iwan: предсказуемая доставка бизнес-приложений на любой...
DESCRIPTION
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративной сетиTRANSCRIPT
Ярослав КрасновСистемный инженер
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративной сети
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
План доклада
Требования к WAN с учётом приложений Инфраструктура для транспорта приложений
• GETVPN• FlexVPN• DMVPN
Пара слов про безопасность Интеллектуальный WAN: поговорим о качестве работы приложений
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
Использование Интернет в качестве WAN
Недорогая альтернатива
организаций планируют переход от
выделенных на Интернет-
подключения
1Internet Transit Pricing based on surveys and informal data collection primarily from Internet Operations Forums—‘street pricing’ estimates
2Packet delivery based on 15 years of ping data from PingER for WORLD (global server sample) from EDU.STANFORD.SLAC in California
Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER)
Стоимость Интернет и его надёжность, 1998-2012
Интеллектуальный WAN: используя ИнтернетЗащищённый транспорт WAN и доступ в Интернет
Branch
MPLS (IP-VPN)
InternetПрямой доступ в Интернет
Виртуальное частное облако
Публичное облако
Защищённый транспорт WAN для доступа в частное и виртуальное частное облако
Используется локальный путь через Интернет для доступа к публичному облаку и собственно в Интернет
Увеличенная полоса для бизнес-приложений, эффективная стоимость
Улучшенная производительность приложений – правильные потоки в правильные направления
Частное облако
Защищённый транспорт WAN
Модели внедрения интеллектуального WAN
Выделенные каналы (MPLS) Гибридная Каналы
Интернет
Интернет
Высокая надёжность и гарантии SLA
– Жёсткая привязка к провайдеруẋ Дорого
Public
MPLS
Консистентная топология VPN обеспечивает безопасность и управляемость
Больше полоса для ключевых приложений
Сбалансированные гарантии SLA– Средняя стоимость
Лучшее отношение цена/качество
Независимость от провайдера– Нет твёрдых гарантий SLA
Интернет
Публичныесервисы
Центральныйофис
Филиал Филиал Филиал
MPLSMPLS+
Интернет
Компоненты интеллектуального WAN (iWAN)
Интернет
Филиал
3G/4G-LTE
AVC
MPLS
Частное облако
Виртуальное частное облако
ПубличноеоблакоWAAS PfR
Оптимизация приложений
• Мониторинг и контроль приложений посредством технологии AVC
• Ускорение работы приложений и экономия полосы пропускания за счёт технологии WAAS
Защищённые соединения
• Сертифицированная криптография
• Надёжная защита от угроз с ASA IOSfirewall/IPS
Интеллектуальный контроль пути
• Лучший путь для приложения на базе данных о задержке, потерях, предпочтительного маршрута
• Балансировка данных• Улучшенная доступность сети• Performance Routing (PfR)
Любой транспорт
• Консистентная операционная модель
• Простая смена провайдера• Модульный и
масштабируемый дизайн• Использование наложенной
топологии DMVPN IPsec
Инфраструктура для транспорта приложенийВыбираем оптимальный VPN
Построение высоконадёжных WAN с Cisco iWANРезервирование и выбор пути что-то да значат
ISR G2
MPLS
ISR G2
MPLS MPLS Internet
ISR G2
MPLS
Один маршрутизатор,один путь
Один маршрутизатор,два пути
Два маршрутизатора,два пути
Internet Internet
ISR G2
ISR G2
Internet
ISR G2
MPLS Internet
ISR G2 ISR G2
Internet Internet
ISR G2
99.95%* 99.90%*
99.995% 99.995% 99.995%
99.999% 99.999%
Простои в год
4–9 часов
Простои в год8 часов
46 минут
5 минут
26 минут
Cisco iWAN
ISR G2
MPLS MPLS
ISR G2
99.999%
* Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool.
Позиционирование технологий VPN
Интернет/Публичная сеть
MPLS/Частная сеть
EzVPN/FlexVPNклиент GETVPN GMDMVPN/FlexVPN
KSKS
Агрегация IPSec
Граница WAN
Удалённый доступ с программных клиентов
GETVPN GM GETVPN GM
ЦОД/Центр
GET Encrypted
Граница сети
Site-to-Site VPN
GMGM
9
Позиционирование Cisco IPsec VPNEzVPN DMVPN FlexVPN GET VPN
Поддержка iWAN Нет Да Нет Нет
Сетевая инфраструктура
Публичный Интернет
Частный или публичный транспорт
Частный или публичный транспорт
Частный IP транспорт
Топология Удалённый доступ(Hub-Spoke)
Hub-Spoke, Spoke-to-Spoke(Site-to-Site)
Hub-Spoke, Удалённый доступ
Каждый с каждым по умолчанию
Маршрутизация Reverse-route Injection
Динамичская маршрутизация через туннели
Динаминческая маршрутизация через туннели
Динамическая маршрутизация через IP WAN
Резервирование Stateful Hub Crypto Failover
Модель распределения маршрутов
Модель распределения маршрутов
Распределение маршрутов + переключение
Тип шифрования Peer-to-Peer Protection
Peer-to-Peer Protection
Peer-to-Peer Protection Group Protection
IP Multicast Репликация
мультикаст в центре
Репликация мультикаст в центре
Репликация мультикаст в центре
Репликация мультикаст в сети IP WAN
Преимущество Простота Проверенный
сервис и доступность
Высочайшая гибкость
Естественная поддержка MPLSVPN
Cisco Group Encrypted Transport (GET) VPN
Cisco GET VPN предоставляет мощное решение для защищённых бестуннельных коммуникаций в режиме «каждый с каждым»
Шифрованные коммуникации «каждый с каждым» в широком масштабе
Естественная маршрутизация без создания туннелей
Естественная поддержка мультикаст –лучше производительность приложений
Практически любой транспорт – частныеLAN/WAN, FR/ATM, IP, MPLS
Any-to-Any Connectivity
В реальном времени
Масштабируемость
Каждый с каждым
Cisco GET
VPN
11
GETVPNСохренение заголовкаIPSec Tunnel Mode и GETVPN
IP пакет
IP PayloadIP HeaderIPSecTunnel Mode ESPNew IP Header
IP PayloadIP Header
Заголовок IPSec инкапулируется шлюзом VPN Новый IP адрес требует наложенной маршрутизации
IP пакет
IP PayloadIP HeaderESPPreserved HeaderGETVPN
IP PayloadIP Header
Заголовок IP сохраняется шлюзом VPN Сохранённый IP адрес использует оригинальную маршрутизацию
12
GDOI (Group Domain of Interpretation, RFC 6407) Криптографический протокол для управления групповым ключом
Серверы ключей (KS) Устройство на базе IOS для управления контрольным уровнем Распределение ключей участникам группы (GM)
Участники группы (GM) Устройства с IOS для шифрования/дешифрования трафика
Ассоциации групп безопасности Бестуннельная сеть Не требуется туннель Peer-to-Peer Общие IPsec SA для всех GM
Сохранение IP адресов Сохраняется оригинальный IP адрес
GETVPNОсновные компоненты
GM1
GM2GM3 GM4
GM5
GM6
GM7GM8GM9 KS
13
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 !crypto isakmp policy 10encr aesauthentication pre-share
!crypto ipsec transform-set TSET esp-aes esp-sha-hmac!crypto ipsec profile GETVPNset transform-set TSET
!access-list 150 permit ip any host 225.1.1.1!access-list 160 deny eigrp any anyaccess-list 160 deny pim any anyaccess-list 160 deny udp any any eq 848access-list 160 permit ip any any
Pre-shared Key
IPSec Profile
ISAKMP Policy
ACL, определяющий правила шифрования, передаётся участникам
ACL для обновления ключей (полезен только при обновлении через мультикаст)
IPSec Transform-Set
Конфигурация сервера ключей KS [1/2]
14
crypto gdoi group GETVPNidentity number 1234server local!rekey address ipv4 150 !rekey lifetime seconds 14400rekey retransmit 10 number 2rekey authentication mypubkey rsa GETVPNrekey transport unicast
sa ipsec 1profile GETVPN
match address ipv4 160address ipv4 1.1.1.1
redundancylocal priority 10peer address ipv4 1.1.1.2
!
ACL с правиламишифрования
Идентификатор группы GDOI
Адрес при обновлении ключа (только для
мультикаста)
Адрес источника приобновлении ключа
Свойства обновления
ключа
Резервный KS
Конфигурация сервера ключей KS [2/2]
15
Конфигурация участника группы (GM)crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0!crypto isakmp policy 10encr aesauthentication pre-share
!crypto gdoi group getvpn1identity number 1234server address ipv4 1.1.1.1
!crypto map GETVPN 10 gdoiset group getvpn1
!interface FastEthernet0/0crypto map GETVPN
Crypto map на интерфейсе
Группа GDOI
Адрес сервераключей KS
GDOI crypto map
Pre-shared Key
ISAKMP Policy
16
GETVPN
Преимущества
• Большой масштаб полносвязной топологии• Репликация мультикаст в сети провайдера• Модель распределения маршрутов и
поддержка состояния• Групповая защита• Сохраняются IP адреса: хорошо работает с
QoS и инженерией трафика
Недостатки
• Подходит только для частной, уже безопасной IP инфраструктуры
• Поддерживает только IP протоколы• Не полностью поддерживаются VRF• Не поддерживается NAT• Поддерживается только
маршрутизаторами Cisco• Не поддерживается технологией
iWAN
17
FlexVPNЕдиная технология на многие случаи.. За исключением iWAN
Филиал 2Традиционные статические туннелиDMVPN туннели по требованиюСтатические известные IP адресаДинамические неизвестные IP Addresses
Филиал 1
Hub
IPsecVPN
ISR G2
Филиал N
ASR 1000
ISR G2ISR G2
Отдельные филиалы(Easy VPN)
Удалённый доступ
(AnyConnect)Прямая связь филиалов(DMVPN)
Филиал B
Филиал A
Модульные блоки FlexVPN
Туннелирование Метод аутентификации
Конфигурация туннеля
Источник конфигурации
GRE/IPsec Сертификат Статическая Локальнаяконфигурация
Только IPsec Pre-shared Key Динамическая RADIUSEAP (инициатор) crypto map Гибрид
Security policy & routingIKEv2 “routing”BGPStatic routesReverse-Route InjectionEIGRP или что угодно!
19
192.168.1.0/24.1
200.1.1.2
.254Virtual-Access интерфейсы
Статический туннельный интерфейс с клиентом
FlexVPN
192.168.2.0/24
FlexVPN Hub & Spoke с использованием FlexClientТопология сети
23
192.168.1.0/24.1
crypto ikev2 keyring SPOKESpeer ALLaddress 0.0.0.0 0.0.0.0pre-shared-key cisco123
crypto ikev2 profile defaultmatch identity remote address 0.0.0.0 authentication remote pre-shareauthentication local pre-sharekeyring local SPOKESdpd 10 2 periodicvirtual-template 1
200.1.1.2
.2
192.
168.
2.0/
24
.1
24
Профиль IKEv2 по умолчанию
Wildcard PSKKeyring
interface Virtual-Template1 type tunnelip unnumbered Ethernet0/1tunnel source Ethernet0/0tunnel protection ipsec profile default
router eigrp 1network 192.168.1.1 0.0.0.0
Маршрутизация IGP
200.1.1.1Клиент
Центр 1 Центр 2
FlexVPN Hub & Spoke с использованием FlexClientКонфигурация центра
Создаёт Virtual-Access из Virtual-Template
24
192.168.1.0/24.1
200.1.1.2
interface Tunnel0ip unnumbered Ethernet0/1tunnel source Ethernet0/0tunnel destination dynamictunnel protection ipsec profile default
router eigrp 1network 192.168.1.1 0.0.0.0
crypto ikev2 keyring HUBSpeer HUB1address 200.1.1.1pre-shared-key cisco123
peer HUB2address 200.1.1.2pre-shared-key cisco123
crypto ikev2 profile defaultmatch identity remote address 0.0.0.0authentication remote pre-shareauthentication local pre-sharekeyring local HUBSdpd 10 2 periodic
crypto ikev2 client flexvpn FLEXCLIENTpeer 1 200.1.1.1peer 2 200.1.1.2client connect Tunnel0
Конструкция FlexVPN Client
.2
192.
168.
2.0/
24
.1
Пункт назначения туннеля выбирается из
конструкции FlexVPN Client
200.1.1.1Клиент
Центр 1 Центр 2
FlexVPN Hub & Spoke с использованием FlexClientКонфигурация клиента
25
Представляем Smart DefaultsИнтеллектуальные изменяемые настройки по умолчаниюcrypto ipsec transform-set default
esp-aes 128 esp-sha-hmac
crypto ipsec profile defaultset transform-set defaultset crypto ikev2 profile default
crypto ikev2 proposal defaultencryption aes-cbc-256 aes-cbc-128 3desintegrity sha512 sha 256 sha1 md5group 5 2
crypto ikev2 policy defaultmatch fvrf anyproposal default
crypto ikev2 authorization policy defaultroute set interfaceroute accept any
crypto ikev2 profile defaultmatch identity remote address 10.0.1.1 authentication local rsa-sigauthentication remote rsa-sigaaa authorization user cert list default defaultpki trustpoint TP
!interface Tunnel0ip address 192.168.0.1 255.255.255.252tunnel protection ipsec profile default Что вам нужно
указать
crypto ipsec transform-set defaultesp-aes 128 esp-sha-hmac
crypto ipsec profile defaultset transform-set defaultset crypto ikev2 profile default
crypto ikev2 proposal defaultencryption aes-cbc-256 aes-cbc-128 3desintegrity sha512 sha 256 sha1 md5group 5 2
crypto ikev2 policy defaultmatch fvrf anyproposal default
crypto ikev2 authorization policy defaultroute set interfaceroute accept any Эти конструкции
есть Smart Defaults26
FlexVPN
Преимуществаo Использует протокол IKEv2
o Поддержка масштабных сетей Hub-Spoke
o VPN-концентратор для удалённого доступа
o Может внедряться как на публичных, так и на частных сетях
o Централизованное управление политиками посредством AAA
o Отказоустойчивость (динамическая и IKEv2 маршрутизация)
o Поддержка мультикаст
o QoS на каждый туннель в центре
o Совместимость с другими производителями
Недостатки
o Нет обратной совместимости с IKEv1
o В настоящее время поддерживается только на ISR-G2, ASR и маршрутизаторах серии 800
o Не поддерживается технологией iWAN
27
Использует две проверенных технологии Отличительные особенности
DMVPN – это решение на базе Cisco IOS для простого, динамического и масштабируемого построения IPsec+GRE VPN
• Next-Hop Resolution Protocol (NHRP)Создаёт распределённую таблицу соответствия VPN (туннельного интерфейса) и реального («белого») адресов
• Multipoint GRE tunnel interfaceЕдиный GRE интерфейс для поддержки большого числа GRE/IPsec туннелей и устройств
Уменьшает размер и сложность конфигурации
Поддерживает динамическое создание туннеля
• Уменьшение конфигурации и простое расширение топологии:
Транспортные протоколы (NBMA) IPv4 и IPv6Клиенты с динамическими транспортными адресамиКлиенты - за динамическим NAT, хабы – за статическим NATДинамические туннели между клиентамиПоддерживает MPLS; поддержка MPLS и VRF через GRE туннелиШирокий выбор доступных топологий сети и опций
Что такое Cisco Dynamic Multipoint VPN?
Примеры топологий DMVPN
Hub and spoke (Фаза 1) Spoke-to-spoke (Фаза 2)
Балансировка нагрузки Иерархическая (Фаза 3)
VRF-lite
2547oDMVPN
Spoke-to-hub tunnelsSpoke-to-spoke tunnels2547oDMVPN tunnels
29
Пример DMVPN
Динамический туннельSpoke-to-spoke
Клиент A
Клиент B
192.168.2.0/24
.1
192.168.1.0/24
.1
192.168.0.0/24.1
. . .
Физический: 172.17.0.1Tunnel0: 10.0.0.1
Физический: динамическийTunnel0: 10.0.0.11
Physical: dynamicTunnel0: 10.0.0.12
Статический туннель Spoke-to-hub
ИзвестныйIP адрес
Динамическиенеизвестные
IP адреса
LAN могут иметьчастные адреса
30
DMVPN: регистрация NHRP – туннели в центр
Spoke A192.168.1.1/24
= Динамические постоянные туннели IPsec
192.168.2.1/24
Physical: 172.17.0.1Tunnel0: 10.0.0.1
Spoke B
Physical: (dynamic)Tunnel0: 10.0.0.11
Physical: (dynamic)Tunnel0: 10.0.0.12
10.0.0.1 172.17.0.1 10.0.0.1 172.17.0.1
10.0.0.11 172.16.1.110.0.0.12 172.16.2.1
192.168.0.1/24
192.168.1.0/24 Conn.192.168.2.0/24 Conn.
192.168.0.0/24 Conn.
NHRP mapping
Routing Table
172.16.1.1
172.16.2.1
Регистрация NHRP
31
DMVPN: регистрация NHRP - маршрутизацияSpoke1 Hub Spoke2
Зашифровано
Host1 Host2
Зашифровано
Routing Update
Routing Adjacency
Routing Update
Routing Adjacency
Routing Update
Routing Update
NHRP Regist. Req.
IKE/IPsec Established
IKE Initialization
NHRP Regist. Rep.
IKE Initialization
IKE/IPsec Established
NHRP Regist. Rep.
NHRP Regist. Req.
32
DMVPN: регистрация NHRP
Spoke A192.168.1.1/24192.168.2.1/24
Physical: 172.17.0.1Tunnel0: 10.0.0.1
Spoke B
Physical:Tunnel0: 10.0.0.11
Physical: Tunnel0: 10.0.0.12
10.0.0.1 172.17.0.1 10.0.0.1 172.17.0.1
10.0.0.11 172.16.1.110.0.0.12 172.16.2.1
192.168.0.1/24
192.168.0.0/16 10.0.0.1192.168.0.0/16 10.0.0.1
192.168.1.0/24 10.0.0.11192.168.2.0/24 10.0.0.12
192.168.1.0/24 Conn. 192.168.2.0/24 Conn.
192.168.0.0/24 Conn.NHRP mapping
Routing Table
172.16.1.1
172.16.2.1
Пакет
192.168.0.0/16 Summ.
= Динамические постоянные туннели IPsec
33
Spoke A 192.168.2.1/24
Physical: 172.17.0.1Tunnel0: 10.0.0.1
Spoke B
Physical: (dynamic)Tunnel0: 10.0.0.11
Physical: (dynamic)Tunnel0: 10.0.0.12
10.0.0.11 172.16.1.110.0.0.12 172.16.2.1
192.168.0.1/24
192.168.1.0/24 10.0.0.11192.168.2.0/24 10.0.0.12
192.168.0.0/24 Conn.
CEF FIB Table
172.16.1.1172.16.2.1
NHRP Mapping
192.168.1.0/24 Conn.
10.0.0.1 172.17.0.1
192.168.2.0/24 Conn.
10.0.0.1 172.17.0.1192.168.2.1 ???
192.168.0.0/16 10.0.0.1192.168.0.0/16 10.0.0.1
CEF Adjacency
10.0.0.1 172.17.0.1
172.16.2.1 10.0.0.11 172.16.1.1
10.0.0.11 172.16.1.1
192.168.2.0/24 172.16.2.1 10.0.0.11 172.16.1.1
Data PacketNHRP RedirectNHRP Resolution
10.0.0.1 172.17.0.1
10.0.0.12 172.16.2.1
192.168.1.1/24
Hub
DMVPN: подробнее про NHRP
Динамические протоколы маршрутизации для DMVPN
Протокол Топология Контроль маршрутов Сходимость Нагрузка
на ЦПУМасштаби-руемость Примечания
EIGRP Hub-spokeSpoke-spoke Хорошо Быстро Высокая Низкая
OSPF Hub-spokeSpoke-spoke Нормально Быстро Высокая Низкая Одна область
BGP Hub-spokeSpoke-spoke Хорошо Медленно Средняя Средняя*
RIPv2 Hub-spoke** Плохо Медленно Низкая ВысокаяПассивный
режим требуетIP SLA
ODR Hub-spoke Отсутствует Медленно Низкая Высокая Только маршрут по умолчанию
* Масштабируемость может быть увеличена за счёт использования модели с BGP Route Reflector;т.е. сессии BGP терминируются в центральном узле на BGP route reflector, но сам хаб при этом будет клиентом Route Reflector** Может использоваться для spoke-to-spoke
Пара слов про безопасностьОрганизация периметра с DMVPN
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
ФилиалISR-G2
ASR 1000 ASR 1000
ISP A ISP C
ЦОД
IOS Zone-Based Firewall
Контроль периметра: Внешняя и внутренняя защита: внутренняя сеть более не является
доверенной Детектирование аномалий протоколов и инспекция сессий
Защищённые коммуникации: Знание о коммуникационных протоколах (SIP, SCCP, H323) Защита от DoS-атак
Гибкость: Поддержка прямого выхода в Интернет Внутренний МСЭ – гостевой доступ, недоверенные сегменты,
соответствие требованиям
Интеграция: Не требуется дополнительных устройств, затрат и электроэнергии Работает с сервисами Cisco: SRE, Scansafe, WaaS Express
VPN-DMZ
Internet Edge
«Красный» VRF default
default
INSIDE
OUTSIDE default
«Красный » VRF default
Global VRFdefault
EIGR
P default
Internet
Филиал
DMVPNЦентр
• Для разделения маршрутов «по умолчанию» используется Front-door VRF
• Первый маршрут по умолчанию находится в «красном» VRF и используется для установки туннеля
• Второй маршрут по умолчанию помещается в глобальную таблицу и используется для доступа пользователей в Интернет
• Позволяет применять централизованные политики для всех пользователей сети
Разделение внутреннего и внешнего мировОтдельные маршруты по умолчанию для каждого
DMVPN на одном устройстве с локальным ИнтернетВыход в Интернет с Front-door VRF (FVRF)
L2
FVRF – INET-PUBLIC1
ИнтернетDHCP
Global Table
G0/0
Локальный доступ в Интернет0.0.0.0 0.0.0.0
IOS NAT/FW
IOS NAT/FW
42
Поговорим о качествеОсновы нормальной работы приложений
DMVPN: необходимость в QoSQoS необходим в DMVPN для:
Разделения доступной полосы Управления потреблением полосы приложениями Соответствия требованиям приложений по скорости и задержкам
Проблема «жадного клиента»:
Центр
Клиент 1(жадный)
CE 1
Клиент 2 Клиент 3
Crypto engine или WAN link Интерфейс с ограниченной скоростью «вниз»
Пакеты теряются Идругие клиенты страдают
Пакеты теряются
Наиболее частая проблема
44
interface Tunnel0ip nhrp map group gold service-policy output goldip nhrp map group silver service-policy output silver
!policy-map goldclass class-default! offer 5Mbps to each spoke in the groupshape average 5000000
policy-map silverclass class-default! offer 1Mbps to each spoke in the groupshape average 1000000
DMVPN: группы QoS на туннельКлиент регистрируется как участник специфической группы при регистрации NHRPКаждый клиентский туннель наследует политику QoS соответствующей группы
hub# sh ip nhrp group-mapInterface: Tunnel0NHRP group: goldQoS policy: goldTunnels using the QoS policy:Tunnel destination overlay/transport address10.0.0.1/172.16.1.1NHRP group: silverQoS policy: silverTunnels using the QoS policy:Tunnel destination overlay/transport address10.0.0.2/172.16.2.110.0.0.3/172.16.3.1
Центр
Клиент 1 Клиент 3Клиент 2interface Tunnel0ip nhrp group gold
interface Tunnel0ip nhrp group silver
interface Tunnel0ip nhrp group silver
45
DMVPN QoS: иерархический шейпер
Родительская политика на полосу туннеля Каждому туннелю назначается максимальная полоса Шейпер обеспечивает механизм буферизации
Зашифрованные пакеты обрабатываются клиентской политикой
Резервированная полоса, LLQ, и т.д.
Резервированная полоса
Fair queuingLow-latency queuing
Агрегированный шейпер
class-map controlmatch ip precedence 6
class-map voicematch ip precedence 5
!policy-map sub-policy
class controlbandwidth 20
class voicepriority percent 60
!policy-map gold
class class-defaultshape average 5000000service-policy sub-policy
!policy-map silver
class class-defaultshape average 1000000service-policy sub-policy
46
DMVPN: QoS на каждый туннель
Классификация происходит на уровне туннеля (до инкапсуляции и шифрования)Полисинг (сборс) и маркировка также происходят на уровне туннеляОчереди работают на физическом интерфейсе
Tunnel 1 – Data
Tunnel 1 – Voice
Tunnel 2 – Data
Tunnel 2 – Voice
Tunnel 3 – Data
Tunnel 3 – Voice
CryptoEngine
SA C
lass
ifica
tion
Data
Voice
Data
Voice
Data
Voice
Tunnel 1Policy
Tunnel 2Policy
Tunnel 3Policy
Der
ived
Inte
rface
QoS
Pol
icy
PhysicalInterface
Классификация, полисинг и маркировка Иерархические очереди на туннель
47
Key Fields Packet #1
Source IP 10.1.1.1
Destination IP 173.194.34.134
Source Port 20457
Destination Port 23
Layer 3 protocol 6
TOS byte 0
Ingres Interface Ethernet 0
Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf.
10.1.1.1 173.194.34.134. 20457 80 6 0 Ethernet 0
Key Fields Packet #2
Source IP 10.1.1.1
Destination IP 72.163.4.161
Source Port 30307
Destination Port 80
Layer 3 protocol 6
TOS byte 0
Ingres Interface Ethernet 0
Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. App Name Timestamps
Byttes Packets
10.1.1.1 173.194.34.134 20457 80 6 0 Ethernet 0 HTTP
10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube
NetFlow cache
News
Интеграция Flexible NetFlow и NBAR
flow record app_recordmatch ipv4 source addressmatch ipv4 destination addressmatch …..collect application name
Первый пакет потока создаёт запись в таблице используя ключевые поля. Остальные пакеты этого же потока только обновляют статистику (bytes, counters, timestamps)
ISR G2: 15.0(1)MASR1K: IOS-XE 3.1S
В заключениеВспомним, с чего же мы начали
Гибридные топологии WANТрадиционная и iWAN
Internet MPLS
Филиал
DMVPN GETVPN
Internet MPLS
Филиал
DMVPN DMVPN
Две технологии IPSecGETVPN для MPLSDMVPN для Интернет
Два домена маршрутизацииMPLS: eBGP или статическаяИнтернет: iBGP, EIGRP, OSPFРедистрибьюция маршрутовФильтрация маршрутов и борьба с петлями
Активный/Резервныйпути WANОсновной и запасной
Одна технология IPSecDMVPN
Единый домен маршрутизацииiBGP, EIGRP, или OSPF
Два активныхпути WAN
ISR-G2
ASR 1000 ASR 1000
ISP A SP V
ISR-G2
ISP A SP V
ASR 1000 ASR 1000
ТРАДИЦИОННАЯ ГИБРИДНАЯ
ЦОД
ГИБРИДНАЯ iWAN
ЦОД
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
Филиал
IPsec Overlay – DMVPN Фаза 2 Динамические туннели Site-to-site QоS на каждый туннель Совместимость с PfR
Несколько облаков DMVPN для резервирования Различные домены нестабильности Изоляция проблем провайдера — PfR Балансировка нагрузки — PfR и протоколы маршрутизации
Единый домен маршрутизации Упрощённое обслуживание и поддержка ECMP или лучший маршрут EIGRP или BGP
Безопасность Защита сети от внешних угроз
Internet MPLS
DMVPNBlue
DMVPNGreen
ГИБРИДНЫЙ ДИЗАЙН iWAN
ЦОД
ISP A SP V
ASR 1000 ASR 1000
ISR-G2ISR-G2
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом#CiscoConnectRu
Пожалуйста, используйте код для оценки доклада:
Спасибо!
КонтактыИмя: Ярослав КрасновТел:+7 499 929 5770E-mail: [email protected]
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
3110
Global RoutingTable
VRF Red VRF Blue VRF Green
iVRF + fVRF + QoS + …
Layer 4
Layer 3
Layer 2
Layer 5+ IKE AAA BGP
Applied by IKEv2:vrf forwarding Redtunnel vrf Blueservice-policy out Gold
Any feature can be applied here: NAT, NHRP network-id, NHRP redirect, FW Zone, QoS, VRF, ACL…
Routes applied here…
55