Src IP + Dst IP + Src Port + Dst Port
Опции Catalyst 4500 Load-SharingOriginal Src IP + Dst IPUniversal* Src IP + Dst IP + Unique IDInclude Port Src IP + Dst IP + (Src or Dst Port) + Unique ID
Оптимизация балансировки CEF
SiSiSiSi
SiSi SiSi
SiSi SiSi
Балансирование нагрузки CEF
Поляризация CEF: без некоторого тюнинга CEF будет выбирать одинаковый путь левый/левый илиправый/правый
Может возникнуть дисбаланс/перегрузка
Резервные пути игнорируются/перегружаются
По умолчанию на CEF хэшвлияет L3
Мы можем изменить это поведение используя информацию L3 + L4 как параметры влияния на хэш
L
L
R
R
Игнорирование резервных путей
DistributionDefault L3 Hash
CoreDefault L3 Hash
DistributionDefault L3 Hash
Избегайте перегрузки резервных L3 путей
SiSiSiSi
SiSi SiSi
SiSi SiSi
CEF Load Balancing
По умолчанию для Sup720/32 добавляется уникальный ID потока. Тем не менее, может возникать дисбаланс зависящий от схемы адресации.
Чередование L3/L4 хэша и L3 хэша обеспечивает наилучший результат для балансирования нагрузки
Применяйте схему simple в ядре и full simple на распределении для добавления L4 информации к алгоритму. Поддерживайте различные схемы от уровня к уровню.
RL
RL
RL
All Paths Used
DistributionL3/L4 Hash
CoreDefault L3 Hash
DistributionL3/L4 Hash
Избегайте перегрузки резервных L3 путей
Лучшие практики—конфигурация транков
Обычно внедряются между коммутаторами распределения и доступа
Используйте VTP transparent mode для снижения вероятности ошибки
«Жёсткие» установки режима транка и типа инкапсуляции для оптимальной конвергенции
Измените номер native VLAN на что-нибудь неиспользуемое для предотвращения атакиVLAN hopping
Вручную удалите все неиспользуемые на транке VLAN’ы
Выключите на портах хостов:CatOS: set port hostCisco IOS: switchport host Data CenterWAN Internet
Layer 3 Equal Cost Links
Layer 3 Equal Cost Links
802.1q Trunks
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
VTP Virtual Trunk Protocol
Централизованное управление VLAN
Коммутатор VTP server распространяет БД VLAN на клиентские коммутаторы VTP
Работает только на транках 4 режима:
Server: обновляет VLAN БДна клиентах и др. серверах VTPClient: получает обновления—не может внести измененияTransparent: прозрачное прохождение VTPOff: ignores VTP updates
FServer
Set VLAN 50
Trunk
Trunk Trunk
Client
Off
Trunk
A
B
C
Client
Transparent
Ok, I Just Learned VLAN 50!
Drop VTP Updates
Pass Through Update
Ok, I Just LearnedVLAN 50!
DTP Dynamic Trunk Protocol
Автоматическое установление транка между коммутаторами
On: всегда транкDesirable: запрос удалённой стороныAuto: если есть запрос то переключение в транкOff: выкл. режима транка
Установление типа инкапсуляции 802.1Q или ISL
ISL: пытаемся использовать ISL802.1q: пытаемся использовать802.1qNegotiate: договариваемся ISL или 802.1qNon-negotiate: всегда используем установленный тип инкапсуляции
On/OnTrunk
Auto/DesirableTrunk
Off/OffNO Trunk
Off/On, Auto, DesirableNO Trunk
SiSi SiSi
SiSi SiSi
SiSi SiSi
SiSiSiSi
0
0.5
1
1.5
2
2.5
Tim
e to
Con
verg
e in
Sec
onds
Trunking Desirable Trunking Nonegotiate
Оптимизация сходимости: настройки транка
Установка DTP уменьшает время сходимости на транкеCatOS> (enable) set trunk <port> nonegotiate dot1q <vlan>
IOS(config-if)# switchport mode trunk
IOS(config-if)# switchport nonegotiate
Voice Data
-2 секунды задержки
SiSi
Состояние Trunk Auto/Desirable требует времени для отстройки
Транки/VTP/DTP—ИТОГИ
Применяйте режим VTP transparent; создаёт дополнительную административную нагрузку, но позволяет контролировать распространение VLAN’ов на коммутаторах доступа
Технологии безопасности, которые используют управление VLAN’ами по имени (802.1X, NAC и т.д.) требуют уникальной БД VLAN’овна коммутаторах доступа, если действует правило: A VLAN = A Subnet = AN коммутатор доступа
Придерживайтесь «жёстких» режимов DTP ON/ON и NO NEGOTIATE; баланс междупроизводительностью/доступностью идополнительными сложностями в настройке
Режим ON/ON и NO NEGOTIATE быстреепозволяет восстановить соединение чем режим desirable/desirable. Недостаток в том что, конфигурация DTP не позволяет активно мониторить состояние транка и неправильно настроенный транк достаточно тяжело обнаружить
Настройка транка это баланс между скоростью сходимости и гибкостью управления …
Лучшие практики— конфигурация UDLD Внедряется на любом
оптическом соединении
Применяйте режим UDLD aggressive mode для агрессивной защиты
Включайте в режиме общей конфигурации для исключения ошибок/пропусков
ПримерCisco IOS:udld aggressive
Data CenterWAN Internet
Layer 3 Equal Cost Links
Layer 3 Equal Cost Links
Fiber Interconnections
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Обнаружение однонаправленных соединений Высоко-доступные сети требуют наличие
UDLD для защиты от однонаправленных коммуникаций или частично неисправных соединений и эффекта, который они могут оказывать на STP илиRSTP
Используется на оптических соединениях, где возможны проблемы с коммутацией оптических пар на панелях распределения
Каждый порт с настроенным UDLD будет отсылать пакет (L2) содержащий собственный device/port ID и соседа
Взаимодействующие порты должны получать пакеты с собственным ID и ID соседа
Если порт не получает пакеты с собственным ID в течение некоторого времени, соединение считается однонаправленным и выключается
Есть ли эхо?
SiSi
SiSi
Защита от однонаправленных коммуникаций
Режимы UDLD Aggressive и UDLD Normal
Одинаковые таймеры—15-секунд отправка hello по умолчанию
Режим Aggressive — после срабатывания таймера—пытается 8 раз(один в секунду) переустановить соединение, а затемпереключает порт в состояние err-disable
UDLD—Режим Normal—переключает в err-disable только порт со стороны которого обнаружено состояние UDLD, другая сторона только видит что порт выключился
UDLD—Aggressive—переводит в err-disable оба конца соединения если попытки восстановления соединения не удались
SiSi SiSi
Лучшие практики— конфигурация EtherChannel Обычно используется между
уровнями распределениями и ядра, и на соединениях внутри ядра
Используется для обеспечения отказоустойчивости соединения и снижения сложности
Настройка хэша L3/L4 позволяет достичь равномерной загруженности каналов
Кол-во каналов определяется как степень от числа 2(2, 4 или 8)
Одинаковые параметры для CatOS и Cisco IOS PAgP
Для совместимости - 802.3ad LACP
Если не требуется, то выкл.CatOS: set port hostCisco IOS: switchport host Data CenterWAN Internet
Layer 3 Equal Cost Links
Layer 3 Equal Cost Links
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Что такое EtherChannelОпции установления—PAgP и LACP
On/OnChannel
On/OffNo Channel
Auto/DesirableChannel
Off/On, Auto, DesirableNo Channel
SiSi SiSi
SiSi SiSi
SiSi SiSi
SiSiSiSi
On/OnChannel
On/OffNo Channel
Active/PassiveChannel
Passive/PassiveNo Channel
SiSi
SiSi SiSi
SiSi SiSi
SiSiSiSi
SiSi
Port Aggregation Protocol Link Aggregation Protocol
On: участвуем в группе всегдаActive: запрос другой стороны Passive: участие если есть запрос Off: не участвуем
On: участвуем в группе всегдаDesirable: запрос другой стороныAuto: участие если есть запрос Off: не участвуем
EtherChannel или эквивалентные соединения
SiSi SiSi
SiSiSiSi
Доступ
Распределение
Ядро10 GE 10 GE ии
1010--GE ChannelsGE Channels
ПереПере--подпискаподписка20:120:1
ПереПере--подпискаподписка4:14:1
Как агрегировать соединения 10/100/1000?
EtherChannel или эквивалентные соединения
Больше соединений = больше соседств L3/доп.нагрузка
EtherChannel позволяет снизить кол-во соседств, используя один логический интерфейс
При выходе из строя одного соединения в группе
OSPF на коммутаторе c CiscoIOS уменьшит стоимость соединения и перемаршрутизирует трафикOSPF на гибридном коммутаторене изменит стоимость соединения, что может привести к перегрузкеEIGRP может не изменить стоимость, что может перегрузить оставшиеся соединенияData CenterWANWAN InternetInternet
Layer 3 Equal Cost Links
Layer 3 Equal Cost Links
SiSiSiSi
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Снижение сложности
EtherChannel—ИТОГО Для Layer 2 EtherChannel: рекомендуется конфигурация
Desirable/Desirable, для того чтобы PAgP, работающий поверх, отслеживал состояние соединений и поломка одного соединения не приводила к проблемам с STP
Для Layer 3 EtherChannel: можно применять конфигурацию ON/ON. К недостаткам которой можно отнести большую сложность, а к достоинствам лучшую сходимость.
Режим ON/ON быстрее восстанавливается чем режим Desirable/Desirable. Но в данном режиме PAgP не контролирует состояние соединений и неправильно настроенное членство в группе обнаружить не очень просто.
Протоколы маршрутизации могут «не знать» о состоянии отдельных соединений в группе. Необходимо использовать LACP и опцию«minimum links» для контроля за состоянием/выключения группы
Один поток не может использовать полосу большую чем полоса предоставляемая одним из членов группы
Лучше использовать для защиты от выхода из строя одного из соединений/порта
Лучшие практики— защита шлюза по умолчанию Функционал необходим для
обеспечения отказоустойчивости шлюза по умолчанию для рабочих станций
Выбор из HSRP, VRRP иGLBP
VRRP, HSRP и GLBPобеспечивают миллисекундную сходимость
Используйте VRRP, если требуется поддержка оборудования других производителей
GLBP обеспечивает балансировку трафика
Требуется настройка таймеров переключения для исключения эффекта «чёрной дыры»
Data CenterWAN Internet
Layer 3 Equal Cost Links
Layer 3 Equal Cost Links
1st Hop Redundancy
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
Защита шлюза по умолчанию с VRRP
Группа маршрутизаторов работает как один виртуальный с однимвиртуальным IP адресом и MAC адресом
Один (master) маршрутизаторпересылает пакеты для/из локальной сети
Остальные маршрутизаторы работают как резервные
Резервные маршрутизаторы бездействуют до выхода из строя основного
R1—Master, Forwarding Traffic; R2,—BackupVRRP ACTIVE VRRP BACKUP
IP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC: 0000.5e00.0101
IP: 10.0.0.253MAC: 0000.0C78.9abcvIP:vMAC:
IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0000.5e00.0101
IP: 10.0.0.2MAC: aaaa.aaaa.aa02GW: 10.0.0.10ARP: 0000.5e00.0101
IP: 10.0.0.3MAC: aaaa.aaaa.aa03GW: 10.0.0.10ARP: 0000.5e00.0101
SiSiSiSi
Access-a
Distribution-AVRRP Active
Distribution-BVRRP Backup
R1 R2
Стандарт IETF RFC 2338 (Апрель 1998)
Защита шлюза по умолчанию с HSRP
Группа маршрутизаторов работает как один виртуальный с однимвиртуальным IP адресом и MAC адресом
Один (active) маршрутизаторпересылает пакеты для/из локальной сети
Остальные маршрутизаторы работают как горячий резерв
Резервные маршрутизаторы бездействуют до выхода из строя основного
IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0000.0c07.ac00
SiSiSiSi
Access-a
R1
HSRP ACTIVE HSRP STANDBYIP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC: 0000.0c07.ac00
IP: 10.0.0.253MAC: 0000.0C78.9abcvIP:vMAC:
IP: 10.0.0.2MAC: aaaa.aaaa.aa02GW: 10.0.0.10ARP: 0000.0c07.ac00
IP: 10.0.0.3MAC: aaaa.aaaa.aa03GW: 10.0.0.10ARP: 0000.0c07.ac00
R1—Active, Forwarding Traffic; R2—Hot Standby, Idle
R2
RFC 2281 (Март 1998)
Distribution-AHSRP Active
Distribution-BHSRP Backup
Защита шлюза по умолчанию с HSRP
Группа маршрутизаторов работает как один виртуальный с однимвиртуальным IP адресом и MAC адресом
Один (active) маршрутизаторпересылает пакеты для/из локальной сети
Остальные маршрутизаторы работают как горячий резерв
Резервные маршрутизаторы бездействуют до выхода из строя основного
IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0000.0c07.ac00
SiSiSiSi
Access-a
R1
HSRP ACTIVE HSRP STANDBYIP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC: 0000.0c07.ac00
IP: 10.0.0.253MAC: 0000.0C78.9abcvIP:vMAC:
IP: 10.0.0.2MAC: aaaa.aaaa.aa02GW: 10.0.0.10ARP: 0000.0c07.ac00
IP: 10.0.0.3MAC: aaaa.aaaa.aa03GW: 10.0.0.10ARP: 0000.0c07.ac00
R1—Active, Forwarding Traffic; R2—Hot Standby, Idle
R2
RFC 2281 (Март 1998)
Distribution-AHSRP Active
Distribution-BHSRP Backup
STP root и HSRP primary маршрутизатор связаны
При смене STP root’а трафик будет за двумя маршрутизаторами от активного HSRP маршрутизатора
HSRP preemption позволит перенести шлюз по умолчанию в соответствии с топологией STP
Зачем нужен переход (preemption) HSRP
SiSiSiSi
SiSiSiSi
Доступ
Распре-деление
Ядро
SpanningTreeRoot
HSRPActive
HSRPActive
Spanning Tree Root
HSRP Preempt
Без задержки Preempt Delay HSRP может стать активным до полной готовности : L1 (Boards), L2 (STP), L3 (IGP Convergence)standby 1 preempt delay minimum 180
Защита шлюза по умолчанию с GLBP
Все преимущества HSRP плюс балансировка нагрузки между шлюзамииспользует всю доступную полосу
Группа маршрутизаторов работают как один виртуальный, разделяют один виртуальный IP адрес, но используют несколько виртуальных MAC адресов
Позволяют трафику из одной подсети использовать несколько шлюзов по умолчанию с одним виртуальным IP адресом
GLBP AVG/AVF, SVF GLBP AVF, SVFR1- AVG; R1, R2 Both Forward Traffic
IP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC: 0007.b400.0101
IP: 10.0.0.253MAC: 0000.0C78.9abcvIP: 10.0.0.10vMAC: 0007.b400.0102
IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0007.B400.0101
IP: 10.0.0.2MAC: aaaa.aaaa.aa02GW: 10.0.0.10ARP: 0007.B400.0102
IP: 10.0.0.3MAC: aaaa.aaaa.aa03GW: 10.0.0.10ARP: 0007.B400.0101
SiSiSiSi
Access-a
Distribution-AGLBP AVG/
AVF, SVF
Distribution-BGLPB AVF, SVF
R1
Разработан Cisco, балансирует нагрузку, запатентован
Защита шлюза по умолчанию сбалансировкой нагрузки Каждый член группы GLBP имеет уникальный виртуальный MAC адрес для
общего IP адреса/шлюза по умолчанию Ответы на ARP запросы для общего IP адреса/шлюза по умолчанию
выдаются с разными виртуальными MAC адресами Host A и host B из одной подсети с одним и тем же IP адресом шлюза
отправляют трафик на разные GLBP маршрутизаторы
10.88.1.0/24
.5.4
.1 .2
vIP10.88.1.10
GLBP 1 ip 10.88.1.10vMAC 0000.0000.0001
GLBP 1 ip 10.88.1.10vMAC 0000.0000.0002
ARPs for 10.88.1.10Gets MAC 0000.0000.0001
ARPs for 10.88.1.10Gets MAC 0000.0000.0002
A B
R1 R2ARP
Reply
Cisco Gateway Load Balancing Protocol (GLBP)
GLBP и распределённые VLAN’ы
Оба коммутатора работают как шлюз по умолчанию Заблокированное соединение влияет на оптимальность пути
VLAN 2VLAN 2
F: ForwardingB: Blocking
Access-b
SiSiSiSi
Core
Access-a
Distribution-AGLBP Virtual MAC 1
Distribution-BGLBP Virtual
MAC 2
ДоступУровень 2
ДоступУровень 2
Распре-деление
Уровень 2/3
ЯдроУровень 3
По-умолчанию, половина трафика будет отправляться по сложному пути
SiSiSiSi
Оптимизация сходимости: VRRP, HSRP, GLBP
VRRP не тестировался с суб-секундными таймерами, потоки проходят через один узел поэтому значения min/max/среднее одинаковые
HSRP имеет суб-секундные таймеры; потоки проходят через один узел, поэтому нет разницы в значениях min/max/среднее
GLBP имеет суб-секундные таймеры и распределяет нагрузку между узлами, поэтому только на 50% клиентов влияет отказ соединения
Время восстановления доступа к серверам после возникновения неисправности на соединении от уровня доступа к распределению
50% of Flows Have ZERO
Loss W/ GLBP
GLBP Is 50% Better
Среднее, Max и Min—Есть ли разница?
Во второй части:- Рекомендации по проектированию- Альтернативный дизайн с использованием технологии VSS- Технологии виртуализации в кампусной сети- Поддержка инфраструктурных сервисов для IP телефонии- Функции безопасности- Собираем всё вместе
Продолжение