Архитектура и дизайн распределенной корпоративной сети высокой доступности

Архитектура и дизайн распределенной корпоративной сети высокой доступностиАнастасия Фролова, системный инженер

Содержание

• Постановка задачи• Физические топологии WAN сети• Наложенные транспортные технологии

WAN• WAN технологии качества обслуживания

(QoS)• Технологии конвергенции сети при

отказах• Немного дизайна• Основные выводы

Задачи при дизайне сети

Высокая надёжность

Простота

Модульность

High Availability Scaling

Reduced Downtime

Fast TroubleshootingFast Recovery

DeliverPackets

Adjust to Real World Changes

Failure Business Change

Application Aware network

Способность сети поддерживать бизнес приложения

Способность сети эффективно использовать доступную полосу пропускания

Способность WAN сети реагировать на внешние изменение, такие как неисправности:

Аппаратные

Программные

Человеческий фактор

В сети Операторов Связи

Способность сети реагировать на изменения в постановке задачи бизнесом

Использование наиболее эффективных технологий и методов дизайна.

Правильный дизайн, альтернативные пути прохождения трафика

Аппаратная надёжность (правильное позиционирование)

Быстрое обнаружение отказов в сети

Быстрая сходимость сети

Application aware network

Высокая доступность (uptime)

Простота в настройках и документирование

Простота в сопровождении сети

Избегать избытка альтернативных путей

Простота

Иерархический дизайн

Модульный дизайн

Виртуализация

Позволяет скрыть сложности одной части сети от других

Модульность

Как решать эти задачи:






Иерархический дизайн WAN сети

Ядро

Распределение

Доступ

Центр обработки данных/Главный офис

Региональное отделение

Филиал 1 Филиал N...

Региональное отделение

Филиал 1’ Филиал N’...

Физические топологии WAN сети

MPLS WAN сервис предоставляет провайдер

Полная прозрачность для корпоративной сети, удалённые филиалы видны, как будто подключены по выделенным каналам

Предстает из себя полносвязную сеть

SpokeSite 1

SpokeSite 2

HQ/DC

SpokeSite Y

SpokeSite 3

SP-ProvidedMPLS

Private IP WAN

SpokeSite 1

SpokeSite 2

HQ/DC

SpokeSite Y

SpokeSite 3

ISP-ProvidedPublic Internet

Public Internet сервис предоставляет Internet Service Provider

В корпоративной сети видны удалённые филиалы, только если настроена наложенная сеть

Представляет из себя hub&spoke сеть

Сервисы MPLS VPN

MPLS VPN

3 уровень2 уровень

Точка-точка Многоточечные Any Transport over MPLS (AToM)• Подключение к

провайдеру на 2 уровне

• Провайдер не участвует в клиентской маршрутизации

Virtual Private LAN Services (VPLS)• Ethernet

подключение к провайдеру

• Провайдер не участвует в клиентской маршрутизации

• Подключение к провайдеру на 3 уровне (статическая или динамическая маршрутизация)

• Провайдер участвует в передаче клиентских маршрутов

MPLS VPN

Непосредственная связность на 3 уровне только между РЕ и СЕ

Предоставление услуг на третьем уровне (L3)

CE CEPE PE

Локальное подключение

VRFVRF

Global

VRF—Virtual Routing and Forwarding

! PE Router – Multiple VRFsip vrf bluerd 65100:10route-target import 65100:10route-target export 65100:10ip vrf yellowrd 65100:20route-target import 65100:20route-target export 65100:20!interface GigabitEthernet0/1.10ip vrf forwarding blueinterface GigabitEthernet0/1.20ip vrf forwarding yellow

Варианты дизайнов MPLS VPN

Дизайн с подключением к одному провайдеру (Single Carrier):

Организация подключает все площадки к одному провайдеру услуг L3 MPLS VPN.

Дизайн с подключением к двум провайдерам (Dual Carrier):

Организация подключает площадки к одному или двум провайдерам услуг L3 MPLS VPN, одним или двумя каналами.

Дизайны и способы подключения:Наложенные технологии с шифрованием данных (например IPSec, DMVPN, GET VPN, и т.д.)Резервные подключения (постоянные или по требованию)

Подключение к одному провайдеру (не транзитное)

Два каналаПередаются только локальные подсети (^$)Обычно используется два маршрутизатора CE Дизайн BGP:

EBGP до провайдераIBGP между CE

Внешние маршруты попадают во внутренний протокол

Один каналПередаются локальные подсети и опционально используется маршрут по умолчанию.

CE1

C1

CE2

AS 64512C2

CE5

Site IGP

CE3 CE4

AS 64517

AS 200

Подключение к двум провайдерам: транзитное/не транзитное

C1

CE2

Prefix Z

AS 512C2

CE5

Prefix X Prefix Y

Site IGP

CE3 CE4

AS 517

Transit

AS 100 AS 200AS 545

CE1

Транзитные системы необходимы для обеспечения связи с площадками, подключенными только к одному провайдеру.

Транзитные площадки выполняют роль BGP моста для передачи маршрутов между двумя провайдерами.

Для минимизации задержек варианты транзита надо выбирать в соответствии с географическим расположением.

Один провайдер Два провайдера

ЗА: единая модель качества обслуживания (QoS)

ЗА: более устойчивая к неисправностям на стороне провайдера система

ЗА: работа с одним вендором ЗА: больше вариантов бизнес предложений

ЗА: более простой дизайн ЗА: возможность получить лучшую цену

Против: критичны неполадки в сети провайдера Против: двойная оплата канала

Против: отсутствие запасного варианта в случае сбоев Против: сложность дизайна

1 или 2 провайдера?

Надежность или простота?






Технологии туннелирования

• IPSec—Encapsulating Security Payload (ESP)– Сильное шифрование– Только одноадресные IP пакеты (unicast)

• Generic Routing Encapsulation (GRE)– IP Unicast, Multicast, Broadcast– Поддержка множества протоколов

• Layer 2 Tunneling Protocol—Version 3 (L2TPv3)– Протоколы второго уровня (Ethernet, Serial,…)– Поддержка Pseudowire

• Другие технологии с использованием туннелей – LISP, OTV и т.д.

Инкапсуляция пакетов поверх IP

Tunnels

Dynamic Multipoint VPN

• Позволяет обеспечить полносвязное взаимодействие между головным офисом и удаленными филиалами без громоздких конфигураций

• Поддерживаются динамические адреса на удаленных устройствах

• Добавление новых устройств не требует изменения текущих конфигураций

• Может работать как с IPSec, так и без

Spoke n

Традиционные статические туннели

Туннель DMVPN

Статический известный IP адрес

Динамический неизвестный IP адрес

Hub

VPNSpoke 1

Spoke 2

Защищенные туннели создаются по запросу

Варианты топологий DMVPN

Hub and spoke Spoke-to-spoke

Server Load Balancing Hierarchical

Spoke-to-hub tunnelsSpoke-to-spoke tunnels2547oDMVPN tunnels

VRF-lite

2547oDMVPN

Шифрование между любыми сайтами до и после внедрения GET VPN

Сложности с масштабируемостью(проблема N^2)

Наложенная маршрутизация Проблемы с постоянной взаимосвязью

площадок Ограничения при работе с QoS Неэффективная работа с рассылками

(multicast)

WANWAN

Multicast

До: туннели точка-точка IPSec

после: VPN без туннелей

Масштабируемая защищенная архитектура Встроенная поддержка маршрутизации (без

наложений) Постоянная взаимосвязь между площадками Расширенные возможности QoS Эффективная работа с рассылками

общая/частная WAN частная WAN

FlexVPN

Центр

Удаленный доступ

Изолированный филиал

Прямое соединение между филиалами

• Универсальная технология наложенного VPN• Pаботает как для подключения филиалов, так и для

подключения удаленных сотрудников• В основе – протокол IKEv2

VPN технологии

EzVPN Spoke

GET GMDMVPN Spoke

DMVPN Spoke

Центр обработки данных

Internet Edge

WAN Edge

GET GM GET GM

Позиционирование EzVPN, DMVPN, GETVPN, FlexVPN

MPLS/Private Network

KSKS

GMGM

IPsec IPsec

Internet/Shared

Network*

* DMVPN может также применяться в MPLS/Private Network

Сравнение VPN технологийEzVPN P2P GRE

over IPSec DMVPN IPSec VTI GET VPN

Транспортная сеть Public Internet Private & Public

Internet Private &

Public Internet Private &

Public Internet

Private IP Transport

Топология сети Hub-Spoke; (Client to Site) Hub-Spoke

Hub-Spoke and Spoke-to-Spoke; (Site-to-Site)

Hub-Spoke Any-to-Any; (Site-to-Site)

Динамическаямаршрутизация

Reverse-route Injection

Наложенная на туннели Наложенная

на туннели

SVTI -наложенная на туннели, DVTI - нет

Маршрутизация транспортной сетью

Обеспечение высокой

доступности

DPD + StatefulHub Crypto Failover

Наложенная маршрутизация + DPD

Наложенная маршрутизация + DPD

SVTI –наложенная маршрутизацияDVTI – IPSec stateful

Наложенная маршрутизация + Stateful

Ключи шифрования Peer-to-Peer Peer-to-Peer Peer-to-

Peer/Group Peer-to-Peer Group

QoS На физ.

интерфейсе после шифрования

На физ. или логическом интерфейсе после шифрования

На физ.интерфейсе после шифрования и per-SA

На логическоминтерфейсе после шифрования и per-SA

На физ. интерфейсе после шифрования






Критерии успеха внедрения QoS1. Определение классов трафика и их SLA

2. Определение бизнес задач, которые решит внедрение QoS1. Защита голоса и видео2. Защита бизнес приложений3. Использование QoS для борьбы с DoS/work attacks

3. Дизайн и внедрение политик QoS1. Выделение сетевых устройств, где внедряется QoS2. Насколько адаптирован QoS к изменениям бизнеса?3. Дизайн QoS позволяет задействовать все ресурсы сети?4. Простота настроек QoS

4. Соответствие ожиданиям пользователей

Predictable Flows Drop & delay sensitive UDP priority 150 ms one-way delay 30 ms Jitter, 1% loss BW + Call signaling

Voice

Unpredictable Flows Drop & delay sensitive UDP priority 150 ms one-way delay 30 ms Jitter, 1% loss Overprovision by 20%

Video

Smooth/bursty Benign/greedy Drop insensitive Delay insensitive TCP retransmits/UDP does

not

Data

Качество обслуживанияКакие механизмы реализованы в QoS

Классификация и маркировка

Очереди и сброс пакетов

Последующие процессы

1. Классификация и маркировка

2. Проверка ограничений (Policing)

3. Работа с очередями и сброс пакетов (Scheduling)

4. Специфические механизмы (обработка/shaping, фрагментация, сжатие, Tx Ring)

TXRing

Packetsout

CBWFQScheduler

FQ

Call-Signaling CBWFQTransactional CBWFQ

Bulk Data CBWFQDefault Queue

1 Mbps VOIP

Policer

15 Mbps REALTIME

Policer

16 Mbps PQ (FIFO Between VOIP and VIDEO)

Class-BasedShaper

GE Interfacewith a sub-line-rate

access service (e.g. 50 Mbps)

Очереди задействуются ТОЛЬКО когда интерфейс перегружен Шейпер гарантирует, что трафик не превысит контрактную скорость Вложенные политики позволяют задействовать механизм очередей и

приоритизировать трафик до формирующего механизма (shaper)

Дизайн Ethernet WAN QoSпример работы иерархического QoS






• Как проявляется неисправность в сети связи?• Как быстро сеть может отреагировать на возникновение

сбоя?• Сколько времени потребуется для восстановления услуг

связи?

Провайдер 1

MPLS - SP B

C-A-R2

C-A-R4

C-B-R1 C-B-R4

C-A-R3

C-A-R1

HQ-W1

HQ-W2

BR-W1

BR-W2

Отказ устройства или канала

Деградация производительности устройства или канала


Различные типы сбоев в сети

• Резервирование «шлюза по умолчанию»• Настройка параметров протоколов

маршрутизации• Плавающие и статические маршруты• Оптимизация пути прохождения трафика с

помощью технологии Performance routing

Технологии конвергенции сети при отказах

Резервирование «шлюза по умолчанию»Семейство протоколов FHRP (First Hop Redundancy Protocol)обеспечивает:

• Резервирование «шлюза по умолчанию» для широковещательных сегментов

– Пользователи сегмента используют один IP адрес в качестве «шлюза по умолчанию» и кэшируют ARP для данного IP адреса

• Возможность резервирования маршрутов для для устройств, не поддерживающих динамическую маршрутизацию

– Некоторые межсетевые экраны не поддерживают динамическую маршрутизацию

• Не зависит от протокола маршрутизации – Работает со всеми динамическими протоколами маршрутизации и

статическими настройками маршрутов

• Суб-секундное переключение в случае отказов

• Балансировку нагрузки (GLBP) без дополнительных настроек

R2R1

Резервирование «шлюза по умолчанию»

Семейство протоколов FHRP:Hot Standby Router Protocol (HSRP)Virtual Router Redundancy Protocol (VRRP)Gateway Load Balancing Protocol (GLBP)

Hot Standby Routing Protocol (HSRP)

(.2) (.3)HSRP

(.1)

Active Router

Standby Router

VIP

A B

Default Gateway: (.1)DG MAC: MAC VIP

Router A#

interface FastEthernet0/0

ip address 10.1.2.2 255.255.255.0

standby 1 priority 110

standby 1 preempt

standby 1 ip 10.1.2.1

Router B#


ip address 10.1.2.3 255.255.255.0


standby 1 preempt


Router A# show standby brief

Interface Grp Prio P State Active Standby Virtual IP

Fa0/0 1 110 P Active local 10.1.2.3 10.1.2.1

Router B# show standby brief


Fa0/0 1 105 P Standby 10.1.2.2 local 10.1.2.1


(.2) (.3)HSRP

(.1)

Active Router

VIPLocal

Failures

A B

Default Gateway: (.1)DG MAC: MAC VIP

Router B# show standby brief


Fa0/0 1 105 P Active local unknown 10.1.2.1


(.2) (.3)HSRP

Standby Router

(.2) (.3)HSRP

(.1)

Active Router

VIP

Upstream/RemoteFailures

A B A B

Active Router

Complex FailureRequires “Enhanced

Object Tracking (EOT)”

(.1) VIP

Router A#

track 100 interface serial1/0 line-protocol

!


ip address 10.1.2.2 255.255.255.0

standby 1 preempt


standby 1 track 100 decrement 10


Gateway Load Balancing Protocol (GLBP)

(.2) (.3)GLBP

(.1)

Default Gateway: (.1)DG MAC: MAC AVF 1.1

AVF A

VIP VIP(.1)

A B

AVG 1


AVF B

SVG 1

AVG = Active Virtual Gateway

SVG = Standby Virtual Gateway

AVF = Active Virtual Forwarder

Router A#


ip address 10.1.2.2 255.255.255.0

glbp 1 priority 110

glbp 1 preempt

glbp 1 ip 10.1.2.1

glbp 1 load-balancing round-robin

Router B#


ip address 10.1.2.3 255.255.255.0

glbp 1 priority 105

glbp 1 preempt

glbp 1 ip 10.1.2.1

glbp 1 load-balancing round-robin

Router A# show glbp brief

Interface Grp Fwd Pri State Address Active Router Standby Router

Fa0/1 1 - 110 Active 10.1.2.1 local 10.1.2.3

Fa0/1 1 1 - Active 0007.b400.0101 local -

Fa0/1 1 2 - Listen 0007.b400.0102 10.1.2.3 -

Router B# show glbp brief

Interface Grp Fwd Pri State Address Active Router Standby Router

Fa0/1 1 - 105 Standby 10.1.2.1 10.1.2.2 local

Fa0/1 1 1 - Listen 0007.b400.0101 10.1.2.2 -

Fa0/1 1 2 - Active 0007.b400.0102 local -

Gateway Load Balancing Protocol (GLBP)

(.2) (.3)GLBP

(.1) VIPLocal

Failures

A BAVF AAVF B

AVG 1






Router B#

*Mar 31 17:04:27: %GLBP-6-STATECHANGE: FastEth0/1 Grp 1 state Standby -> Active

*Mar 31 17:04:27 %GLBP-6-FWDSTATECHANGE: FastEth0/1 Grp 1 Fwd 1 state

Listen -> Active

Router B# show glbp brief

Interface Grp Fwd Pri State Address Active Rtr Standby Rtr

Fa0/1 1 - 105 Active 10.1.2.1 local unknown

Fa0/1 1 1 - Active 0007.b400.0101 local -

Fa0/1 1 2 - Active 0007.b400.0102 local -

GLBP with Enhanced Object Tracking

(.2) (.3)GLBP

(.2) (.3)GLBP

(.1) VIPVIP(.1)

A B A BAVF AAVF B

AVGAVG




Complex FailureRequires “Enhanced

Object Tracking (EOT)”Upstream/Remote FailuresRequires “Enhanced Object

Tracking”

AVF AAVF B

Филиал

Технология Enhanced Object Tracking

Тип триггера Синтаксис

Состояние интерфейса

track object-number interface type number line-protocol xxxxxxxx

track 1 interface serial 1/1 line-protocol

Маршрутизация на интерфейсе

track object-number interface type number ip routing xxxxxxxxxxx

track 2 interface ethernet 1/0 ip routing

Доступность объекта в сети

track object-number ip route IP-Addr/Prefix-len reachability xxx

track 3 ip route 10.16.0.0/16 reachability

Threshold* of IP-Route Metrics

track object-number ip route IP-Addr/Prefix-len metric threshold

track 4 ip route 10.16.0.0/16 metric threshold

Router# show track 100

Track 100

Interface Serial1/1 line-protocol

Line protocol is Up

1 change, last change 00:00:05

Tracked by:

HSRP Ethernet0/3 1

Router# show track 103

Track 103

IP route 10.16.0.0 255.255.0.0 reachability

Reachability is Up (RIP)

1 change, last change 00:02:04

First-hop interface is Ethernet0/1

Tracked by:

HSRP Ethernet0/3 1

* Для протоколов EIGRP, OSPF, BGP и статических маршрутов от 0 до 255

Использование IP SLA зондов

Тип триггера Синтаксис

IP SLAs Operationtrack object-number ip sla type number state x xxxxxtrack 5 ip sla 4 state

Reachability of an IP SLAs Host

track object-number ip sla type number reachability xxxxxxxx

track 6 ip sla 4 reachability

dhcpdnsethernetframe-relayftp

httpicmp-echoicmp-jittermplspath-echo

path-jittertcp-connectudp-echoudp-jittervoip

Доступные типы IP SLA зондов:

Контроль вариации задержки

ip sla monitor operation-numbertype jitter dest-ipaddr {hostname | ip-address} dest-port port-number [num-packets number-of-

packets] [interval inter-packet-interval]frequency secondsrequest-data-size bytes

Доступные параметры по умолчанию

Количество пакетов 10 пакетов

Размер пакета 32 байт

Интервал между пакетами, милисекунды 20 мсек

Частота повторения, секунды 60 сек

Таймеры протоколов маршрутизацииKeepalive (B)

Hello (E,I,O)

Update (R)

Invalid (R)

Holdtime (B,E,I)

Dead (O)

Holddown (R)

Flush (R)

BGP 60 180

EIGRP

(< T1)5 (60) 15 (180)

IS-IS

(DIS)10 (3.333) 30 (10)

OSPF

(NBMA)10 (30) 40 (120)

RIP/RIPv2 30 180 180 240

Представлены значения по умолчанию

Время реакции протокола маршрутизацииR2

R3

R1

Link Down

Line protocol down

Link Up

Loss 100%

Link Up

Neighbor Down

Link Up

Loss ~5%

BGP ~ 1s 180 180 never

EIGRP(< T1)

~ 1s 15 (180) 15 (180) never

IS-IS(DIS)

~ 1s 30 (10) 30 (10) never

OSPF(NBMA)

~ 1s 40 (120) 40 (120) never

RIP/RIPv2 ~ 1s 240 240 never

R4

Используются настройки по умолчанию

Изменение параметров по умолчанию

C-A-R4# show ip bgp vpnv4 vrf cisco neighbor

BGP neighbor is 192.168.101.10, vrf cisco, remote AS 65110, external link

BGP version 4, remote router ID 192.168.201.10

BGP state = Established, up for 1d10h

Last read 00:00:19, hold time is 180, keepalive interval is 60 seconds

C-BR-W1#

router bgp 65110

neighbor 192.168.101.9 timers 7 21

C-A-R4# show ip bgp vpnv4 vrf cisco neighbor

BGP neighbor is 192.168.101.10, vrf cisco, remote AS 65110, external link

BGP version 4, remote router ID 192.168.201.10

BGP state = Established, up for 00:01:23

Last read 00:00:03, hold time is 21, keepalive interval is 7 seconds

R2

R3

R1 R4

Внимание! При конфигурации значенияHoldtime меньше 20 секунд выдается следующее предупреждение: % Warning: A Hold Time of Less than 20 Seconds Increases the Chances of Peer Flapping

Введение в BFDBi-Directional Forwarding Detection: • Облегченная версия hello протокола

– IPv4, IPv6, MPLS, P2MP

• Унифицированный способ определения отказов на канальном уровне

• Предсказуемое время определения отказов (50 миллисекунд минимальный hello интервал)

• Единый механизм, стандартизованный для работы на различных каналах

– Несколько режимов работы: Асинхронный (echo, no-echo)

• Не зависит от используемого протокола маршрутизации• Аппаратная реализация некоторых элементов протокола

позволяет разгрузить основной CPU• BFD в модели высокой доступности используется для

уменьшения времени определения отказа (уменьшение MTTR)

Преимущества технологии BFD

*Feb 16 19:15:41.730: bfdV1FSM e:5, s:3bfdnfy-client a:10.1.2.220, e: 1*Feb 16 19:15:41.730: Session [10.1.2.120,10.1.2.220,Fa0/1,1], event ECHO FAILURE, state UP -> DOWN*Feb 16 19:15:41.730: BFD: bfd_neighbor - action:DESTROY, proc/sub:2048/65110, idb:FastEthernet0/1, neighbor:10.1.2.220*Feb 16 19:15:41.730: bfdV1FSM e:6, s:1*Feb 16 19:15:41.730: Session [10.1.2.120,10.1.2.220,Fa0/1,1], event Session delete, state DOWN -> ADMIN DOWN*Feb 16 19:15:41.734: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 65110: Neighbor 10.1.2.220 (FastEthernet0/1) is down: BFD DOWN notification*Feb 16 19:15:41.734: BFD: bfd_neighbor - action:DESTROY, proc/sub:2048/65110, idb:FastEthernet0/1, neighbor:10.1.2.220

BFD: сокращает время обнаружения до 100 - 150 мс

R1# show clock*19:43:37.646 UTC Mon Feb 16 2009

*Feb 16 19:43:48.974: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 65110: Neighbor 10.1.2.220 (FastEthernet0/1) is down: holding time expired

EIGRP, значения таймеров по умолчанию : примерное время обнаружения проблемы 10-15 сек

R1 R2

100% потеря пакетов к канале(Link Up)

Обнаружение отказавшего соседа (Hello timers vs BFD)

Статическая маршрутизация

• Механизмы административной дистанции для статических маршрутов и резервирование основных маршрутов используются для создания floating static routes

• Настройка статического маршрута с большой административной дистанцией гарантирует, что этот маршрут не будет установлен в таблицу маршрутизации, пока в ней присутствует маршрут, полученный через динамический протокол маршрутизации

• Статические маршруты также могут проверять доступность SLA объектов для автоматического переключения на альтернативные пути

A

10.1.1.0/24

B

C

D

EIGRP Learned Route

No Routing

show ip route....D EX 10.1.1.0/24 via <C>

ip route 10.1.1.0 255.255.255.0 <B> 250

Статическая маршрутизация

• В случае отказа протокола маршрутизации динамически полученный маршрут пропадет из таблицы маршрутизации. RIB запустит процесс поиска альтернативного маршрута.

• Так как нет альтернативных маршрутов, полученных динамически, статический маршрут (static route) будет установлен в RIB с административной дистанцией, равной 250

A

10.1.1.0/24

B

C

D

EIGRP learned route

No Routing

ip route 10.1.1.0 255.255.255.0 <B> 250

show ip route.... D EX 10.1.1.0/24 via <C>

show ip route.... S 10.1.1.0/24 via <B>

BR-W1

IP SLA

(.9)

IP SLA

BR-W1# track 100 ip sla 100 reachability!ip sla 100icmp-echo 10.100.100.100 source-ip 10.1.2.120timeout 100frequency 10ip sla schedule 100 life forever start-time now!ip route 10.100.100.100 255.255.255.255 192.168.101.9!ip route 10.100.0.0 255.255.0.0 192.168.101.9 track 100ip route 10.100.0.0 255.255.0.0 192.168.201.9 200

BR-W1# show ip route

S 10.100.0.0/16 [1/0] via 192.168.101.9

192.168.101.8/29 192.168.201.8/29

(.9)

BR-W1# sh ip route track-tableip route 10.100.0.0 255.255.0.0 192.168.101.9 track 100 state is [up]

Tracking IP SLA

Надежная статическая маршрутизация

Надежная статическая маршрутизация

BR-W1

Tracking IP SLA

IP SLA

(.9)

IP SLA

192.168.101.8/29 192.168.201.8/29

(.9)

Unable to reachIP SLA Responder

BR-W1# show ip route

S 10.100.0.0/16 [200/0] via 192.168.201.9

BR-W1#

*Mar 12 03:57:37.119: %TRACKING-5-STATE: 100 rtr 100 reachability Up->Down

BR-W1# show ip route track-table

ip route 10.100.0.0 255.255.0.0 192.168.101.9 track 100 state is [down]

• Технология PfR предназначена для:– Выбора оптимального маршрута с учетом

производительности канала– Автоматического распределения нагрузки

между каналами связи– Выбора наиболее оптимального пути для

приложения– Автоматического перенаправления потоков

данных в случае различных сбоев– Корректировки маршрутной таблицы на

основе информации о состоянии сети

• При выборе маршрута PfRанализирует:– Время отклика (Response time)– Потери пакетов (packet loss)– Вариацию задержки (jitter)– Доступность (availability)– Загрузку (traffic load) and $ cost policies

InternetDMVPN

Центральный офис

MC

BR2BR1

MPLS-VPN

MC/BR

MC/BRMC/BR

Предпосылки появления PfR

10.1.1.0/24Центральный

офис

Лучший маршрут из таблицы

маршрутизации

10.2.2.0/24Удаленный

офис

PE1 PE3

PE4

BR MC/BR

• Маршрут с лучшей метрикой не всегда является идеальным• Сеть может быть перегружена и не удовлетворять требованиям SLA• Технология PfR позволяет выбрать лучший маршрут на основе

собранной статистики

Выбор оптимального маршрута

Альтернативный маршрут (PfR)

Увеличение задержки

MC

PE2

Основные компоненты решения• Основной контроллер (Master Controller)

– Функционал Cisco IOS– Отдельное устройство или совмещенное

с BR– Не участвует в передаче данных– Создание политик– Контроль за состоянием сети– Выбор оптимального маршрута– Генерация отчетов

• Пограничный маршрутизатор (Border Router)

– Функционал Cisco IOS– Участвует в передаче данных– Собирает статистику о потоках данных– Использует IP SLA и NetFlow для сбора

информации– Изменение маршрутной информации


MC

BR1 BR2

ВнутреннийинтерфейсBR


ВнешнийинтерфейсBR

Алгоритм работы технологии PfR

Получить информацию о классах трафика, требующих оптимизации

Собрать информацию о каждом классе трафика

Сравнить полученную информацию с настроенными политиками и выбрать лучший маршрут

Внести необходимые изменения в таблицу маршрутизации на пограничном маршрутизаторе

Продолжить сбор и анализ данных на предмет соответствия реальной ситуации и настроенным политикам

C-A-R2

C-A-R3

C-A-R1

Link Down Link Up

Neighbor Down

Link Up

Loss ~5%Upstream Blackhole

Upstream Brownout

Routing Protocols

BFD

FSR

EOT & RSR(w/IP SLA)

PfR

C-A-R4

Эффективность работы различных технологий






Модуль сопряжения с WAN сетью

• Для всех сценариев:– Нет статических маршрутов– Нет FHRPs– Динамическая маршрутизация

WAN

Сравнение различных физических топологий

WAN

WAN Edge

Router

WAN

Core/Distribution

SiSi

Core/Distribution Core/Distribution

Для сценария номер 3:Single Logical Control Plane

Port-Channel H/A

Рекомендовано

InternetInternet

InternetInternet

Возможные топологии для филиалов

MPLSMPLS WAN

MPLS + Internet WAN

Internet

Internet WAN

MPLS MPLS MPLS MPLS

MPLS MPLS

Non-Redundant Redundant-Links Redundant-Links & Routers

Сравнение подходов к двойному подключению к WAN

• За – Простота– Симметричная маршрутизация– Высокая надежность, автоматический переход на

резервный канал в случае отказов основного– При отказах полоса пропускания сохраняется

• Против – Не используется вся доступная полоса WAN

каналов

• За – Более эффективное использование полосы

пропускания WAN каналов– Высокая надежность, автоматический переход на

резервный канал в случае отказов основного

• Против – Возможна ассиметричная маршрутизация– Более сложный troubleshooting– При отказах полоса пропускания уменьшается

Hub Hub

Spoke

Hub Hub

Spoke

Active/Standby Active/Active

Оба подхода требуют одинаковую агрегированную полосу пропускания WAN

Распределение нагрузки WAN в центре

• Динамические протоколы маршрутизации

– EIGRP (поддерживает unequal cost)

– OSPF (поддерживает только equal cost)

• Распределение нагрузки– По умолчанию per-session– Per-packet также

поддерживается (но не рекомендуется)

• Симметричная против ассиметричной маршрутизации

spec

ific

rout

esIGP

A B

Трафик в направлении ГО -> Филиал

Распределение нагрузки WAN в филиале с использованием FHRPs

HSRP

VIP1

A B

default only

HSRP

VIP

A B

fullroutes

IGP

GLBP

VIP

A B

defaultonly

VIP2

DG=VIP1 DG=VIP2

Multiple HSRP Groups ICMP Redirect GLBP

Трафик в направлении Филиал -> ГО

ЛУЧШИЙ






Основные выводы• Сеть должна поддерживать бизнес приложения и при этом

отвечать следующими требованиям: простота, высокая надежность и модульности.

• Отказы в сети могут проявляться по-разному. Поэтому дизайн сети должен быть основан на требованиях к работе бизнес приложений в нормальных условиях, а так же при различных отказах.

• Разные технологии используются для решения задачи обеспечения работы бизнес приложений в сети. Основные из них:

• Балансировка нагрузки между двумя альтернативными путями прохождения трафика

• Внедрение политик качества обслуживания для обеспечения SLAприложений (защиты приложений)

• Использование различных технологий высокой доступности, таких как быстрое обнаружение отказов с последующей конвергенцией сети

• Мониторинг с использованием IP SLA может определить отказы в сети, которые могут не определяться традиционными технологиями на основе «hello/holddown» таймеров.

• Performance Routing выбирает путь прохождения трафика, основываюсь на реальных характеристиках сети.

• Наиболее эффективный дизайн комбинирует в себе различные технологии, обеспечивающие корректную работу бизнес приложений в сети

Вопросы и Ответы

Спасибо!

Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!

Documents

Архитектура и дизайн распределенной корпоративной сети высокой доступности