Использование технологии виртуализации в локальных вычислительных сетях

Использование технологии виртуализации в локальных вычислительных сетях

Денисов Павел, Системный инженер

Использование технологии виртуализации ЛВС

Использование технологии виртуализации в ЛВС 2

Подсистема видеонаблюдения

Подсистема контроля доступа

Подсистема электронного документооборота

Современная сетевая инфраструктура Типовой пример

Подсистема управления технологическим процессом

Подсистема сторонних организаций

Возможные пути развития Выделенная сетевая инфраструктура Достоинства решения

Для каждой подсистемы строится выделенная сеть Абсолютное разделение подсистем различного назначения

Недостатки решения Увеличение расходов за счет необходимости создания нескольких подсистем

Трудности с масштабированием и управлением подсистемами

Возможные пути развития Разделяемая сетевая инфраструктура Достоинства решения

Единая физическая инфраструктура для всех подсистем Эффективное разделение разнородных сервисов Готовность к внедрению новых сервисов Снижение затрат на администрирование

Недостатки решения Требуются аккуратные настройки политик ИБ

Постановка задачи

Что такое виртуализация? Логическое разделение сетевой инфраструктуры между несколькими подсистемами Одна физическая инфраструктура обеспечивает работу нескольких логических подсистем Консолидация всех типов данных (голос, данные, видео) внутри одной сетевой инфраструктуры

Основные преимущества виртуализации: Гибкость управления Сокращение затрат на создание и сопровождение

Основные компоненты решения


Компоненты решения


Контроль доступа Виртуализация каналов Сервисная граница

Назначение

VRFs

GRE MPLS

Сервис

GRE MPLS

802.1q

Internet

Data Center

•  Разделение потоков данных на сетевом уровне

•  Доставка потоков данных внутри виртуальных контекстов

•  Организация связи между контекстами на уровне доступа и контекстами на сервисной границе

•  Авторизация устройств при подключении

•  Назначение виртуального контекста

•  Блокирование неавторизованного подключения

•  Изолированные и разделяемые сервисы

•  Обмен данными между виртуальными контекстами

•  Уникальный набор правил для каждого контекста

Определение прав доступа

Аутентификация пользователя При помощи встроенного клиента

Использование 802.1X клиента Cisco NAC

Без использования клиента Web аутентификация Аутентификация на основе MAC адреса

Статический контроль Статические настройки порта (VLAN, ACL, MAC)

Авторизация пользователя

Назначен номер VLAN

Применена политика (ACLs, QoS, и др.)

Виртуализация устройств

Одно физическое устройство Коммутатор Маршрутизатор Межсетевой экран

Несколько виртуальных устройств Создание нескольких виртуальных устройств Распределение интерфейсов между виртуальными устройствами

VRF

VRF

VRF

Виртуализация каналов

Виртуализация каналов между смежными устройствами VRF-Lite на каждом устройстве

Для виртуализации используются 802.1q тэги Использование технологии EVN

Для виртуализации используются 802.1q тэги

802.1q

Использование технологии MPLS L3VPN Для виртуализации используются MPLS метки

Виртуализация каналов

Виртуализация каналов между удаленными устройствами Использование VRF-‐Lite и GRE туннелей

Для виртуализации используются GRE туннели

Сервисная граница

ЛВС

Интернет

ЦОД

Разделяемый ресурс

Выделенный ресурс



Виртуальный контекст



Выделенный ресурс Только один контекст имеет доступ к ресурсу

Разделяемый ресурс Несколько контекстов имеют доступ к ресурсу

Повышение экономической эффективности Централизованная политика информационной безопасности

Сравнение различных технологий виртуализации


Использование VRF-‐Lite и GRE-‐туннелей


Технология VRF-lite и GRE-туннели На коммутаторах распределения создаются VRF Для виртуализации каналов используются GRE туннели Ядро сети не участвует в виртуализации

IP заголовок 20 байт

GRE заголовок Исходный пакет

DATA

GRE

Технология VRF-lite и GRE-туннели

IP заголовок 20 байт

GRE заголовок Исходный пакет

На коммутаторах распределения создаются VRF Для виртуализации каналов используются GRE туннели Ядро сети не участвует в виртуализации


Пример настройки

!!!ip vrf RED! rd 1:1!! !interface Loopback101! ip address 192.168.101.8 255.255.255.255!!!interface Tunnel1! vrf forwarding RED! ip address 172.16.87.8 255.255.255.0!tunnel source Loopback101! tunnel destination 192.168.101.7!!!interface Ethernet0/3! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!router eigrp LAB!!! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0!!! !

Создание виртуальных контекстов VRF

Создание Loopback интерфейсов

Создание туннельных интерфейсов

Настройка пользовательских интерфейсов

Настройка протоколов маршрутизации


Особенности использования: Идеален для использования в топологиях типа «звезда» Ограниченные возможности по масштабированию Аппаратная поддержка GRE только на Catalyst6500 и N7K Все компоненты хорошо знакомы и давно используются

Основные компоненты решения:

Протоколы маршрутизации -‐ OSPF/EIGRP Виртуализация каналов – GRE

Data Center

Internet

Internet WAN

Использование VRF-‐lite на всех устройствах


VRF-Lite на всех устройствах VRF контексты создаются на всех устройствах в сети Для виртуализации каналов используется dot1Q Используется уникальная нумерация VLAN в магистрали Все настройки производятся в ручную

802.1q

!!ip vrf RED! rd 1:1!!!interface Vlan16! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!interface Ethernet0/0.16! vrf forwarding RED! encapsulation dot1Q 16! ip address 172.16.85.8 255.255.255.0!!!interface Ethernet0/1.116! vrf forwarding RED! encapsulation dot1Q 116! ip address 172.16.86.8 255.255.255.0!!!router eigrp LAB! !! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0!!

VRF-Lite на всех устройствах Пример настройки

Создание виртуальных контекстов VRF Настройка пользовательских интерфейсов


Настройка магистральных интерфейсов

VRF-Lite на всех устройствах

Особенности использования: Идеален для небольшого количества VRF (менее 8) Ограниченные возможности по масштабированию Поддерживается на всех моделях коммутаторах Все технологии хорошо знакомы и давно используются Возможна легкая миграция


Протоколы маршрутизации -‐ OSPF/EIGRP Виртуализация каналов – dot1Q

WAN Data

Center

Internet

Internet

Технология EVN Easy Virtual Network


Технология EVN

802.1q

VRF контексты создаются на всех устройствах в сети Для виртуализации каналов используется dot1Q За каждым VRF закреплен уникальный номер VLAN Автоматическая нумерация VLAN в магистрали

Использование технологии EVN

!!vrf definition RED! vnet tag 101! !! address-family ipv4!!!interface Ethernet0/0! vnet trunk! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/1! vnet trunk! ip address 192.168.73.7 255.255.255.0!!!interface Vlan16! vrf forwarding RED! ip address 172.16.7.7 255.255.255.0!! !router eigrp LAB!!! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0! network 192.168.0.0 0.0.255.255!!!!!






Использование технологии EVN

#show derived-config !!interface Ethernet0/0! vnet trunk! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/0.101! description Subinterface for VNET RED! vrf forwarding RED! encapsulation dot1Q 101! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/0.102! description Subinterface for VNET GRN! vrf forwarding GRN! encapsulation dot1Q 102! ip address 192.168.74.7 255.255.255.0!!!

Результат работы макроса

Автоматически созданные логические интерфейсы Все логические интерфейсы используют одинаковый IP адрес

Магистральный интерфейс

Технология EVN

Особенности использования: Полностью совместима с технологией VRF-‐lite Ограниченная поддержка на существующих коммутаторах Встроенные средства по обмену маршрутами между контекстами Возможна легкая миграция

Основные компоненты решения: Протоколы маршрутизации -‐ OSPF/EIGRP Виртуализация каналов – dot1Q

WAN Data

Center

Internet

Internet

Технология MPLS L3VPN


4 байта IGP метка Исходный пакет 4 байта

VPN метка


На коммутаторах распределения создаются VRF Для виртуализации каналов используются MPLS метки Требуется поддержка технологии MPLS в ядре сети и на коммутаторах уровня распределения


На коммутаторах распределения создаются VRF Для виртуализации каналов используются MPLS метки Требуется поддержка технологии MPLS в ядре сети и на коммутаторах уровня распределения

4 байта IGP метка Исходный пакет 4 байта

VPN метка



!!vrf definition RED! rd 1:1! route-target export 1:1! route-target import 1:1!!!vrf definition GRN! rd 1:2! route-target export 1:2! route-target import 1:2!!!interface Ethernet0/1! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!interface Ethernet0/2! vrf forwarding GRN! ip address 172.17.8.8 255.255.255.0!!!router bgp 65000!!! address-family ipv4 vrf GRN! redistribute connected!! ! address-family ipv4 vrf RED! redistribute connected!!




Технология MPLS L3VPN Пример настройки

!!interface Loopback0! ip address 192.168.0.8 255.255.255.255!!!interface Ethernet0/0! ip address 192.168.85.8 255.255.255.0! mpls ip!!!interface Ethernet0/1! ip address 192.168.86.8 255.255.255.0! mpls ip!!!router eigrp 1! network 192.168.0.0 0.0.255.255!!!router bgp 65000!neighbor 192.168.0.13 remote-as 65000! neighbor 192.168.0.13 update-source Loopback0!!! address-family vpnv4! neighbor 192.168.0.13 activate! neighbor 192.168.0.13 send-community extended! !


Настройка MPBGP

Настройка протокола маршрутизации в ядре

MPLS-VPN

Route-Reflector Route-Reflector

Data Center

Internet Internet WAN

Особенности использования: Хороший запас по масштабированию Рекомендуется использовать BGP Route-‐Reflector Требуется использование дополнительных протоколов Поддерживается только на коммутаторах Catalyst6500 и N7K


Протоколы маршрутизации -‐ MPBGP Виртуализация каналов – MPLS

Построение сервисной границы


Доступ к разделяемому ресурсу Основные характеристики решения:

Свободный доступ к ресурсам Нет межсетевого экранирования Используется для общих сервисов (DNS, DHCP) Используется BGP route-‐target Требуется уникальный план IP-‐адресации

Обмен маршрутами

Доступ к разделяемому ресурсу


SVCS VRF

10.0.0.0/24

172.17.8.0/24 172.16.8.0/24

!vrf definition SVCS! rd 1:100! !! address-family ipv4! route-target export 1:100! route-target export 1:1! route-target export 1:2! route-target import 1:100! route-target import 1:1! route-target import 1:2!!!router bgp 65000! bgp log-neighbor-changes! neighbor 192.168.0.13 remote-as 65000! neighbor 192.168.0.13 update-source Loopback0! neighbor 192.168.0.14 remote-as 65000! neighbor 192.168.0.14 update-source Loopback0! !! address-family vpnv4! neighbor 192.168.0.13 activate! neighbor 192.168.0.13 send-community extended! neighbor 192.168.0.14 activate! neighbor 192.168.0.14 send-community extended!!!address-family ipv4 vrf SVCS! redistribute connected!!

Доступ к разделяемому ресурсу Пример настройки


Настройка политики по импорту и экспорту маршрутов

Настройка протокола MPBGP

vrf definition GRN! vnet tag 102! !! address-family ipv4! route-replicate from vrf SVCS unicast all!!!vrf definition SVCS! vnet tag 100! !! address-family ipv4! route-replicate from vrf RED unicast all route-map RED-IMPORT! route-replicate from vrf GRN unicast all route-map GRN-IMPORT!!!route-map GRN-IMPORT permit 10! match ip address GRN-ACL!!ip access-list standard GRN-ACL! permit 172.17.0.0 0.0.255.255!


Пример настройки Использование технологии EVN

Настройка правил фильтрации маршрутов

Создание виртуальных контекстов VRF и настройка репликации маршрутов

router eigrp LAB!!! address-family ipv4 unicast vrf GRN autonomous-system 17! !! topology base! redistribute vrf SVCS eigrp 100! exit-af-topology! network 172.17.0.0! network 192.168.0.0 0.0.255.255!!!address-family ipv4 unicast vrf SVCS autonomous-system 100! !! topology base! redistribute vrf GRN eigrp 16! exit-af-topology! network 10.0.0.0!

Редистрибуция маршрутной информации


Пример настройки Использование технологии EVN

S7#routing-context vrf SVCS!S7%SVCS#sh ip route!!Routing Table: SVCS!Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP! D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ! N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2! E1 - OSPF external type 1, E2 - OSPF external type 2! i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2! ia - IS-IS inter area, * - candidate default, U - per-user static route! o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP! + - replicated route, % - next hop override!!Gateway of last resort is not set!! 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks!C 10.0.0.0/24 is directly connected, Ethernet1/0!L 10.0.0.7/32 is directly connected, Ethernet1/0!D 10.15.15.0/24 [90/409600] via 10.0.0.15, 01:19:53, Ethernet1/0! 172.17.0.0/16 is variably subnetted, 3 subnets, 2 masks!C + 172.17.7.0/24 is directly connected (GRN), Ethernet0/2!L + 172.17.7.7/32 is directly connected (GRN), Ethernet0/2!D + 172.17.8.0/24 ! [90/384000] via 192.168.74.4 (GRN), 02:00:55, Ethernet0/0.102! [90/384000] via 192.168.73.3 (GRN), 02:00:55, Ethernet0/1.102!



Fusion-‐router используется для: Обмена данными между VRF Защищенного доступа к разделяемому ресурсу

Межсетевой экран используется для:

Изоляции виртуальных контекстов Контроля над потоками данных

Режим работы МЭ определяет схему маршрутизации :

Transparent -‐> EIGRP/OSPF/eBGP Routed -‐> Stazc/eBGP

Все компоненты на схеме могут быть построены на основе:

Отдельного физического устройства Выделенного виртуального контекста

Контролируемый доступ к ресурсу

Разделяемый ресурс

Контролируемый доступ к ресурсу Использование межсетевого экрана в L3 режиме

Разделяемый сервис

L3 L3

Межсетевой экран работает в мультиконтекстном режиме Динамическая маршрутизация не поддерживаются на МЭ На МЭ используются статические маршруты Рекомендованное решение – eBGP между контекстами маршрутизаторов FR может анонсировать маршрут по умолчанию

Разделяемый сервис

L2 L2

Контролируемый доступ к ресурсу Использование межсетевого экрана в L2 режиме

FR имеет информацию о префиксах во всех виртуальных контекстах Возможно использование различных протоколов маршрутизации: Для VRF-‐lite решений рекомендуется использование EIGRP или OSPF Для решений на основе MPLS L3VPN рекомендуется eBGP FR может анонсировать только маршрут по умолчанию

Fusion Router может быть построен на основе виртуального контекста или физического устройства

Контролируемый доступ к ресурсу

vrf definition GRN! rd 1:2!!!vrf definition RED! rd 1:1!!!vrf definition SVCS! rd 1:100!!!interface Ethernet1/0! vrf forwarding SVCS! ip address 10.0.0.3 255.255.255.0!!!interface Ethernet1/1! vrf forwarding GRN! ip address 172.17.2.2 255.255.255.0!!!interface Ethernet1/2! vrf forwarding RED! ip address 172.16.2.2 255.255.255.0!


Создание виртуальных контекстов


interface Ethernet0/0! vrf forwarding SVCS! ip address 172.17.0.1 255.255.255.0!!!interface Ethernet0/1! vrf forwarding GRN! ip address 172.17.0.2 255.255.255.0!!!interface Ethernet0/2! vrf forwarding RED! ip address 172.16.0.2 255.255.255.0!!!interface Ethernet0/3! vrf forwarding SVCS! ip address 172.16.0.1 255.255.255.0!!!

Контролируемый доступ к ресурсу Пример настройки

Настройка интерфейсов для протокола eBGP

router bgp 65000! bgp router-id vrf auto-assign!!! address-family ipv4 vrf GRN! redistribute connected! neighbor 172.17.0.1 remote-as 65100! neighbor 172.17.0.1 local-as 65002 no-prepend replace-as! neighbor 172.17.0.1 activate!!! address-family ipv4 vrf RED! redistribute connected! neighbor 172.16.0.1 remote-as 65100! neighbor 172.16.0.1 local-as 65001 no-prepend replace-as! neighbor 172.16.0.1 activate!!! address-family ipv4 vrf SVCS! redistribute connected! neighbor 172.16.0.2 remote-as 65001! neighbor 172.16.0.2 local-as 65100 no-prepend replace-as! neighbor 172.16.0.2 activate! neighbor 172.17.0.2 remote-as 65002! neighbor 172.17.0.2 local-as 65100 no-prepend replace-as! neighbor 172.17.0.2 activate!

Контролируемый доступ к ресурсу Пример настройки

Настройка протокола eBGP

Настройка качества обслуживания

Data Center


Трафик классифицируется и маркируется на границе сети

Потоки данных обрабатываются на основе DSCP/MPLS EXP маркировки

Каждый тип трафика получает свой класс обслуживания:

•  Доступ к интернету – Best effort

•  Голос – Priority

•  Бизнес приложения – по выбору

Приоритет/качество обслуживания не зависят от принадлежности к VRF

Агрегатная модель

Data Center


Настройка качества обслуживания Система приоритезации VRF

Трафик классифицируется и маркируется на границе сети

Потоки данных обрабатываются на основе DSCP/MPLS EXP маркировки

Класс обслуживания определяется принадлежностью к VRF:

•  Гостевой доступ – Best effort

•  Голос – Priority

•  Бизнес приложения – по выбору

Приоритет/качество обслуживания не зависят от принадлежности к VRF

Заключение


Заключение


VRF-Lite + GRE VRF-Lite End-to-End EVN MPLS VPN

L3 граница на уровне распределения

Принадлежность к VRF может быть сохранена в WAN

Некоторые сервисы поддерживают виртуализацию

Авторизация пользователей и назначение VRF

ЦОД Internet Интернет Корпоративная

сеть

Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.


Technology

Использование технологии виртуализации в локальных вычислительных сетях