Шилов ДмитрийСистемный Инженер,CCIE RS/[email protected]
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Знакомьтесь – это Марк!
Сертифицированный инженер – ответственный
за проектирование, развертывание и
эксплуатацию сети
Работает в компании SomeTelecom
2
У него есть задание на неделю:
Core
Metro Ethernet Cloud
Core
Установить 50 узлов Carrier-Ethernet сети
Расширить сетьMobile-Backhaul
Со следующими ограничениями:
Время: 1 неделя
Экономия денег
CAP-EX OP-EX
3
Развертывание сети: Традиционный подход
Заказ
Предварительная настройка
ДоставкаПогрузка-разгрузка
Исправление ошибок доставки
Активация сервисов
Настройка оборудования
4
Вопросы для размышления
Какие шаги я могу исключить из процесса?
Может ли Zero-touch Solutions помочь мне?
А преднастройка оборудования действительно нужна?
Без преднастройки как я обеспечу безопасность?
Как управлять оборудованием после инсталляции? – может подумать про SDN?
Как в случаях ошибки в доставке исключить перевозку оборудования?
5
Далее: Zero-Touch Solutions
Auto Install
Начальный загрузочный config
чтобы достичь Provisioning Server
ProvisioningServer
Device Authentication + Config / Image Download
DHCP, DNS, TFTP servers
Отлично подходит для Enterprise, но для Service Provider все несколько сложнее
L2-доступ илипреднастрока
адреса сервера конфигураций
7
Недостатки Zero-Touch для Service Provider сети
• Дорого: DHCP/DNS сервер на каждый узел доступа
• Обязательно наличие загрузочного конфига : Чужая Metro-Ethernet сеть будет препятствовать автоматическому обнаружению
• Забота о безопасности: Чужое устройство получит доступ до идентификации
Центральный сервер системы провиженинга
Чужая Metro Ethernet сеть
Агрегация
Кто идентифицир
ует чужое устройство?
New Device
Как я могу достать
центральный сервер?
Security Discovery
Требования:
без серверов или преднастроек
8
Решение проблем
Security Discovery
без серверов и преднастроекZero-Touch
Deployment SolutionsПреднастройка
Экономия
9
Требования:
К чему приводят ошибки в преднастроках.
Чужая Metro Ethernet сеть
Access
Aggregation• Устройство далеко и связи с ним нет• Типовые ошибки: ошибки в адресах,
ошибки в AAA, интерфейсы неподняты, и т.д.
• Что делать? Вызывать машину и везти устройство в центр или ехать самому на удаленный сайт
Ошибка в AAA: доступа нет
ой!
`ConsistentReachability
Даже при ошибке в конфигурации
Центральный сервер системы провиженинга
10
Требование 1: базовая инфраструктура
• Безопасность (проверка нового устройства)• Обнаружение (сервисы, VLANы ..)• Доступность (несмотря на ошибки в преднастройках)Нужно комплексное решение
a
Security
Discovery
Consistent Reachability
12
Требование 2: приложения
• ваш выбор -Provisioning solution
• Главное гибкость
• EEM, PRIME илиSDN контроллер –доложны работать без ограничений
Оба подхода имеют схожие
требования. Разве они не могут
просто действовать как
приложения?Zero Touch
Deployment Solutions
Management/ Customization
13
Объединение требований
a
Security
Discovery
Consistent Reachability
Zero-Touch Deployment
Management/ Customization
(EEM / PRIME/ SDN controller)
14
Легко сказать …
aNetwork
Security
Discovery
Consistent Reachability
Выглядит хорошо…..
Но разве это возможно?
16
AUTONOMICNETWORK
Авто-конфигурация
Само-Безопасность
Самооптими-зация
Самовосста-новление
Что такое автономные сети?
Самоуправление
Идеальная модель Zero Touch
RegistrarDark Layer 2 Cloud
я подключился!!! М.б. мне нужен первоначальный
конфиг ?
Кто ты, у тебя есть твой идентификатор?
Есть - это SUDI!
Отлично, Этого
достаточно!
Устройство 1
Обнаружение линка связи
RegistrarDark Layer 2 Cloud
Ух ты! Я знаю свой
VLAN
Теперь и я знаю твой VLAN, а заодно
и Link Local IPv6 address
Петя
Установка сертификата домена
RegistrarDark Layer 2 Cloud
Проверка по локальному списку UDI
Петя
Мне нужно тебя идентифицировать
Доступ разрешен! Вот твой сертификат
Здорово! Теперь я в команде!!!
22
Autonomic Control Plane (ACP)
RegistrarDark Layer 2 Cloud
Router # show autonomic device
UDI <UDI>Device ID Router-1Domain ID cisco.comDomain Certificate (sub:) cn=Router-1:cisco.comDevice Address FD08:2EEF:C2EE::D253:5185:5472
Петя
Что делаем дальше, Шеф? Жду указаний!
Поднимай тунель и запускаем
маршрутизацию
Функционал Proxy Bootstrap
RegistrarDark Layer 2 Cloud
А вот и я! Как мне подключиться к
вам???
Не волнуйся! Я буду твоим помощником и подскажу что делать!
ПетяВася
Обнаружение и распространение сервисов
RegistrarDark Layer 2 Cloud
AAA Server
Петя
Вася
Автоматическое обнаружение и распространение базовых сервисов –AAA, DNS, TFTP и т.д. через Autonomic
Control Plane (ACP)
Ко мне подключен AAA server. Используйте его в
нашем домене
Экосистема Autonomic NetworkКакие сервера и приложения необходимы для работы?(Каждое приложение, кроме СА-сервера должно быть IPv6 capable)
Обязательно Централизация сервисов
Развитиe в будущем
Zero Touch Deployment Server
SDN Controller / NMS Applications
• Topology app*• Intent interpreter*• Autonomic Domain Manager*• Registrar functionality*
Certificate Authority (CA)
AAA Server
* Future Releases
Zero Touch: Какой сервер лучше использовать?
Приложения поверх инфраструктуры Autonomic Network Конфигурация устройства используя ACP Периодическое обновление ПО через data plane
Zero Touch Deployment Server
TFTP
• Любой open-source IPv6-capable TFTP server• Бесплатное использование, но ограниченная
функциональность• Support Model: No Vendor support
PnP
Cisco Plug-n-Play (PnP) solution*• Интегрируется с Cisco Prime• XMPP based Pub-Sub – строит ваш
собственный сценарий!• Поддержка: Cisco Support
* Future releases
Создания списка разрешенных устройств
Устройства, подключаемые к домену, должны быть идентифицированы Создание списка разрешенных устройств возможно несколькими способами
Автоматически получено от Cisco при заказе нового оборудования Загружено пользователем при наличии работающего оборудования
Список загружается вручную
Закупка Спецификация Пользовательские обновления
существующего списка
Registrar
Cisco создает список для новых
устройств
Конфигурация Registrar-маршрутизатора
Router#configure terminalRouter(config)#autonomic registrarRouter(config-registrar)#domain-id abc.comRouter(config-registrar)#whitelist disk:whitelist.txtRouter(config-registrar)#external-CA url <>Router(config-registrar)#no shut
Registrar
CA
Enter Autonomic Registrar Config mode
Configure domain-id – any name will do
Specify a local whitelist (Optional)
Specify an external CA’s url (Optional)
Unshut the Registrar – You’re done!
• Если не указан external-CA url то на Registrarлокально запускется IOS CA
Автоматическое обнаружение соседей
RegistrarRegistrar
VLANS 415, 416 allowed
Новое устройство всегда находится в пассивном режиме, ожидая запроса от Registar
Настраиваемый диапазон VLANов на Registar
Использование QnQ для изоляции от DATA-PLANE
!autonomic control-plane
vlan outer 400-420vlan inner 4092
end!
Begin Probe on VLAN 400
Подключение сервисов через ACP
Third–Party Metro Ethernet Cloud
RegistrarRegistrar
AAA Server
PnP
CAПодключение сервисов вACP: DNS, AAA, PnP и т.д.
interface Gig0/3autonomic connectipv6 address 2000::10/64
end Interface GigabitEthernet0/3
Обнаружение сервисов
Third–Party Metro Ethernet
CloudRouter#show autonomic service Service IP-AddrSyslog UNKNOWNAAA UNKNOWNAAA Accounting Port AAA Authorization Port Autonomic registrar FD08:2EEF:C2EE::D253:5185:5472TFTP Server UNKNOWNDNS Server UNKNOWN
RegistrarRegistrar
Сервисы автоматически распостраняются на устройства
Note: Все сервисы находятся не в Global, а в Autonomic domain context
Router#show autonomic service Service IP-AddrSyslog 2000::1AAA 2000::1AAA Accounting Port 1813AAA Authorization Port 1812Autonomic registrar FD08:2EEF:C2EE::D253:5185:5472TFTP Server 2000::1DNS Server 2000::1
AAA Server
PnP
CA
Автоматическая конфигурация устройств
Third–Party Metro Ethernet
Cloud
RegistrarRegistrar
Конфиг устанавливается при помощи PnP server* или жеTFTP серверов
Активация сервисов!
TFTP
Roadmap
Real world Customer use case
Planned for future
releases
Основной релиз: IOS-XE 3.13 Поддерживаемые платформы:
ASR901, ASR903, ASR901S, ME3600 / ME3800