Upload
cisco-russia
View
1.129
Download
5
Embed Size (px)
Citation preview
Использование технологии виртуализации в локальных вычислительных сетях
Денисов Павел, Системный инженер
Использование технологии виртуализации ЛВС
Использование технологии виртуализации в ЛВС 2
Подсистема видеонаблюдения
Подсистема контроля доступа
Подсистема электронного документооборота
Современная сетевая инфраструктура Типовой пример
Подсистема управления технологическим процессом
Подсистема сторонних организаций
Возможные пути развития Выделенная сетевая инфраструктура Достоинства решения
Для каждой подсистемы строится выделенная сеть Абсолютное разделение подсистем различного назначения
Недостатки решения Увеличение расходов за счет необходимости создания нескольких подсистем
Трудности с масштабированием и управлением подсистемами
Возможные пути развития Разделяемая сетевая инфраструктура Достоинства решения
Единая физическая инфраструктура для всех подсистем Эффективное разделение разнородных сервисов Готовность к внедрению новых сервисов Снижение затрат на администрирование
Недостатки решения Требуются аккуратные настройки политик ИБ
Постановка задачи
Что такое виртуализация? Логическое разделение сетевой инфраструктуры между несколькими подсистемами Одна физическая инфраструктура обеспечивает работу нескольких логических подсистем Консолидация всех типов данных (голос, данные, видео) внутри одной сетевой инфраструктуры
Основные преимущества виртуализации: Гибкость управления Сокращение затрат на создание и сопровождение
Основные компоненты решения
Использование технологии виртуализации в ЛВС 7
Компоненты решения
Использование технологии виртуализации в ЛВС 8
Контроль доступа Виртуализация каналов Сервисная граница
Назначение
VRFs
GRE MPLS
Сервис
GRE MPLS
802.1q
Internet
Data Center
• Разделение потоков данных на сетевом уровне
• Доставка потоков данных внутри виртуальных контекстов
• Организация связи между контекстами на уровне доступа и контекстами на сервисной границе
• Авторизация устройств при подключении
• Назначение виртуального контекста
• Блокирование неавторизованного подключения
• Изолированные и разделяемые сервисы
• Обмен данными между виртуальными контекстами
• Уникальный набор правил для каждого контекста
Определение прав доступа
Аутентификация пользователя При помощи встроенного клиента
Использование 802.1X клиента Cisco NAC
Без использования клиента Web аутентификация Аутентификация на основе MAC адреса
Статический контроль Статические настройки порта (VLAN, ACL, MAC)
Авторизация пользователя
Назначен номер VLAN
Применена политика (ACLs, QoS, и др.)
Виртуализация устройств
Одно физическое устройство Коммутатор Маршрутизатор Межсетевой экран
Несколько виртуальных устройств Создание нескольких виртуальных устройств Распределение интерфейсов между виртуальными устройствами
VRF
VRF
VRF
Виртуализация каналов
Виртуализация каналов между смежными устройствами VRF-Lite на каждом устройстве
Для виртуализации используются 802.1q тэги Использование технологии EVN
Для виртуализации используются 802.1q тэги
802.1q
Использование технологии MPLS L3VPN Для виртуализации используются MPLS метки
Виртуализация каналов
Виртуализация каналов между удаленными устройствами Использование VRF-‐Lite и GRE туннелей
Для виртуализации используются GRE туннели
Сервисная граница
ЛВС
Интернет
ЦОД
Разделяемый ресурс
Выделенный ресурс
Выделенный ресурс
Выделенный ресурс
Виртуальный контекст
Виртуальный контекст
Виртуальный контекст
Выделенный ресурс Только один контекст имеет доступ к ресурсу
Разделяемый ресурс Несколько контекстов имеют доступ к ресурсу
Повышение экономической эффективности Централизованная политика информационной безопасности
Сравнение различных технологий виртуализации
Использование технологии виртуализации в ЛВС 14
Использование VRF-‐Lite и GRE-‐туннелей
Использование технологии виртуализации в ЛВС 15
Технология VRF-lite и GRE-туннели На коммутаторах распределения создаются VRF Для виртуализации каналов используются GRE туннели Ядро сети не участвует в виртуализации
IP заголовок 20 байт
GRE заголовок Исходный пакет
DATA
GRE
Технология VRF-lite и GRE-туннели
IP заголовок 20 байт
GRE заголовок Исходный пакет
На коммутаторах распределения создаются VRF Для виртуализации каналов используются GRE туннели Ядро сети не участвует в виртуализации
Технология VRF-lite и GRE-туннели
Пример настройки
!!!ip vrf RED! rd 1:1!! !interface Loopback101! ip address 192.168.101.8 255.255.255.255!!!interface Tunnel1! vrf forwarding RED! ip address 172.16.87.8 255.255.255.0!tunnel source Loopback101! tunnel destination 192.168.101.7!!!interface Ethernet0/3! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!router eigrp LAB!!! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0!!! !
Создание виртуальных контекстов VRF
Создание Loopback интерфейсов
Создание туннельных интерфейсов
Настройка пользовательских интерфейсов
Настройка протоколов маршрутизации
Технология VRF-lite и GRE-туннели
Особенности использования: Идеален для использования в топологиях типа «звезда» Ограниченные возможности по масштабированию Аппаратная поддержка GRE только на Catalyst6500 и N7K Все компоненты хорошо знакомы и давно используются
Основные компоненты решения:
Протоколы маршрутизации -‐ OSPF/EIGRP Виртуализация каналов – GRE
Data Center
Internet
Internet WAN
Использование VRF-‐lite на всех устройствах
Использование технологии виртуализации в ЛВС 20
VRF-Lite на всех устройствах VRF контексты создаются на всех устройствах в сети Для виртуализации каналов используется dot1Q Используется уникальная нумерация VLAN в магистрали Все настройки производятся в ручную
802.1q
!!ip vrf RED! rd 1:1!!!interface Vlan16! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!interface Ethernet0/0.16! vrf forwarding RED! encapsulation dot1Q 16! ip address 172.16.85.8 255.255.255.0!!!interface Ethernet0/1.116! vrf forwarding RED! encapsulation dot1Q 116! ip address 172.16.86.8 255.255.255.0!!!router eigrp LAB! !! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0!!
VRF-Lite на всех устройствах Пример настройки
Создание виртуальных контекстов VRF Настройка пользовательских интерфейсов
Настройка протоколов маршрутизации
Настройка магистральных интерфейсов
VRF-Lite на всех устройствах
Особенности использования: Идеален для небольшого количества VRF (менее 8) Ограниченные возможности по масштабированию Поддерживается на всех моделях коммутаторах Все технологии хорошо знакомы и давно используются Возможна легкая миграция
Основные компоненты решения:
Протоколы маршрутизации -‐ OSPF/EIGRP Виртуализация каналов – dot1Q
WAN Data
Center
Internet
Internet
Технология EVN Easy Virtual Network
Использование технологии виртуализации в ЛВС 24
Технология EVN
802.1q
VRF контексты создаются на всех устройствах в сети Для виртуализации каналов используется dot1Q За каждым VRF закреплен уникальный номер VLAN Автоматическая нумерация VLAN в магистрали
Использование технологии EVN
!!vrf definition RED! vnet tag 101! !! address-family ipv4!!!interface Ethernet0/0! vnet trunk! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/1! vnet trunk! ip address 192.168.73.7 255.255.255.0!!!interface Vlan16! vrf forwarding RED! ip address 172.16.7.7 255.255.255.0!! !router eigrp LAB!!! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0! network 192.168.0.0 0.0.255.255!!!!!
Пример настройки
Создание виртуальных контекстов VRF
Настройка пользовательских интерфейсов
Настройка протоколов маршрутизации
Настройка магистральных интерфейсов
Использование технологии EVN
#show derived-config !!interface Ethernet0/0! vnet trunk! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/0.101! description Subinterface for VNET RED! vrf forwarding RED! encapsulation dot1Q 101! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/0.102! description Subinterface for VNET GRN! vrf forwarding GRN! encapsulation dot1Q 102! ip address 192.168.74.7 255.255.255.0!!!
Результат работы макроса
Автоматически созданные логические интерфейсы Все логические интерфейсы используют одинаковый IP адрес
Магистральный интерфейс
Технология EVN
Особенности использования: Полностью совместима с технологией VRF-‐lite Ограниченная поддержка на существующих коммутаторах Встроенные средства по обмену маршрутами между контекстами Возможна легкая миграция
Основные компоненты решения: Протоколы маршрутизации -‐ OSPF/EIGRP Виртуализация каналов – dot1Q
WAN Data
Center
Internet
Internet
Технология MPLS L3VPN
Использование технологии виртуализации в ЛВС 29
4 байта IGP метка Исходный пакет 4 байта
VPN метка
Технология MPLS L3VPN
На коммутаторах распределения создаются VRF Для виртуализации каналов используются MPLS метки Требуется поддержка технологии MPLS в ядре сети и на коммутаторах уровня распределения
Технология MPLS L3VPN
На коммутаторах распределения создаются VRF Для виртуализации каналов используются MPLS метки Требуется поддержка технологии MPLS в ядре сети и на коммутаторах уровня распределения
4 байта IGP метка Исходный пакет 4 байта
VPN метка
Пример настройки
Технология MPLS L3VPN
!!vrf definition RED! rd 1:1! route-target export 1:1! route-target import 1:1!!!vrf definition GRN! rd 1:2! route-target export 1:2! route-target import 1:2!!!interface Ethernet0/1! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!interface Ethernet0/2! vrf forwarding GRN! ip address 172.17.8.8 255.255.255.0!!!router bgp 65000!!! address-family ipv4 vrf GRN! redistribute connected!! ! address-family ipv4 vrf RED! redistribute connected!!
Создание виртуальных контекстов VRF
Настройка пользовательских интерфейсов
Настройка протоколов маршрутизации
Технология MPLS L3VPN Пример настройки
!!interface Loopback0! ip address 192.168.0.8 255.255.255.255!!!interface Ethernet0/0! ip address 192.168.85.8 255.255.255.0! mpls ip!!!interface Ethernet0/1! ip address 192.168.86.8 255.255.255.0! mpls ip!!!router eigrp 1! network 192.168.0.0 0.0.255.255!!!router bgp 65000!neighbor 192.168.0.13 remote-as 65000! neighbor 192.168.0.13 update-source Loopback0!!! address-family vpnv4! neighbor 192.168.0.13 activate! neighbor 192.168.0.13 send-community extended! !
Настройка магистральных интерфейсов
Настройка MPBGP
Настройка протокола маршрутизации в ядре
MPLS-VPN
Route-Reflector Route-Reflector
Data Center
Internet Internet WAN
Особенности использования: Хороший запас по масштабированию Рекомендуется использовать BGP Route-‐Reflector Требуется использование дополнительных протоколов Поддерживается только на коммутаторах Catalyst6500 и N7K
Основные компоненты решения:
Протоколы маршрутизации -‐ MPBGP Виртуализация каналов – MPLS
Построение сервисной границы
Использование технологии виртуализации в ЛВС 35
Доступ к разделяемому ресурсу Основные характеристики решения:
Свободный доступ к ресурсам Нет межсетевого экранирования Используется для общих сервисов (DNS, DHCP) Используется BGP route-‐target Требуется уникальный план IP-‐адресации
Обмен маршрутами
Доступ к разделяемому ресурсу
Пример настройки
SVCS VRF
10.0.0.0/24
172.17.8.0/24 172.16.8.0/24
!vrf definition SVCS! rd 1:100! !! address-family ipv4! route-target export 1:100! route-target export 1:1! route-target export 1:2! route-target import 1:100! route-target import 1:1! route-target import 1:2!!!router bgp 65000! bgp log-neighbor-changes! neighbor 192.168.0.13 remote-as 65000! neighbor 192.168.0.13 update-source Loopback0! neighbor 192.168.0.14 remote-as 65000! neighbor 192.168.0.14 update-source Loopback0! !! address-family vpnv4! neighbor 192.168.0.13 activate! neighbor 192.168.0.13 send-community extended! neighbor 192.168.0.14 activate! neighbor 192.168.0.14 send-community extended!!!address-family ipv4 vrf SVCS! redistribute connected!!
Доступ к разделяемому ресурсу Пример настройки
Создание виртуальных контекстов VRF
Настройка политики по импорту и экспорту маршрутов
Настройка протокола MPBGP
vrf definition GRN! vnet tag 102! !! address-family ipv4! route-replicate from vrf SVCS unicast all!!!vrf definition SVCS! vnet tag 100! !! address-family ipv4! route-replicate from vrf RED unicast all route-map RED-IMPORT! route-replicate from vrf GRN unicast all route-map GRN-IMPORT!!!route-map GRN-IMPORT permit 10! match ip address GRN-ACL!!ip access-list standard GRN-ACL! permit 172.17.0.0 0.0.255.255!
Доступ к разделяемому ресурсу
Пример настройки Использование технологии EVN
Настройка правил фильтрации маршрутов
Создание виртуальных контекстов VRF и настройка репликации маршрутов
router eigrp LAB!!! address-family ipv4 unicast vrf GRN autonomous-system 17! !! topology base! redistribute vrf SVCS eigrp 100! exit-af-topology! network 172.17.0.0! network 192.168.0.0 0.0.255.255!!!address-family ipv4 unicast vrf SVCS autonomous-system 100! !! topology base! redistribute vrf GRN eigrp 16! exit-af-topology! network 10.0.0.0!
Редистрибуция маршрутной информации
Доступ к разделяемому ресурсу
Пример настройки Использование технологии EVN
S7#routing-context vrf SVCS!S7%SVCS#sh ip route!!Routing Table: SVCS!Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP! D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ! N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2! E1 - OSPF external type 1, E2 - OSPF external type 2! i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2! ia - IS-IS inter area, * - candidate default, U - per-user static route! o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP! + - replicated route, % - next hop override!!Gateway of last resort is not set!! 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks!C 10.0.0.0/24 is directly connected, Ethernet1/0!L 10.0.0.7/32 is directly connected, Ethernet1/0!D 10.15.15.0/24 [90/409600] via 10.0.0.15, 01:19:53, Ethernet1/0! 172.17.0.0/16 is variably subnetted, 3 subnets, 2 masks!C + 172.17.7.0/24 is directly connected (GRN), Ethernet0/2!L + 172.17.7.7/32 is directly connected (GRN), Ethernet0/2!D + 172.17.8.0/24 ! [90/384000] via 192.168.74.4 (GRN), 02:00:55, Ethernet0/0.102! [90/384000] via 192.168.73.3 (GRN), 02:00:55, Ethernet0/1.102!
Доступ к разделяемому ресурсу
Пример настройки
Fusion-‐router используется для: Обмена данными между VRF Защищенного доступа к разделяемому ресурсу
Межсетевой экран используется для:
Изоляции виртуальных контекстов Контроля над потоками данных
Режим работы МЭ определяет схему маршрутизации :
Transparent -‐> EIGRP/OSPF/eBGP Routed -‐> Stazc/eBGP
Все компоненты на схеме могут быть построены на основе:
Отдельного физического устройства Выделенного виртуального контекста
Контролируемый доступ к ресурсу
Разделяемый ресурс
Контролируемый доступ к ресурсу Использование межсетевого экрана в L3 режиме
Разделяемый сервис
L3 L3
Межсетевой экран работает в мультиконтекстном режиме Динамическая маршрутизация не поддерживаются на МЭ На МЭ используются статические маршруты Рекомендованное решение – eBGP между контекстами маршрутизаторов FR может анонсировать маршрут по умолчанию
Разделяемый сервис
L2 L2
Контролируемый доступ к ресурсу Использование межсетевого экрана в L2 режиме
FR имеет информацию о префиксах во всех виртуальных контекстах Возможно использование различных протоколов маршрутизации: Для VRF-‐lite решений рекомендуется использование EIGRP или OSPF Для решений на основе MPLS L3VPN рекомендуется eBGP FR может анонсировать только маршрут по умолчанию
Fusion Router может быть построен на основе виртуального контекста или физического устройства
Контролируемый доступ к ресурсу
vrf definition GRN! rd 1:2!!!vrf definition RED! rd 1:1!!!vrf definition SVCS! rd 1:100!!!interface Ethernet1/0! vrf forwarding SVCS! ip address 10.0.0.3 255.255.255.0!!!interface Ethernet1/1! vrf forwarding GRN! ip address 172.17.2.2 255.255.255.0!!!interface Ethernet1/2! vrf forwarding RED! ip address 172.16.2.2 255.255.255.0!
Пример настройки
Создание виртуальных контекстов
Настройка пользовательских интерфейсов
interface Ethernet0/0! vrf forwarding SVCS! ip address 172.17.0.1 255.255.255.0!!!interface Ethernet0/1! vrf forwarding GRN! ip address 172.17.0.2 255.255.255.0!!!interface Ethernet0/2! vrf forwarding RED! ip address 172.16.0.2 255.255.255.0!!!interface Ethernet0/3! vrf forwarding SVCS! ip address 172.16.0.1 255.255.255.0!!!
Контролируемый доступ к ресурсу Пример настройки
Настройка интерфейсов для протокола eBGP
router bgp 65000! bgp router-id vrf auto-assign!!! address-family ipv4 vrf GRN! redistribute connected! neighbor 172.17.0.1 remote-as 65100! neighbor 172.17.0.1 local-as 65002 no-prepend replace-as! neighbor 172.17.0.1 activate!!! address-family ipv4 vrf RED! redistribute connected! neighbor 172.16.0.1 remote-as 65100! neighbor 172.16.0.1 local-as 65001 no-prepend replace-as! neighbor 172.16.0.1 activate!!! address-family ipv4 vrf SVCS! redistribute connected! neighbor 172.16.0.2 remote-as 65001! neighbor 172.16.0.2 local-as 65100 no-prepend replace-as! neighbor 172.16.0.2 activate! neighbor 172.17.0.2 remote-as 65002! neighbor 172.17.0.2 local-as 65100 no-prepend replace-as! neighbor 172.17.0.2 activate!
Контролируемый доступ к ресурсу Пример настройки
Настройка протокола eBGP
Настройка качества обслуживания
Data Center
Internet Internet WAN
Трафик классифицируется и маркируется на границе сети
Потоки данных обрабатываются на основе DSCP/MPLS EXP маркировки
Каждый тип трафика получает свой класс обслуживания:
• Доступ к интернету – Best effort
• Голос – Priority
• Бизнес приложения – по выбору
Приоритет/качество обслуживания не зависят от принадлежности к VRF
Агрегатная модель
Data Center
Internet Internet WAN
Настройка качества обслуживания Система приоритезации VRF
Трафик классифицируется и маркируется на границе сети
Потоки данных обрабатываются на основе DSCP/MPLS EXP маркировки
Класс обслуживания определяется принадлежностью к VRF:
• Гостевой доступ – Best effort
• Голос – Priority
• Бизнес приложения – по выбору
Приоритет/качество обслуживания не зависят от принадлежности к VRF
Заключение
Использование технологии виртуализации в ЛВС 50
Заключение
Использование технологии виртуализации в ЛВС 51
VRF-Lite + GRE VRF-Lite End-to-End EVN MPLS VPN
L3 граница на уровне распределения
Принадлежность к VRF может быть сохранена в WAN
Некоторые сервисы поддерживают виртуализацию
Авторизация пользователей и назначение VRF
ЦОД Internet Интернет Корпоративная
сеть
Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.
Использование технологии виртуализации в ЛВС 52