Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 1

Станислав Рыпалов, CCIE R&S/Security #12561Системный инженер

Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 1.

Содержание Основы дизайна кампуса

Основные сервисы

Рекомендации по проектированию

VSS

Виртуализация

Соображения IP телефонии

Качество обслуживания (QoS)

Безопасность

Собираем всё вместе

SiSiSiSi

SiSiSiSi

SiSi

Data Center

SiSi SiSi

ServicesBlock

Distribution Blocks

SiSi SiSi SiSi

Задачи и требования

Доступность сети класса предприятияНадёжная Коммутационная Фабрика Кампуса

Отказоустойчивость сети

Отказоустойчивость систем

Эффективное управление

Ухо человека замечает разницу в голосе при пропадании 10 пакетов G.711 или вариации задержки 150-200 мсек

Видео менее устойчиво к потерям пакетов и задержке

Время конвергенции в кампусе 200 мсек

Next-Generation AppsVideo Conf., Unified Messaging,Global Outsourcing, E-Business, Wireless Ubiquity

Mission Critical Apps.Databases, Order-Entry,CRM, ERP

Desktop AppsE-mail, File and Print

Конечная цель……………..100%

ПРИЛОЖЕНИЯ ДИКТУЮТ ТРЕБОВАНИЯ К ДОСТУПНОСТИ СЕТИ

Системный подход в обеспечении высокой доступности

Основы дизайна

Data CenterWAN Internet

SiSi SiSi SiSi SiSi SiSi SiSi

SiSi SiSi

SiSi SiSiSiSi SiSi

SiSi SiSi

Доступ

Ядро

Распределение


Доступ

Отказоустойчивый Структурированный Модульный Иерархический Дизайн

SiSi SiSi

SiSiSiSi

SiSi SiSi

Иерархический дизайн сети

«Строительный» блок

Доступ


Ядро


Доступ Иерархия—каждый уровень имеет свою роль

Модульность—строительные блоки Легко наращивать, понимать и

устранять неисправности Небольшие домены/блоки —

чёткая демаркационная линия и изоляция неисправностей

Балансировка нагрузки и отказоустойчивость

Предсказуемость пути трафика Использование лучших методов как

Уровня 2, так и Уровня 3 Применение маршрутизации для

балансировки нагрузки, быстрой сходимости, масштабируемости и контроля

Без твёрдых основ всё остальное не имеет смысла

Уровень Доступа

Не только связность Функции Уровня 2/Уровня 3; сходимость,

доступность, безопасность, QoS, IP multicast, и т.д.

Сервисы сети: QoS, границы доверия, снижение кол-ва широковещательных запросов, IGMP snooping

Сервисы сети: PVST+, Rapid PVST+, EIGRP, OSPF, DTP, PAgP/LACP, UDLD, FlexLink, и т.д.

Встроенные функции безопасности Cisco Catalyst® IBNS (802.1x), (CISF): port security, DHCP snooping, DAI, IPSG и т.д.

Автоматическое обнаружение телефонов, граница доверия, power over Ethernet, голосовойVLAN и т.д.

Набор средств Spanning Tree: PortFast, UplinkFast, BackboneFast, LoopGuard, BPDU Guard, BPDU Filter, RootGuard и т.д.

Доступ

Распре-деление

ЯдроSiSiSiSi

SiSi SiSi

Среда с богатым набором функций

SiSiSiSi

SiSi SiSi

Уровень Распределения

Доступ


Ядро

Политики, Сходимость, QoS и Высокая Доступность

Доступность, балансировка нагрузки, QoS важны на этом уровне

Агрегация соединений от уровня доступа и подключение к ядру

Ограничение скорости потоков (защита ядра) и изоляция проблем уровня доступа

Суммаризация маршрутов, быстрая сходимость,балансировка нагрузки

HSRP или GLBP для резервирования шлюза по умолчанию

SiSiSiSi

SiSi SiSi

Уровень Ядра

Фундамент сети—соединяет «строительные» блоки

Сложность/Производительность и стабильность—чем меньше тем лучше

Точка агрегации соединений от уровня Распределения

Выделенный уровень ядра обеспечивает возможность расширения и роста

Сохраняйте дизайн независимо от технологий

Доступ


Ядро

Масштабируемость, Высокая Доступность и Быстрая Сходимость

Нужен ли мне уровень Ядра?

БЕЗ ЯДРА Полносвязность блоков распределения Дополнительные

соединения Сложная

маршрутизация

4-й Блок12 новых соед.24 ИТОГО

8 IGP соседей

3-й Блок8 новых соед.

12 ИТОГО

5 IGP соседей

Второй блок–4соединения

Вопрос масштабируемости, сложности и сходимости


Нужен ли мне уровень Ядра?

Выделенные коммутаторы ядра Легче добавлять модули/блоки Меньше соединений Легче наращивать полосу

пропускания Снижение кол-ва IGP peer Эквивалентные соед.

Уровня 3 обеспечиваютбыструю сходимость


16 ИТОГО

3 IGP соседа


12 ИТОГО

3 IGP соседа

Это вопрос масштабируемости, сложности и сходимости


SiSi SiSi SiSi SiSi

SiSi SiSi

SiSi SiSiSiSi SiSi

SiSi SiSi

Доступ

Ядро



Доступ

Альтернативные решения на распределенииLayer 2 Access Routed Access Virtual Switching System

Соединения L3 на распределении

Балансировка нагрузки через отстроенный CEF

Проверка настроек CatOS/IOS EtherChannel для балансировки

Суммаризация маршрутов в сторону ядра

Ограничение избыточных/резерв. IGP соединений

Настройка STP Root и HSRP primaryили GLBP для балансировки нагрузки на uplink’ах

Устанавливаем trunk mode on/no-negotiate

Выключаем EtherChannel, если не используем

На уровне доступа:Выключить trunkingВыключить EtherChannelВключить PortFast

RootGuard или BPDU-Guard Используем функции безопасности

Доступ


Ядро

Доступ Уровень 2— нет VLAN’ов распределённых по уровню доступа

VLAN 120 Voice10.1.120.0/24

Point-to-Point Link

VLAN 20 Data10.1.20.0/24

VLAN 140 Voice10.1.140.0/24

SiSi SiSi

SiSi SiSi

VLAN 40 Data10.1.40.0/24

Layer 3

VLAN 250 WLAN10.1.250.0/24

Соединения L2 на распределении Балансировка нагрузки через

отстроенный CEF Проверка настроек CatOS/IOS

EtherChannel для балансировки Суммаризация маршрутов в сторону

ядра Ограничение избыточных/резерв.

IGP соединений Настройка STP Root и HSRP primary

или GLBP и STP port cost для балансировки на uplink’ах

Устанавливаем trunk mode on/no-negotiate

Выключаем EtherChannel, если не используем

RootGuard на downlink’ах LoopGuard на uplink’ах На уровне доступа:

Выключить trunkingВыключить EtherChannelВключить PortFast

RootGuard или BPDU-Guard Используем функции безопасности

VLAN 120 Voice10.1.120.0/24

Trunk

VLAN 20 Data10.1.20.0/24

VLAN 140 Voice10.1.140.0/24

SiSi SiSi

SiSi SiSi

Layer 2

Доступ Уровень 2— часть VLAN’ов распределены по уровню доступа

VLAN 40 Data10.1.40.0/24

Доступ


Ядро

VLAN 20 Data10.1.20.0/24

Маршрутизируемый доступ иVirtual Switching System

VLAN 120 Voice10.1.120.0/24

P-to-P Link

Layer 3

VLAN 20 Data10.1.20.0/24

VLAN 140 Voice10.1.140.0/24

VLAN 40 Data10.1.40.0/24

SiSi SiSi

SiSi SiSi

Новый вариант

VLAN 40 Data10.1.40.0/24

SiSi SiSi

VLAN 120 Voice10.1.120.0/24VLAN 140 Voice10.1.140.0/24VLAN 250 WLAN10.1.250.0/24

Эволюция существующего дизайна

Доступ


Ядро

VSS & vPC

Ключевые сервисы и протоколы

Основные сервисы Физические соединения

(Уровень 1)

Резервирование на Уровне 2—spanning tree

Протоколы маршрутизации

Транковые протоколы—(ISL/.1q)

Unidirectional link detection

Балансировка нагрузкиагрегация EtherChannelБалансировка CEF equal cost

Защита шлюза по умолчаниюVRRP, HSRP или GLBP

Spanning

TreeRouting

HSRP


Layer 3 Equal Cost Links



SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Физический уровень – лучшие практики

Используйте соединения point-to-point — без дополнительных точек агрегации L2 между узлами

Используйте оптические соединения для уменьшения времени сходимости(debounce timer)

Настройка carrier таймерови задержек

Используйте физические интерфейсы вместо VLAN/SVI там где возможно

Отказоустойчивость и взаимодействие протоколов Непрямые неисправности

соединения тяжело обнаружить

Без прямого сообщения от физического интерфейса о пропаже соединения или изменении топологии время конвергенции зависит от программных средств

Непрямая неисправность в коммутируемой среде детектируется spanning tree helloпакетами

Для некоторых топологий нам необходимы TCN обновления или multicast flooding (uplink fast) для обеспечения сходимости SiSi

SiSi

SiSi

BPDUs

Hub

SiSi

SiSi

SiSi

Hub

HellosОбнаружение неисправности соединения

Отказоустойчивость и взаимодействие протоколов

Прямые оптические соединения обеспечивают быстрое обнаружение неисправности

Протоколы IEEE 802.3z и 802.3ae определяют работу сигнализации неисправности соединения

Бит D13 в Fast Link Pulse (FLP) может быть установлен для индикации физической неисправности

Не отключайте auto-negotiation на интерфейсах GigE и 10GigE

Таймер отключения на оптическихинтерфейсах GigE и 10GigE карт 10 мсек

Минимальное время отключения для витой пары 300 msec

Carrier-delay 3560, 3750 и 4500—0 мсек6500—установлен по умолчанию

1

2

3

Linecard Throttling: Debounce Timer

Механизм определения неисправностиIEEE

Cisco IOS® Throttling: Carrier Delay Timer

SiSi SiSi

1

Отказоустойчивость соединения и обнаружение неисправности

Отказоустойчивость и взаимодействие протоколов Интерфейсы L3 routed обеспечивают лучшую сходимость чем L2 порты

ассоциированные с L3 SVI

21:32:47.813 UTC: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/1, changed state to down21:32:47.821 UTC: %LINK-3-UPDOWN: Interface GigabitEthernet2/1, changed state to down21:32:48.069 UTC: %LINK-3-UPDOWN: Interface Vlan301, changed state to down21:32:48.069 UTC: IP-EIGRP(Default-IP-Routing-Table:100): Callback: route, adjust Vlan301

21:38:37.042 UTC: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet3/1, changed state to down21:38:37.050 UTC: %LINK-3-UPDOWN: Interface GigabitEthernet3/1, changed state to down21:38:37.050 UTC: IP-EIGRP(Default-IP-Routing-Table:100): Callback: route_adjust GigabitEthernet3/1

SiSiSiSi

L2SiSiSiSi

L3

~ 8 мсек потери

~ 150–200 мсек потери

Уровни 2 и 3—зачем использовать маршрутизируемые интерфейсы

1. Link Down2. Interface Down3. Autostate4. SVI Down5. Routing Update

1. Link Down2. Interface Down3. Routing Update

Лучшие практики—конфигурация STP

Используйте одинаковый номер VLAN на нескольких коммутаторах доступа только если это необходимо!

Используйте rapid PVST+ длялучшей сходимости

Чаще применяется в центрах обработки данных

Требуется для защиты от петель на стороне пользователей

Требуется для защиты от случайных ошибок ( неправильная конфигурация или ошибки HW)

Применяйте набор средств/функций spanning tree




Layer 2 Loops

VLAN 100 VLAN 100 VLAN 100


SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Многоуровневый сетевой дизайн

Каждый коммутатор доступа имеет свой набор VLAN

Нет петель уровня 2 Соединения уровня 3 между

коммутаторами распределения Нет заблокированных

соединений

Как минимум один VLANраспределён на несколько коммутаторов доступа

Петли уровня 2 Уровень 2 и 3 присутствуют на

соединениях на распределении Заблокированные соединения

SiSi SiSi SiSi SiSi

Vlan 10 Vlan 20 Vlan 30 Vlan 30 Vlan 30 Vlan 30

Доступ уровня 2 с распределением уровня 3

0

5

10

15

20

25

30

35

PVST+ Rapid PVST+

UpstreamDownstream

Оптимизация сходимости L2

Tim

e to

Res

tore

Dat

a Fl

ows

(sec

)

PVST+, Rapid PVST+ или MST

Rapid-PVST+ существенно уменьшает время сходимости для любого VLAN, который требует изменения топологии из-за подъёма соединения

Rapid-PVST+ улучшает время сходимости для случая неисправности на непрямых соединениях

PVST+ (802.1d)Традиционное внедрение STP

Rapid PVST+ (802.1w)Хорошо масштабируется(~10,000 портов)

Легко внедрять, проверено

MST (802.1s)Обеспечивает работу STP при больших внедрениях(~30,000 портов)

Нет гибкости rapid PVST+

Защита Уровня 2

Правильно располагайте root

Root primary/secondary macro

root bridge должен находиться там где Вы его назначили

RootGuardLoopGuardUplinkFastUDLD

Только рабочие станции должны быть видны за конечными портами

BPDU GuardRootGuardPortFastPort-security

SiSiSiSi

BPDU Guard илиRootGuard

PortFastPort Security

RootGuard

UplinkFast

STP Root

LoopGuard

LoopGuard

Поведение Spanning Tree должно быть предсказуемым!





SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Лучшие практики—протоколы маршрутизации Обычно внедряют между уровнем

распределения и ядра, и на соединениях ядра

Используются для быстрого переключения в обход неисправных соединений и узлов, и обеспечения балансировки нагрузки между резервными соединениями

Топология «треугольник» обеспечивает предсказуемое время конвергенции

Ограничьте соседство только теми соединениями, которые будут использованы для транзита

Проверяйте L3 пути на отсутствие «чёрных» дыр

Используйте суммаризацию для снижения кол-ва запросов EIGRP и распространения OSPF LSA

Настройте балансировку CEF L3/L4 для достижения максимальной эффективности использования эквивалентных соединений(CEF polarization)

Лучшие практики—треугольники и квадраты

Эквивалентные резервированные соединения уровня 3 поддерживают быструю сходимость

Аппаратная—быстрое восстановление в резервные соединения Исключительно быстрая сходимость (двойные эквив. пути: нет

необходимости для OSPF или EIGRP в расчёте нового пути)

«Треугольник»: Потеря соединения/узлане требует конвергенции протокола маршрутизации

Model A

«Квадрат»: Потеря соединения/узлатребует конвергенции протокола маршрутизации

Model B

SiSi

SiSiSiSi

SiSi SiSi

SiSiSiSi

SiSi

Предсказуемость против Непредсказуемости

Лучшие практики—Пассивные интерфейсы для IGP

Ограничивайте ненужное взаим. используя пассивные интерфейсы:

4 VLAN’а на узел дистрибьюцииИтого 12 соседствЗатраты на память и ресурсы CPU без реальных преимуществДополнительная нагрузка на IGP

RoutingUpdates

Пример OSPF:

Router(config)#router ospf 1Router(config-router)#passive-interfaceVlan 99

Router(config)#router ospf 1Router(config-router)#passive-interface defaultRouter(config-router)#no passive-interface Vlan 99

Пример EIGRP:

Router(config)#router eigrp 1Router(config-router)#passive-interfaceVlan 99

Router(config)#router eigrp 1Router(config-router)#passive-interface defaultRouter(config-router)#no passive-interface Vlan 99

Distribution

Access

SiSiSiSi

Ограничивайте взаимодействие/peeringOSPF и EIGRP через уровень доступа

10.1.2.0/2410.1.1.0/24

Суммаризация на уровне распределения

Важно обеспечить суммаризацию от уровня распределения в сторону ядра

Для построения обратного пути требуется маршрутная информация OSPF или EIGRP

Ограничивая количество peer’ов опрашиваемых EIGRP или кол-во обрабатываемых LSAs вOSPF мы оптимизируем процесс перемаршрутизации

Пример EIGRP:

SiSiSiSi

SiSi SiSi

No SummariesQueries Go Beyond the Core

Rest of Network

interface Port-channel1description to Core#1ip address 10.122.0.34 255.255.255.252ip hello-interval eigrp 100 1ip hold-time eigrp 100 3ip summary-address eigrp 100 10.1.0.0 255.255.0.0 5

Доступ


Ядро

Ограничить распространение EIGRP Queries и OSPF LSA

SiSiSiSi

SiSi SiSi


Важно обеспечить суммаризацию от уровня распределения в сторону ядра

Для построения обратного пути требуется маршрутная информация OSPF или EIGRP

Ограничивая количество peer’ов опрашиваемых EIGRP или кол-во обрабатываемых LSAs в OSPF мы оптимизируем процесс перемаршрутизации

Для EIGRP, если есть суммаризация на распределении, мы останавливаем запросы от ядра на изменения (flap) происходящие на уровне доступа

Для OSPF, суммаризация обеспечивает снижения кол-ва LSA 10.1.2.0/2410.1.1.0/24

Rest of Network

Summary:10.1.0.0/16

SummariesStop Queries at the Core

Снижение сложности сходимости IGP

Доступ


Ядро


Суммируйте маршруты на уровне распределения для снижения кол-ва запросов EIGRP и OSPF LSA

Пример:Upstream: при падении соед. отработает HSRP и трафик пойдёт через коммутатор слева

Return path: старый маршрутизтор анонсирует суммарный маршрут в ядро

Обратный трафик будет отброшен на правом коммутаторе

Суммаризация требует наличия соединения между коммутаторами распределения

Альтернатива: используйте уровень доступа для транзита

10.1.2.0/2410.1.1.0/24

Summary:10.1.0.0/16

SiSiSiSi

SiSi SiSi

Совет—Обязательно соединение Распределение-Распределение

Доступ


Ядро

Альтернативные пути

Что если сломается? Нет маршрута в ядро? Позволить трафику пройти

через уровень доступа?Хотите ли вы использовать коммутаторы доступа для транзита?Каким образом обеспечить необходимую производительность?

Создайте запасной маршрут в ядро

Лучшие практики: создайте запасное соединение с ядром и используйте L3 соединения на уровне распределения

Single Pathto Core

A B

SiSiSiSi

SiSiSiSi

Доступ


Ядро

SiSi

Load-Sharing Simple

Балансирование нагрузки по эквивалентным путям В зависимости от потоков трафика

и IP адресации один из алгоритмов может оказаться лучше других

Будьте осторожны с эффектом поляризации, внося изменения в настройки по умолчанию на всех уровнях

SiSiSiSi

SiSi

30% of Flows

70% of Flows

SiSiSiSi

SiSiSiSiLoad-Sharing Simple

Load-Sharing Full Simple

* = Default Load-Sharing Mode** = PFC3 in Sup720 and Sup32 Supervisors

Опции Catalyst 6500 PFC3** Load-SharingDefault* Src IP + Dst IP + Unique IDFull Src IP + Dst IP + Src Port + Dst PortFull Exclude Port Src IP + Dst IP + (Src or Dst Port)Simple Src IP + Dst IPFull Simple Src IP + Dst IP + Src Port + Dst Port

Опции Catalyst 4500 Load-SharingOriginal Src IP + Dst IPUniversal* Src IP + Dst IP + Unique IDInclude Port Src IP + Dst IP + (Src or Dst Port) + Unique ID

Оптимизация балансировки CEF

SiSiSiSi

SiSi SiSi

SiSi SiSi

Балансирование нагрузки CEF

Поляризация CEF: без некоторого тюнинга CEF будет выбирать одинаковый путь левый/левый илиправый/правый

Может возникнуть дисбаланс/перегрузка

Резервные пути игнорируются/перегружаются

По умолчанию на CEF хэшвлияет L3

Мы можем изменить это поведение используя информацию L3 + L4 как параметры влияния на хэш

L

L

R

R

Игнорирование резервных путей

DistributionDefault L3 Hash

CoreDefault L3 Hash

DistributionDefault L3 Hash

Избегайте перегрузки резервных L3 путей

SiSiSiSi

SiSi SiSi

SiSi SiSi

CEF Load Balancing

По умолчанию для Sup720/32 добавляется уникальный ID потока. Тем не менее, может возникать дисбаланс зависящий от схемы адресации.

Чередование L3/L4 хэша и L3 хэша обеспечивает наилучший результат для балансирования нагрузки

Применяйте схему simple в ядре и full simple на распределении для добавления L4 информации к алгоритму. Поддерживайте различные схемы от уровня к уровню.

RL

RL

RL

All Paths Used

DistributionL3/L4 Hash

CoreDefault L3 Hash

DistributionL3/L4 Hash

Избегайте перегрузки резервных L3 путей

Лучшие практики—конфигурация транков

Обычно внедряются между коммутаторами распределения и доступа

Используйте VTP transparent mode для снижения вероятности ошибки

«Жёсткие» установки режима транка и типа инкапсуляции для оптимальной конвергенции

Измените номер native VLAN на что-нибудь неиспользуемое для предотвращения атакиVLAN hopping

Вручную удалите все неиспользуемые на транке VLAN’ы

Выключите на портах хостов:CatOS: set port hostCisco IOS: switchport host Data CenterWAN Internet



802.1q Trunks


SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

VTP Virtual Trunk Protocol

Централизованное управление VLAN

Коммутатор VTP server распространяет БД VLAN на клиентские коммутаторы VTP

Работает только на транках 4 режима:

Server: обновляет VLAN БДна клиентах и др. серверах VTPClient: получает обновления—не может внести измененияTransparent: прозрачное прохождение VTPOff: ignores VTP updates

FServer

Set VLAN 50

Trunk

Trunk Trunk

Client

Off

Trunk

A

B

C

Client

Transparent

Ok, I Just Learned VLAN 50!

Drop VTP Updates

Pass Through Update

Ok, I Just LearnedVLAN 50!

DTP Dynamic Trunk Protocol

Автоматическое установление транка между коммутаторами

On: всегда транкDesirable: запрос удалённой стороныAuto: если есть запрос то переключение в транкOff: выкл. режима транка

Установление типа инкапсуляции 802.1Q или ISL

ISL: пытаемся использовать ISL802.1q: пытаемся использовать802.1qNegotiate: договариваемся ISL или 802.1qNon-negotiate: всегда используем установленный тип инкапсуляции

On/OnTrunk

Auto/DesirableTrunk

Off/OffNO Trunk

Off/On, Auto, DesirableNO Trunk

SiSi SiSi

SiSi SiSi

SiSi SiSi

SiSiSiSi

0

0.5

1

1.5

2

2.5

Tim

e to

Con

verg

e in

Sec

onds

Trunking Desirable Trunking Nonegotiate

Оптимизация сходимости: настройки транка

Установка DTP уменьшает время сходимости на транкеCatOS> (enable) set trunk <port> nonegotiate dot1q <vlan>

IOS(config-if)# switchport mode trunk

IOS(config-if)# switchport nonegotiate

Voice Data

-2 секунды задержки

SiSi

Состояние Trunk Auto/Desirable требует времени для отстройки

Транки/VTP/DTP—ИТОГИ

Применяйте режим VTP transparent; создаёт дополнительную административную нагрузку, но позволяет контролировать распространение VLAN’ов на коммутаторах доступа

Технологии безопасности, которые используют управление VLAN’ами по имени (802.1X, NAC и т.д.) требуют уникальной БД VLAN’овна коммутаторах доступа, если действует правило: A VLAN = A Subnet = AN коммутатор доступа

Придерживайтесь «жёстких» режимов DTP ON/ON и NO NEGOTIATE; баланс междупроизводительностью/доступностью идополнительными сложностями в настройке

Режим ON/ON и NO NEGOTIATE быстреепозволяет восстановить соединение чем режим desirable/desirable. Недостаток в том что, конфигурация DTP не позволяет активно мониторить состояние транка и неправильно настроенный транк достаточно тяжело обнаружить

Настройка транка это баланс между скоростью сходимости и гибкостью управления …

Лучшие практики— конфигурация UDLD Внедряется на любом

оптическом соединении

Применяйте режим UDLD aggressive mode для агрессивной защиты

Включайте в режиме общей конфигурации для исключения ошибок/пропусков

ПримерCisco IOS:udld aggressive




Fiber Interconnections


SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Обнаружение однонаправленных соединений Высоко-доступные сети требуют наличие

UDLD для защиты от однонаправленных коммуникаций или частично неисправных соединений и эффекта, который они могут оказывать на STP илиRSTP

Используется на оптических соединениях, где возможны проблемы с коммутацией оптических пар на панелях распределения

Каждый порт с настроенным UDLD будет отсылать пакет (L2) содержащий собственный device/port ID и соседа

Взаимодействующие порты должны получать пакеты с собственным ID и ID соседа

Если порт не получает пакеты с собственным ID в течение некоторого времени, соединение считается однонаправленным и выключается

Есть ли эхо?

SiSi

SiSi

Защита от однонаправленных коммуникаций

Режимы UDLD Aggressive и UDLD Normal

Одинаковые таймеры—15-секунд отправка hello по умолчанию

Режим Aggressive — после срабатывания таймера—пытается 8 раз(один в секунду) переустановить соединение, а затемпереключает порт в состояние err-disable

UDLD—Режим Normal—переключает в err-disable только порт со стороны которого обнаружено состояние UDLD, другая сторона только видит что порт выключился

UDLD—Aggressive—переводит в err-disable оба конца соединения если попытки восстановления соединения не удались

SiSi SiSi

Лучшие практики— конфигурация EtherChannel Обычно используется между

уровнями распределениями и ядра, и на соединениях внутри ядра

Используется для обеспечения отказоустойчивости соединения и снижения сложности

Настройка хэша L3/L4 позволяет достичь равномерной загруженности каналов

Кол-во каналов определяется как степень от числа 2(2, 4 или 8)

Одинаковые параметры для CatOS и Cisco IOS PAgP

Для совместимости - 802.3ad LACP

Если не требуется, то выкл.CatOS: set port hostCisco IOS: switchport host Data CenterWAN Internet




SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Что такое EtherChannelОпции установления—PAgP и LACP

On/OnChannel

On/OffNo Channel

Auto/DesirableChannel

Off/On, Auto, DesirableNo Channel

SiSi SiSi

SiSi SiSi

SiSi SiSi

SiSiSiSi

On/OnChannel

On/OffNo Channel

Active/PassiveChannel

Passive/PassiveNo Channel

SiSi

SiSi SiSi

SiSi SiSi

SiSiSiSi

SiSi

Port Aggregation Protocol Link Aggregation Protocol

On: участвуем в группе всегдаActive: запрос другой стороны Passive: участие если есть запрос Off: не участвуем

On: участвуем в группе всегдаDesirable: запрос другой стороныAuto: участие если есть запрос Off: не участвуем

EtherChannel или эквивалентные соединения

SiSi SiSi

SiSiSiSi

Доступ


Ядро10 GE 10 GE ии

1010--GE ChannelsGE Channels

ПереПере--подпискаподписка20:120:1

ПереПере--подпискаподписка4:14:1

Как агрегировать соединения 10/100/1000?

EtherChannel или эквивалентные соединения

Больше соединений = больше соседств L3/доп.нагрузка

EtherChannel позволяет снизить кол-во соседств, используя один логический интерфейс

При выходе из строя одного соединения в группе

OSPF на коммутаторе c CiscoIOS уменьшит стоимость соединения и перемаршрутизирует трафикOSPF на гибридном коммутаторене изменит стоимость соединения, что может привести к перегрузкеEIGRP может не изменить стоимость, что может перегрузить оставшиеся соединенияData CenterWANWAN InternetInternet



SiSiSiSi


SiSiSiSi

SiSi SiSiSiSiSiSi

Снижение сложности

EtherChannel—ИТОГО Для Layer 2 EtherChannel: рекомендуется конфигурация

Desirable/Desirable, для того чтобы PAgP, работающий поверх, отслеживал состояние соединений и поломка одного соединения не приводила к проблемам с STP

Для Layer 3 EtherChannel: можно применять конфигурацию ON/ON. К недостаткам которой можно отнести большую сложность, а к достоинствам лучшую сходимость.

Режим ON/ON быстрее восстанавливается чем режим Desirable/Desirable. Но в данном режиме PAgP не контролирует состояние соединений и неправильно настроенное членство в группе обнаружить не очень просто.

Протоколы маршрутизации могут «не знать» о состоянии отдельных соединений в группе. Необходимо использовать LACP и опцию«minimum links» для контроля за состоянием/выключения группы

Один поток не может использовать полосу большую чем полоса предоставляемая одним из членов группы

Лучше использовать для защиты от выхода из строя одного из соединений/порта

Лучшие практики— защита шлюза по умолчанию Функционал необходим для

обеспечения отказоустойчивости шлюза по умолчанию для рабочих станций

Выбор из HSRP, VRRP иGLBP

VRRP, HSRP и GLBPобеспечивают миллисекундную сходимость

Используйте VRRP, если требуется поддержка оборудования других производителей

GLBP обеспечивает балансировку трафика

Требуется настройка таймеров переключения для исключения эффекта «чёрной дыры»




1st Hop Redundancy


SiSiSiSi

SiSiSiSi

SiSi SiSiSiSiSiSi

Защита шлюза по умолчанию с VRRP

Группа маршрутизаторов работает как один виртуальный с однимвиртуальным IP адресом и MAC адресом

Один (master) маршрутизаторпересылает пакеты для/из локальной сети

Остальные маршрутизаторы работают как резервные

Резервные маршрутизаторы бездействуют до выхода из строя основного

R1—Master, Forwarding Traffic; R2,—BackupVRRP ACTIVE VRRP BACKUP

IP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC: 0000.5e00.0101

IP: 10.0.0.253MAC: 0000.0C78.9abcvIP:vMAC:

IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0000.5e00.0101



SiSiSiSi

Access-a

Distribution-AVRRP Active

Distribution-BVRRP Backup

R1 R2

Стандарт IETF RFC 2338 (Апрель 1998)

Защита шлюза по умолчанию с HSRP


Один (active) маршрутизаторпересылает пакеты для/из локальной сети

Остальные маршрутизаторы работают как горячий резерв


IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0000.0c07.ac00

SiSiSiSi

Access-a

R1

HSRP ACTIVE HSRP STANDBYIP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC: 0000.0c07.ac00




R1—Active, Forwarding Traffic; R2—Hot Standby, Idle

R2

RFC 2281 (Март 1998)

Distribution-AHSRP Active

Distribution-BHSRP Backup

Защита шлюза по умолчанию с HSRP


Один (active) маршрутизаторпересылает пакеты для/из локальной сети

Остальные маршрутизаторы работают как горячий резерв



SiSiSiSi

Access-a

R1

HSRP ACTIVE HSRP STANDBYIP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC: 0000.0c07.ac00




R1—Active, Forwarding Traffic; R2—Hot Standby, Idle

R2

RFC 2281 (Март 1998)

Distribution-AHSRP Active

Distribution-BHSRP Backup

STP root и HSRP primary маршрутизатор связаны

При смене STP root’а трафик будет за двумя маршрутизаторами от активного HSRP маршрутизатора

HSRP preemption позволит перенести шлюз по умолчанию в соответствии с топологией STP

Зачем нужен переход (preemption) HSRP

SiSiSiSi

SiSiSiSi

Доступ


Ядро

SpanningTreeRoot

HSRPActive

HSRPActive

Spanning Tree Root

HSRP Preempt

Без задержки Preempt Delay HSRP может стать активным до полной готовности : L1 (Boards), L2 (STP), L3 (IGP Convergence)standby 1 preempt delay minimum 180

Защита шлюза по умолчанию с GLBP

Все преимущества HSRP плюс балансировка нагрузки между шлюзамииспользует всю доступную полосу

Группа маршрутизаторов работают как один виртуальный, разделяют один виртуальный IP адрес, но используют несколько виртуальных MAC адресов

Позволяют трафику из одной подсети использовать несколько шлюзов по умолчанию с одним виртуальным IP адресом

GLBP AVG/AVF, SVF GLBP AVF, SVFR1- AVG; R1, R2 Both Forward Traffic

IP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC: 0007.b400.0101

IP: 10.0.0.253MAC: 0000.0C78.9abcvIP: 10.0.0.10vMAC: 0007.b400.0102

IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0007.B400.0101



SiSiSiSi

Access-a

Distribution-AGLBP AVG/

AVF, SVF

Distribution-BGLPB AVF, SVF

R1

Разработан Cisco, балансирует нагрузку, запатентован

Защита шлюза по умолчанию сбалансировкой нагрузки Каждый член группы GLBP имеет уникальный виртуальный MAC адрес для

общего IP адреса/шлюза по умолчанию Ответы на ARP запросы для общего IP адреса/шлюза по умолчанию

выдаются с разными виртуальными MAC адресами Host A и host B из одной подсети с одним и тем же IP адресом шлюза

отправляют трафик на разные GLBP маршрутизаторы

10.88.1.0/24

.5.4

.1 .2

vIP10.88.1.10

GLBP 1 ip 10.88.1.10vMAC 0000.0000.0001

GLBP 1 ip 10.88.1.10vMAC 0000.0000.0002

ARPs for 10.88.1.10Gets MAC 0000.0000.0001

ARPs for 10.88.1.10Gets MAC 0000.0000.0002

A B

R1 R2ARP

Reply

Cisco Gateway Load Balancing Protocol (GLBP)

GLBP и распределённые VLAN’ы

Оба коммутатора работают как шлюз по умолчанию Заблокированное соединение влияет на оптимальность пути

VLAN 2VLAN 2

F: ForwardingB: Blocking

Access-b

SiSiSiSi

Core

Access-a

Distribution-AGLBP Virtual MAC 1

Distribution-BGLBP Virtual

MAC 2

ДоступУровень 2

ДоступУровень 2


Уровень 2/3

ЯдроУровень 3

По-умолчанию, половина трафика будет отправляться по сложному пути

SiSiSiSi

Оптимизация сходимости: VRRP, HSRP, GLBP

VRRP не тестировался с суб-секундными таймерами, потоки проходят через один узел поэтому значения min/max/среднее одинаковые

HSRP имеет суб-секундные таймеры; потоки проходят через один узел, поэтому нет разницы в значениях min/max/среднее

GLBP имеет суб-секундные таймеры и распределяет нагрузку между узлами, поэтому только на 50% клиентов влияет отказ соединения

Время восстановления доступа к серверам после возникновения неисправности на соединении от уровня доступа к распределению

50% of Flows Have ZERO

Loss W/ GLBP

GLBP Is 50% Better

Среднее, Max и Min—Есть ли разница?

Во второй части:- Рекомендации по проектированию- Альтернативный дизайн с использованием технологии VSS- Технологии виртуализации в кампусной сети- Поддержка инфраструктурных сервисов для IP телефонии- Функции безопасности- Собираем всё вместе

Продолжение

Вопросы и Ответы

Спасибо!

Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!

Technology

Архитектура и принципы проектирования многоуровневых корпоративных ЛВС. Часть 1