Архитектура и дизайн распределенной корпоративной...
DESCRIPTION
TRANSCRIPT
Архитектура и дизайн распределенной корпоративной сети высокой доступностиАнастасия Фролова, системный инженер
Содержание
• Постановка задачи• Физические топологии WAN сети• Наложенные транспортные технологии
WAN• WAN технологии качества обслуживания
(QoS)• Технологии конвергенции сети при
отказах• Немного дизайна• Основные выводы
Задачи при дизайне сети
Высокая надёжность
Простота
Модульность
High Availability Scaling
Reduced Downtime
Fast TroubleshootingFast Recovery
DeliverPackets
Adjust to Real World Changes
Failure Business Change
Application Aware network
Способность сети поддерживать бизнес приложения
Способность сети эффективно использовать доступную полосу пропускания
Способность WAN сети реагировать на внешние изменение, такие как неисправности:
Аппаратные
Программные
Человеческий фактор
В сети Операторов Связи
Способность сети реагировать на изменения в постановке задачи бизнесом
Использование наиболее эффективных технологий и методов дизайна.
Правильный дизайн, альтернативные пути прохождения трафика
Аппаратная надёжность (правильное позиционирование)
Быстрое обнаружение отказов в сети
Быстрая сходимость сети
Application aware network
Высокая доступность (uptime)
Простота в настройках и документирование
Простота в сопровождении сети
Избегать избытка альтернативных путей
Простота
Иерархический дизайн
Модульный дизайн
Виртуализация
Позволяет скрыть сложности одной части сети от других
Модульность
Как решать эти задачи:
Содержание
• Постановка задачи• Физические топологии WAN сети• Наложенные транспортные технологии
WAN• WAN технологии качества обслуживания
(QoS)• Технологии конвергенции сети при
отказах• Немного дизайна• Основные выводы
Иерархический дизайн WAN сети
Ядро
Распределение
Доступ
Центр обработки данных/Главный офис
Региональное отделение
Филиал 1 Филиал N...
Региональное отделение
Филиал 1’ Филиал N’...
Физические топологии WAN сети
MPLS WAN сервис предоставляет провайдер
Полная прозрачность для корпоративной сети, удалённые филиалы видны, как будто подключены по выделенным каналам
Предстает из себя полносвязную сеть
SpokeSite 1
SpokeSite 2
HQ/DC
SpokeSite Y
SpokeSite 3
SP-ProvidedMPLS
Private IP WAN
SpokeSite 1
SpokeSite 2
HQ/DC
SpokeSite Y
SpokeSite 3
ISP-ProvidedPublic Internet
Public Internet сервис предоставляет Internet Service Provider
В корпоративной сети видны удалённые филиалы, только если настроена наложенная сеть
Представляет из себя hub&spoke сеть
Сервисы MPLS VPN
MPLS VPN
3 уровень2 уровень
Точка-точка Многоточечные Any Transport over MPLS (AToM)• Подключение к
провайдеру на 2 уровне
• Провайдер не участвует в клиентской маршрутизации
Virtual Private LAN Services (VPLS)• Ethernet
подключение к провайдеру
• Провайдер не участвует в клиентской маршрутизации
• Подключение к провайдеру на 3 уровне (статическая или динамическая маршрутизация)
• Провайдер участвует в передаче клиентских маршрутов
MPLS VPN
Непосредственная связность на 3 уровне только между РЕ и СЕ
Предоставление услуг на третьем уровне (L3)
CE CEPE PE
Локальное подключение
VRFVRF
Global
VRF—Virtual Routing and Forwarding
! PE Router – Multiple VRFsip vrf bluerd 65100:10route-target import 65100:10route-target export 65100:10ip vrf yellowrd 65100:20route-target import 65100:20route-target export 65100:20!interface GigabitEthernet0/1.10ip vrf forwarding blueinterface GigabitEthernet0/1.20ip vrf forwarding yellow
Варианты дизайнов MPLS VPN
Дизайн с подключением к одному провайдеру (Single Carrier):
Организация подключает все площадки к одному провайдеру услуг L3 MPLS VPN.
Дизайн с подключением к двум провайдерам (Dual Carrier):
Организация подключает площадки к одному или двум провайдерам услуг L3 MPLS VPN, одним или двумя каналами.
Дизайны и способы подключения:Наложенные технологии с шифрованием данных (например IPSec, DMVPN, GET VPN, и т.д.)Резервные подключения (постоянные или по требованию)
Подключение к одному провайдеру (не транзитное)
Два каналаПередаются только локальные подсети (^$)Обычно используется два маршрутизатора CE Дизайн BGP:
EBGP до провайдераIBGP между CE
Внешние маршруты попадают во внутренний протокол
Один каналПередаются локальные подсети и опционально используется маршрут по умолчанию.
CE1
C1
CE2
AS 64512C2
CE5
Site IGP
CE3 CE4
AS 64517
AS 200
Подключение к двум провайдерам: транзитное/не транзитное
C1
CE2
Prefix Z
AS 512C2
CE5
Prefix X Prefix Y
Site IGP
CE3 CE4
AS 517
Transit
AS 100 AS 200AS 545
CE1
Транзитные системы необходимы для обеспечения связи с площадками, подключенными только к одному провайдеру.
Транзитные площадки выполняют роль BGP моста для передачи маршрутов между двумя провайдерами.
Для минимизации задержек варианты транзита надо выбирать в соответствии с географическим расположением.
Один провайдер Два провайдера
ЗА: единая модель качества обслуживания (QoS)
ЗА: более устойчивая к неисправностям на стороне провайдера система
ЗА: работа с одним вендором ЗА: больше вариантов бизнес предложений
ЗА: более простой дизайн ЗА: возможность получить лучшую цену
Против: критичны неполадки в сети провайдера Против: двойная оплата канала
Против: отсутствие запасного варианта в случае сбоев Против: сложность дизайна
1 или 2 провайдера?
Надежность или простота?
Содержание
• Постановка задачи• Физические топологии WAN сети• Наложенные транспортные технологии
WAN• WAN технологии качества обслуживания
(QoS)• Технологии конвергенции сети при
отказах• Немного дизайна• Основные выводы
Технологии туннелирования
• IPSec—Encapsulating Security Payload (ESP)– Сильное шифрование– Только одноадресные IP пакеты (unicast)
• Generic Routing Encapsulation (GRE)– IP Unicast, Multicast, Broadcast– Поддержка множества протоколов
• Layer 2 Tunneling Protocol—Version 3 (L2TPv3)– Протоколы второго уровня (Ethernet, Serial,…)– Поддержка Pseudowire
• Другие технологии с использованием туннелей – LISP, OTV и т.д.
Инкапсуляция пакетов поверх IP
Tunnels
Dynamic Multipoint VPN
• Позволяет обеспечить полносвязное взаимодействие между головным офисом и удаленными филиалами без громоздких конфигураций
• Поддерживаются динамические адреса на удаленных устройствах
• Добавление новых устройств не требует изменения текущих конфигураций
• Может работать как с IPSec, так и без
Spoke n
Традиционные статические туннели
Туннель DMVPN
Статический известный IP адрес
Динамический неизвестный IP адрес
Hub
VPNSpoke 1
Spoke 2
Защищенные туннели создаются по запросу
Варианты топологий DMVPN
Hub and spoke Spoke-to-spoke
Server Load Balancing Hierarchical
Spoke-to-hub tunnelsSpoke-to-spoke tunnels2547oDMVPN tunnels
VRF-lite
2547oDMVPN
Шифрование между любыми сайтами до и после внедрения GET VPN
Сложности с масштабируемостью(проблема N^2)
Наложенная маршрутизация Проблемы с постоянной взаимосвязью
площадок Ограничения при работе с QoS Неэффективная работа с рассылками
(multicast)
WANWAN
Multicast
До: туннели точка-точка IPSec
после: VPN без туннелей
Масштабируемая защищенная архитектура Встроенная поддержка маршрутизации (без
наложений) Постоянная взаимосвязь между площадками Расширенные возможности QoS Эффективная работа с рассылками
общая/частная WAN частная WAN
FlexVPN
Центр
Удаленный доступ
Изолированный филиал
Прямое соединение между филиалами
• Универсальная технология наложенного VPN• Pаботает как для подключения филиалов, так и для
подключения удаленных сотрудников• В основе – протокол IKEv2
VPN технологии
EzVPN Spoke
GET GMDMVPN Spoke
DMVPN Spoke
Центр обработки данных
Internet Edge
WAN Edge
GET GM GET GM
Позиционирование EzVPN, DMVPN, GETVPN, FlexVPN
MPLS/Private Network
KSKS
GMGM
IPsec IPsec
Internet/Shared
Network*
* DMVPN может также применяться в MPLS/Private Network
Сравнение VPN технологийEzVPN P2P GRE
over IPSec DMVPN IPSec VTI GET VPN
Транспортная сеть Public Internet Private & Public
Internet Private &
Public Internet Private &
Public Internet
Private IP Transport
Топология сети Hub-Spoke; (Client to Site) Hub-Spoke
Hub-Spoke and Spoke-to-Spoke; (Site-to-Site)
Hub-Spoke Any-to-Any; (Site-to-Site)
Динамическаямаршрутизация
Reverse-route Injection
Наложенная на туннели Наложенная
на туннели
SVTI -наложенная на туннели, DVTI - нет
Маршрутизация транспортной сетью
Обеспечение высокой
доступности
DPD + StatefulHub Crypto Failover
Наложенная маршрутизация + DPD
Наложенная маршрутизация + DPD
SVTI –наложенная маршрутизацияDVTI – IPSec stateful
Наложенная маршрутизация + Stateful
Ключи шифрования Peer-to-Peer Peer-to-Peer Peer-to-
Peer/Group Peer-to-Peer Group
QoS На физ.
интерфейсе после шифрования
На физ. или логическом интерфейсе после шифрования
На физ.интерфейсе после шифрования и per-SA
На логическоминтерфейсе после шифрования и per-SA
На физ. интерфейсе после шифрования
Содержание
• Постановка задачи• Физические топологии WAN сети• Наложенные транспортные технологии
WAN• WAN технологии качества обслуживания
(QoS)• Технологии конвергенции сети при
отказах• Немного дизайна• Основные выводы
Критерии успеха внедрения QoS1. Определение классов трафика и их SLA
2. Определение бизнес задач, которые решит внедрение QoS1. Защита голоса и видео2. Защита бизнес приложений3. Использование QoS для борьбы с DoS/work attacks
3. Дизайн и внедрение политик QoS1. Выделение сетевых устройств, где внедряется QoS2. Насколько адаптирован QoS к изменениям бизнеса?3. Дизайн QoS позволяет задействовать все ресурсы сети?4. Простота настроек QoS
4. Соответствие ожиданиям пользователей
Predictable Flows Drop & delay sensitive UDP priority 150 ms one-way delay 30 ms Jitter, 1% loss BW + Call signaling
Voice
Unpredictable Flows Drop & delay sensitive UDP priority 150 ms one-way delay 30 ms Jitter, 1% loss Overprovision by 20%
Video
Smooth/bursty Benign/greedy Drop insensitive Delay insensitive TCP retransmits/UDP does
not
Data
Качество обслуживанияКакие механизмы реализованы в QoS
Классификация и маркировка
Очереди и сброс пакетов
Последующие процессы
1. Классификация и маркировка
2. Проверка ограничений (Policing)
3. Работа с очередями и сброс пакетов (Scheduling)
4. Специфические механизмы (обработка/shaping, фрагментация, сжатие, Tx Ring)
TXRing
Packetsout
CBWFQScheduler
FQ
Call-Signaling CBWFQTransactional CBWFQ
Bulk Data CBWFQDefault Queue
1 Mbps VOIP
Policer
15 Mbps REALTIME
Policer
16 Mbps PQ (FIFO Between VOIP and VIDEO)
Class-BasedShaper
GE Interfacewith a sub-line-rate
access service (e.g. 50 Mbps)
Очереди задействуются ТОЛЬКО когда интерфейс перегружен Шейпер гарантирует, что трафик не превысит контрактную скорость Вложенные политики позволяют задействовать механизм очередей и
приоритизировать трафик до формирующего механизма (shaper)
Дизайн Ethernet WAN QoSпример работы иерархического QoS
Содержание
• Постановка задачи• Физические топологии WAN сети• Наложенные транспортные технологии
WAN• WAN технологии качества обслуживания
(QoS)• Технологии конвергенции сети при
отказах• Немного дизайна• Основные выводы
• Как проявляется неисправность в сети связи?• Как быстро сеть может отреагировать на возникновение
сбоя?• Сколько времени потребуется для восстановления услуг
связи?
Провайдер 1
MPLS - SP B
C-A-R2
C-A-R4
C-B-R1 C-B-R4
C-A-R3
C-A-R1
HQ-W1
HQ-W2
BR-W1
BR-W2
Отказ устройства или канала
Деградация производительности устройства или канала
Провайдер 2
Различные типы сбоев в сети
• Резервирование «шлюза по умолчанию»• Настройка параметров протоколов
маршрутизации• Плавающие и статические маршруты• Оптимизация пути прохождения трафика с
помощью технологии Performance routing
Технологии конвергенции сети при отказах
Резервирование «шлюза по умолчанию»Семейство протоколов FHRP (First Hop Redundancy Protocol)обеспечивает:
• Резервирование «шлюза по умолчанию» для широковещательных сегментов
– Пользователи сегмента используют один IP адрес в качестве «шлюза по умолчанию» и кэшируют ARP для данного IP адреса
• Возможность резервирования маршрутов для для устройств, не поддерживающих динамическую маршрутизацию
– Некоторые межсетевые экраны не поддерживают динамическую маршрутизацию
• Не зависит от протокола маршрутизации – Работает со всеми динамическими протоколами маршрутизации и
статическими настройками маршрутов
• Суб-секундное переключение в случае отказов
• Балансировку нагрузки (GLBP) без дополнительных настроек
R2R1
Резервирование «шлюза по умолчанию»
Семейство протоколов FHRP:Hot Standby Router Protocol (HSRP)Virtual Router Redundancy Protocol (VRRP)Gateway Load Balancing Protocol (GLBP)
Hot Standby Routing Protocol (HSRP)
(.2) (.3)HSRP
(.1)
Active Router
Standby Router
VIP
A B
Default Gateway: (.1)DG MAC: MAC VIP
Router A#
interface FastEthernet0/0
ip address 10.1.2.2 255.255.255.0
standby 1 priority 110
standby 1 preempt
standby 1 ip 10.1.2.1
Router B#
interface FastEthernet0/0
ip address 10.1.2.3 255.255.255.0
standby 1 priority 105
standby 1 preempt
standby 1 ip 10.1.2.1
Router A# show standby brief
Interface Grp Prio P State Active Standby Virtual IP
Fa0/0 1 110 P Active local 10.1.2.3 10.1.2.1
Router B# show standby brief
Interface Grp Prio P State Active Standby Virtual IP
Fa0/0 1 105 P Standby 10.1.2.2 local 10.1.2.1
Hot Standby Routing Protocol (HSRP)
(.2) (.3)HSRP
(.1)
Active Router
VIPLocal
Failures
A B
Default Gateway: (.1)DG MAC: MAC VIP
Router B# show standby brief
Interface Grp Prio P State Active Standby Virtual IP
Fa0/0 1 105 P Active local unknown 10.1.2.1
Hot Standby Routing Protocol (HSRP)
(.2) (.3)HSRP
Standby Router
(.2) (.3)HSRP
(.1)
Active Router
VIP
Upstream/RemoteFailures
A B A B
Active Router
Complex FailureRequires “Enhanced
Object Tracking (EOT)”
(.1) VIP
Router A#
track 100 interface serial1/0 line-protocol
!
interface FastEthernet0/0
ip address 10.1.2.2 255.255.255.0
standby 1 preempt
standby 1 priority 110
standby 1 track 100 decrement 10
standby 1 ip 10.1.2.1
Gateway Load Balancing Protocol (GLBP)
(.2) (.3)GLBP
(.1)
Default Gateway: (.1)DG MAC: MAC AVF 1.1
AVF A
VIP VIP(.1)
A B
AVG 1
Default Gateway: (.1)DG MAC: MAC AVF 1.2
AVF B
SVG 1
AVG = Active Virtual Gateway
SVG = Standby Virtual Gateway
AVF = Active Virtual Forwarder
Router A#
interface FastEthernet0/1
ip address 10.1.2.2 255.255.255.0
glbp 1 priority 110
glbp 1 preempt
glbp 1 ip 10.1.2.1
glbp 1 load-balancing round-robin
Router B#
interface FastEthernet0/1
ip address 10.1.2.3 255.255.255.0
glbp 1 priority 105
glbp 1 preempt
glbp 1 ip 10.1.2.1
glbp 1 load-balancing round-robin
Router A# show glbp brief
Interface Grp Fwd Pri State Address Active Router Standby Router
Fa0/1 1 - 110 Active 10.1.2.1 local 10.1.2.3
Fa0/1 1 1 - Active 0007.b400.0101 local -
Fa0/1 1 2 - Listen 0007.b400.0102 10.1.2.3 -
Router B# show glbp brief
Interface Grp Fwd Pri State Address Active Router Standby Router
Fa0/1 1 - 105 Standby 10.1.2.1 10.1.2.2 local
Fa0/1 1 1 - Listen 0007.b400.0101 10.1.2.2 -
Fa0/1 1 2 - Active 0007.b400.0102 local -
Gateway Load Balancing Protocol (GLBP)
(.2) (.3)GLBP
(.1) VIPLocal
Failures
A BAVF AAVF B
AVG 1
Default Gateway: (.1)DG MAC: MAC AVF 1.1
Default Gateway: (.1)DG MAC: MAC AVF 1.2
AVG = Active Virtual Gateway
SVG = Standby Virtual Gateway
AVF = Active Virtual Forwarder
Router B#
*Mar 31 17:04:27: %GLBP-6-STATECHANGE: FastEth0/1 Grp 1 state Standby -> Active
*Mar 31 17:04:27 %GLBP-6-FWDSTATECHANGE: FastEth0/1 Grp 1 Fwd 1 state
Listen -> Active
Router B# show glbp brief
Interface Grp Fwd Pri State Address Active Rtr Standby Rtr
Fa0/1 1 - 105 Active 10.1.2.1 local unknown
Fa0/1 1 1 - Active 0007.b400.0101 local -
Fa0/1 1 2 - Active 0007.b400.0102 local -
GLBP with Enhanced Object Tracking
(.2) (.3)GLBP
(.2) (.3)GLBP
(.1) VIPVIP(.1)
A B A BAVF AAVF B
AVGAVG
AVG = Active Virtual Gateway
SVG = Standby Virtual Gateway
AVF = Active Virtual Forwarder
Complex FailureRequires “Enhanced
Object Tracking (EOT)”Upstream/Remote FailuresRequires “Enhanced Object
Tracking”
AVF AAVF B
Филиал
Технология Enhanced Object Tracking
Тип триггера Синтаксис
Состояние интерфейса
track object-number interface type number line-protocol xxxxxxxx
track 1 interface serial 1/1 line-protocol
Маршрутизация на интерфейсе
track object-number interface type number ip routing xxxxxxxxxxx
track 2 interface ethernet 1/0 ip routing
Доступность объекта в сети
track object-number ip route IP-Addr/Prefix-len reachability xxx
track 3 ip route 10.16.0.0/16 reachability
Threshold* of IP-Route Metrics
track object-number ip route IP-Addr/Prefix-len metric threshold
track 4 ip route 10.16.0.0/16 metric threshold
Router# show track 100
Track 100
Interface Serial1/1 line-protocol
Line protocol is Up
1 change, last change 00:00:05
Tracked by:
HSRP Ethernet0/3 1
Router# show track 103
Track 103
IP route 10.16.0.0 255.255.0.0 reachability
Reachability is Up (RIP)
1 change, last change 00:02:04
First-hop interface is Ethernet0/1
Tracked by:
HSRP Ethernet0/3 1
* Для протоколов EIGRP, OSPF, BGP и статических маршрутов от 0 до 255
Использование IP SLA зондов
Тип триггера Синтаксис
IP SLAs Operationtrack object-number ip sla type number state x xxxxxtrack 5 ip sla 4 state
Reachability of an IP SLAs Host
track object-number ip sla type number reachability xxxxxxxx
track 6 ip sla 4 reachability
dhcpdnsethernetframe-relayftp
httpicmp-echoicmp-jittermplspath-echo
path-jittertcp-connectudp-echoudp-jittervoip
Доступные типы IP SLA зондов:
Контроль вариации задержки
ip sla monitor operation-numbertype jitter dest-ipaddr {hostname | ip-address} dest-port port-number [num-packets number-of-
packets] [interval inter-packet-interval]frequency secondsrequest-data-size bytes
Доступные параметры по умолчанию
Количество пакетов 10 пакетов
Размер пакета 32 байт
Интервал между пакетами, милисекунды 20 мсек
Частота повторения, секунды 60 сек
Таймеры протоколов маршрутизацииKeepalive (B)
Hello (E,I,O)
Update (R)
Invalid (R)
Holdtime (B,E,I)
Dead (O)
Holddown (R)
Flush (R)
BGP 60 180
EIGRP
(< T1)5 (60) 15 (180)
IS-IS
(DIS)10 (3.333) 30 (10)
OSPF
(NBMA)10 (30) 40 (120)
RIP/RIPv2 30 180 180 240
Представлены значения по умолчанию
Время реакции протокола маршрутизацииR2
R3
R1
Link Down
Line protocol down
Link Up
Loss 100%
Link Up
Neighbor Down
Link Up
Loss ~5%
BGP ~ 1s 180 180 never
EIGRP(< T1)
~ 1s 15 (180) 15 (180) never
IS-IS(DIS)
~ 1s 30 (10) 30 (10) never
OSPF(NBMA)
~ 1s 40 (120) 40 (120) never
RIP/RIPv2 ~ 1s 240 240 never
R4
Используются настройки по умолчанию
Изменение параметров по умолчанию
C-A-R4# show ip bgp vpnv4 vrf cisco neighbor
BGP neighbor is 192.168.101.10, vrf cisco, remote AS 65110, external link
BGP version 4, remote router ID 192.168.201.10
BGP state = Established, up for 1d10h
Last read 00:00:19, hold time is 180, keepalive interval is 60 seconds
C-BR-W1#
router bgp 65110
neighbor 192.168.101.9 timers 7 21
C-A-R4# show ip bgp vpnv4 vrf cisco neighbor
BGP neighbor is 192.168.101.10, vrf cisco, remote AS 65110, external link
BGP version 4, remote router ID 192.168.201.10
BGP state = Established, up for 00:01:23
Last read 00:00:03, hold time is 21, keepalive interval is 7 seconds
R2
R3
R1 R4
Внимание! При конфигурации значенияHoldtime меньше 20 секунд выдается следующее предупреждение: % Warning: A Hold Time of Less than 20 Seconds Increases the Chances of Peer Flapping
Введение в BFDBi-Directional Forwarding Detection: • Облегченная версия hello протокола
– IPv4, IPv6, MPLS, P2MP
• Унифицированный способ определения отказов на канальном уровне
• Предсказуемое время определения отказов (50 миллисекунд минимальный hello интервал)
• Единый механизм, стандартизованный для работы на различных каналах
– Несколько режимов работы: Асинхронный (echo, no-echo)
• Не зависит от используемого протокола маршрутизации• Аппаратная реализация некоторых элементов протокола
позволяет разгрузить основной CPU• BFD в модели высокой доступности используется для
уменьшения времени определения отказа (уменьшение MTTR)
Преимущества технологии BFD
*Feb 16 19:15:41.730: bfdV1FSM e:5, s:3bfdnfy-client a:10.1.2.220, e: 1*Feb 16 19:15:41.730: Session [10.1.2.120,10.1.2.220,Fa0/1,1], event ECHO FAILURE, state UP -> DOWN*Feb 16 19:15:41.730: BFD: bfd_neighbor - action:DESTROY, proc/sub:2048/65110, idb:FastEthernet0/1, neighbor:10.1.2.220*Feb 16 19:15:41.730: bfdV1FSM e:6, s:1*Feb 16 19:15:41.730: Session [10.1.2.120,10.1.2.220,Fa0/1,1], event Session delete, state DOWN -> ADMIN DOWN*Feb 16 19:15:41.734: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 65110: Neighbor 10.1.2.220 (FastEthernet0/1) is down: BFD DOWN notification*Feb 16 19:15:41.734: BFD: bfd_neighbor - action:DESTROY, proc/sub:2048/65110, idb:FastEthernet0/1, neighbor:10.1.2.220
BFD: сокращает время обнаружения до 100 - 150 мс
R1# show clock*19:43:37.646 UTC Mon Feb 16 2009
*Feb 16 19:43:48.974: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 65110: Neighbor 10.1.2.220 (FastEthernet0/1) is down: holding time expired
EIGRP, значения таймеров по умолчанию : примерное время обнаружения проблемы 10-15 сек
R1 R2
100% потеря пакетов к канале(Link Up)
Обнаружение отказавшего соседа (Hello timers vs BFD)
Статическая маршрутизация
• Механизмы административной дистанции для статических маршрутов и резервирование основных маршрутов используются для создания floating static routes
• Настройка статического маршрута с большой административной дистанцией гарантирует, что этот маршрут не будет установлен в таблицу маршрутизации, пока в ней присутствует маршрут, полученный через динамический протокол маршрутизации
• Статические маршруты также могут проверять доступность SLA объектов для автоматического переключения на альтернативные пути
A
10.1.1.0/24
B
C
D
EIGRP Learned Route
No Routing
show ip route....D EX 10.1.1.0/24 via <C>
ip route 10.1.1.0 255.255.255.0 <B> 250
Статическая маршрутизация
• В случае отказа протокола маршрутизации динамически полученный маршрут пропадет из таблицы маршрутизации. RIB запустит процесс поиска альтернативного маршрута.
• Так как нет альтернативных маршрутов, полученных динамически, статический маршрут (static route) будет установлен в RIB с административной дистанцией, равной 250
A
10.1.1.0/24
B
C
D
EIGRP learned route
No Routing
ip route 10.1.1.0 255.255.255.0 <B> 250
show ip route.... D EX 10.1.1.0/24 via <C>
show ip route.... S 10.1.1.0/24 via <B>
BR-W1
IP SLA
(.9)
IP SLA
BR-W1# track 100 ip sla 100 reachability!ip sla 100icmp-echo 10.100.100.100 source-ip 10.1.2.120timeout 100frequency 10ip sla schedule 100 life forever start-time now!ip route 10.100.100.100 255.255.255.255 192.168.101.9!ip route 10.100.0.0 255.255.0.0 192.168.101.9 track 100ip route 10.100.0.0 255.255.0.0 192.168.201.9 200
BR-W1# show ip route
S 10.100.0.0/16 [1/0] via 192.168.101.9
192.168.101.8/29 192.168.201.8/29
(.9)
BR-W1# sh ip route track-tableip route 10.100.0.0 255.255.0.0 192.168.101.9 track 100 state is [up]
Tracking IP SLA
Надежная статическая маршрутизация
Надежная статическая маршрутизация
BR-W1
Tracking IP SLA
IP SLA
(.9)
IP SLA
192.168.101.8/29 192.168.201.8/29
(.9)
Unable to reachIP SLA Responder
BR-W1# show ip route
S 10.100.0.0/16 [200/0] via 192.168.201.9
BR-W1#
*Mar 12 03:57:37.119: %TRACKING-5-STATE: 100 rtr 100 reachability Up->Down
BR-W1# show ip route track-table
ip route 10.100.0.0 255.255.0.0 192.168.101.9 track 100 state is [down]
• Технология PfR предназначена для:– Выбора оптимального маршрута с учетом
производительности канала– Автоматического распределения нагрузки
между каналами связи– Выбора наиболее оптимального пути для
приложения– Автоматического перенаправления потоков
данных в случае различных сбоев– Корректировки маршрутной таблицы на
основе информации о состоянии сети
• При выборе маршрута PfRанализирует:– Время отклика (Response time)– Потери пакетов (packet loss)– Вариацию задержки (jitter)– Доступность (availability)– Загрузку (traffic load) and $ cost policies
InternetDMVPN
Центральный офис
MC
BR2BR1
MPLS-VPN
MC/BR
MC/BRMC/BR
Предпосылки появления PfR
10.1.1.0/24Центральный
офис
Лучший маршрут из таблицы
маршрутизации
10.2.2.0/24Удаленный
офис
PE1 PE3
PE4
BR MC/BR
• Маршрут с лучшей метрикой не всегда является идеальным• Сеть может быть перегружена и не удовлетворять требованиям SLA• Технология PfR позволяет выбрать лучший маршрут на основе
собранной статистики
Выбор оптимального маршрута
Альтернативный маршрут (PfR)
Увеличение задержки
MC
PE2
Основные компоненты решения• Основной контроллер (Master Controller)
– Функционал Cisco IOS– Отдельное устройство или совмещенное
с BR– Не участвует в передаче данных– Создание политик– Контроль за состоянием сети– Выбор оптимального маршрута– Генерация отчетов
• Пограничный маршрутизатор (Border Router)
– Функционал Cisco IOS– Участвует в передаче данных– Собирает статистику о потоках данных– Использует IP SLA и NetFlow для сбора
информации– Изменение маршрутной информации
Провайдер 1
MC
BR1 BR2
ВнутреннийинтерфейсBR
Провайдер 2
ВнешнийинтерфейсBR
Алгоритм работы технологии PfR
Получить информацию о классах трафика, требующих оптимизации
Собрать информацию о каждом классе трафика
Сравнить полученную информацию с настроенными политиками и выбрать лучший маршрут
Внести необходимые изменения в таблицу маршрутизации на пограничном маршрутизаторе
Продолжить сбор и анализ данных на предмет соответствия реальной ситуации и настроенным политикам
C-A-R2
C-A-R3
C-A-R1
Link Down Link Up
Neighbor Down
Link Up
Loss ~5%Upstream Blackhole
Upstream Brownout
Routing Protocols
BFD
FSR
EOT & RSR(w/IP SLA)
PfR
C-A-R4
Эффективность работы различных технологий
Содержание
• Постановка задачи• Физические топологии WAN сети• Наложенные транспортные технологии
WAN• WAN технологии качества обслуживания
(QoS)• Технологии конвергенции сети при
отказах• Немного дизайна• Основные выводы
Модуль сопряжения с WAN сетью
• Для всех сценариев:– Нет статических маршрутов– Нет FHRPs– Динамическая маршрутизация
WAN
Сравнение различных физических топологий
WAN
WAN Edge
Router
WAN
Core/Distribution
SiSi
Core/Distribution Core/Distribution
Для сценария номер 3:Single Logical Control Plane
Port-Channel H/A
Рекомендовано
InternetInternet
InternetInternet
Возможные топологии для филиалов
MPLSMPLS WAN
MPLS + Internet WAN
Internet
Internet WAN
MPLS MPLS MPLS MPLS
MPLS MPLS
Non-Redundant Redundant-Links Redundant-Links & Routers
Сравнение подходов к двойному подключению к WAN
• За – Простота– Симметричная маршрутизация– Высокая надежность, автоматический переход на
резервный канал в случае отказов основного– При отказах полоса пропускания сохраняется
• Против – Не используется вся доступная полоса WAN
каналов
• За – Более эффективное использование полосы
пропускания WAN каналов– Высокая надежность, автоматический переход на
резервный канал в случае отказов основного
• Против – Возможна ассиметричная маршрутизация– Более сложный troubleshooting– При отказах полоса пропускания уменьшается
Hub Hub
Spoke
Hub Hub
Spoke
Active/Standby Active/Active
Оба подхода требуют одинаковую агрегированную полосу пропускания WAN
Распределение нагрузки WAN в центре
• Динамические протоколы маршрутизации
– EIGRP (поддерживает unequal cost)
– OSPF (поддерживает только equal cost)
• Распределение нагрузки– По умолчанию per-session– Per-packet также
поддерживается (но не рекомендуется)
• Симметричная против ассиметричной маршрутизации
spec
ific
rout
esIGP
A B
Трафик в направлении ГО -> Филиал
Распределение нагрузки WAN в филиале с использованием FHRPs
HSRP
VIP1
A B
default only
HSRP
VIP
A B
fullroutes
IGP
GLBP
VIP
A B
defaultonly
VIP2
DG=VIP1 DG=VIP2
Multiple HSRP Groups ICMP Redirect GLBP
Трафик в направлении Филиал -> ГО
ЛУЧШИЙ
Содержание
• Постановка задачи• Физические топологии WAN сети• Наложенные транспортные технологии
WAN• WAN технологии качества обслуживания
(QoS)• Технологии конвергенции сети при
отказах• Немного дизайна• Основные выводы
Основные выводы• Сеть должна поддерживать бизнес приложения и при этом
отвечать следующими требованиям: простота, высокая надежность и модульности.
• Отказы в сети могут проявляться по-разному. Поэтому дизайн сети должен быть основан на требованиях к работе бизнес приложений в нормальных условиях, а так же при различных отказах.
• Разные технологии используются для решения задачи обеспечения работы бизнес приложений в сети. Основные из них:
• Балансировка нагрузки между двумя альтернативными путями прохождения трафика
• Внедрение политик качества обслуживания для обеспечения SLAприложений (защиты приложений)
• Использование различных технологий высокой доступности, таких как быстрое обнаружение отказов с последующей конвергенцией сети
• Мониторинг с использованием IP SLA может определить отказы в сети, которые могут не определяться традиционными технологиями на основе «hello/holddown» таймеров.
• Performance Routing выбирает путь прохождения трафика, основываюсь на реальных характеристиках сети.
• Наиболее эффективный дизайн комбинирует в себе различные технологии, обеспечивающие корректную работу бизнес приложений в сети
Вопросы и Ответы
Спасибо!
Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!