Учет и управление IP-ресурсами сети

Учет и управление IP-ресурсами сети

Андрей Манаков

системный инженер

04.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved.

Управление IP-адресацией. Почему?


3

Число устройств, подключаемых по IP, и использование IP-адресов неуклонно растет, а с ними – размеры и сложность сетей

Новые сервисы:

голосовые (VoIP), видео,

облачные вычисления,

виртуализация и т.д.

Необходимость снижать

операционные расходы

(OpEx)

«Ручные» методы

управления IP- адресацией

не соответствуют

требуемым масштабам

DNS и DHCP - критично важные

сервисы для провайдеров и

корпоративных сетей

Миграции с IPv4 на IPv6

DDI – основа контроля сети

04.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 4

(DNS, DHCP, IP Address Management)

Управление IP-адресацией

Планирование и отслеживание использования

блоков, подсетей и отдельных IP по приложениям или

локации

Конфигурация DHCP сервера

Соответствие адресных пулов плану адресации

Начальная конфигурация устройств

Конфигурация DNS сервера

Соответствие адреса–имена

IP/DHCP/DNS – критичный слой сети

Предупреждение дублирования IP адресов

Аккуратное конфигурирование сервисов DHCP/DNS

Централизованный реестр IPv4/IPv6

нет IP-плана дублирование IP

нет DHCP нет назначения адресов

нет DNS нет навигации по именам


IPv6: ручной учет?

RFC 2373 “P Version 6 Addressing Architecture”: Examples:

IPv4 72.163.4.161

FEDC:BA98:7654:3210:FEDC:BA98:7654:3210

1080:0:0:0:8:800:200C:417A

For example the following addresses:

may be represented as:

1080::8:800:200C:417A a unicast address

FF01::101 a multicast address

::1 the loopback address

:: the unspecified addresses

1080:0:0:0:8:800:200C:417A a unicast address

FF01:0:0:0:0:0:0:101 a multicast address

0:0:0:0:0:0:0:1 the loopback address

0:0:0:0:0:0:0:0 the unspecified addresses

Требования к решениям DDI


(DNS, DHCP, IP Address Management)

• сокращения операционных затрат

• оптимизации рабочих процессов

• автоматизации

• упрощения управления

• соответствия требованиям

безопасности и другим политикам

Интегрированное решение для

Операционные

задачи DDI

Управление

абонентами

Отчетность

Поддержка

бизнес-

процессов


конфигура-

циями

Выполнение

требований

регуляторов


доступом

Cisco Prime Network Registrar




Масштабируемость. Надежность. Функциональность. Расширяемость. Интегрированное управление.

• Единый DHCP сервер с

поддержкой

IPv4 и IPv6

• Поддержка внутренних и

внешних клиентов

• Соответствие стандартам

• Единый DNS сервер с

поддержкой IPv4 и IPv6

• Соответствие стандартам

• Полнофункциональная

система управления (IPAM)

• Интеграция с DNS и DHCP

для конфигурирования и

для получения данных об

использовании адресации

• Кеширующий сервис

• Высокая скорость

• Поддержка DNSSEC

• Поддержка DNS64 (доступ

из IPv4 к серверам IPv6)

DHCP DNS IPAM DNS Caching



Масштабируемость. Скорость.

Распределенная архитектура. Обслуживает

миллионы пользователей в одном из крупнейших

внедрений в мире

CPNR DHCP-сервер – лидер отрасли по

производительности

Выделенный DNS-кэш сервер значительно

увеличивает число обрабатываемых запросов

Наиболее масштабируемый в отрасли DHCP-

сервер может обслуживать более 50 млн устройств

в рамках одной системы



Производительность, не имеющая аналогов на рынке

Cisco Network Registrar Jumpstart – виртуальное устройство на сервере Cisco UCS

0

5000

10000

15000

20000

25000

30000

35000

40000

45000

50000

CUCS with 8 CPU,8 GB RAM

CUCS with 4 CPU,4 GB RAM

CNR Jumpstart HP DL360 with 4CPU, 4 GB RAM

Lea

se

s / S

ec

Hardware Platform

Returning Clients

New Clients



Наивысшая скорость обработки рекурсивных запросов

0

20000

40000

60000

80000

100000

120000

140000

160000

180000

CNR DNS Unbound DNS

Запросов в секунду

CPNR DNS CPNR DNS cache

DNS

Кэш

DNS

Надежность

Multiple levels of redundancy:

Request DHCP-Induced Avalanche

Discover

Request

Request

Request

Request Request

Request Request

Request

Discover

Discover

Discover Discover

Discover

Поддержка отказоустойчивого DHCP и

высоко доступного DNS

Опциональный фильтр «болтливых»

клиентов

Патентуемый дискриминационный

ограничитель обработки

Сокращенное время восстановления

после массового отказа сети

Лавина DHCP

Массовый сбой

Многие CPE отключены

Другие CPE остаются

подключенными

Попытки подключения

Сохранение подключения

Discover

Discover

Discover

Request

Discover Discover

Discover

Discover

Request

Discover

Discover

Поток запросов превышает скорость обработки!

Часть Discover

обслужены

Часть Request

потеряны

Часть CPE подключены

Часть CPE теряют

подключение

Discover

Discover Request

Discover

Предупреждение DHCP-лавины Дискриминационный регулятор обработки запросов

Discriminating Rate-Limiter

50% ограничение: DISCOVER не занимает более ½ очереди

Статическое ограничение: прием DISCOVER с более низкой скоростью

Ограничение очередности: DISCOVER помещаются в отдельную, медленнее обслуживаемую очередь

Подтвержденное превосходство над неконтролируемым доступом без дискриминационного регулятора

Расширяемость

Платформа чрезвычайно гибкая и настраиваемая под уникальные

требования

Поддержка расширений позволяет операторам значительно изменять и

настраивать функционал DHCP и для IPv4 и для IPv6

С помощью расширений легко создаются новые решения, например, для

задач биллинга, безопасности, перехвата трафика

Обширный API и интерфейсы командной строки (CLIs) дают точки

интеграции с любыми внешними системами, например для автоматизации

задач управления адресацией (IPAM)

«Облачная» готовность

Поддержка многопользовательской среды

DHCP и DNS Изоляция и безопасность облачной инфраструктуры Окружение

арендатора Б

Окружение

арендатора А

Безопасность

и изоляция

Виртуальные серверы Виртуальные серверы

Многопользовательская виртуализированная

инфраструктура, управляемая через портал

самообслуживания

Безопасность

и изоляция

DNS кэш-сервер и расширение DNSSEC

DNS кэш-сервер значительно повышает скорость и

объемы обработки рекурсивных запросов

Поддержка DNSSEC помогает защитить от уязвимостей

DNS, таких как подделка ответов DNS

DNSSEC помогает предоставлять аутентичные данные

конечным пользователям, проверяя подписанные

ответы DNS

Полнофункциональная система управления адресацией

(IPAM)

• Простое, централизованное, интегрированное управление сервисами

DNS и DHCP, поддерживающие IPv4 и IPv6

• Конфигурирование DNS и DHCP серверов в соответствии с IP-планом

• Автоматическое отслеживание использования IP-адресации с

помощью обследования сети и согласование конфигурации

• Интуитивный интерфейс с отображением реальной ситуации и

развитой системой отчетов

• Ролевая модель разделения полномочий администраторов

• Поддержка основных популярных продуктов DHCP и DNS (BIND,

Microsoft, Cisco Prime™ Network Registrar и т.д.)

IPAM - критичный компонент управления сетью

Предпосылки к системе IPAM

• Нет IP, Нет DNS = нет сети

• Сложность логически согласованного управления

разрозненными северами DNS и DHCP

• Постоянные изменения в распределении IP

• «Ручные» таблицы не масштабируются, аудит

практически невозможен

• Внедрение IPv6

Подход Cisco к управлению адресацией

Сервисы

Реальная сеть

• Блоки и подсети IPv4/IPv6

• Конфигурации DNS/DHCP

• Соответствие адресного

пространства бизнес-

процессам

Распределение

Сравнение

• Согласование реальной и

запланированной конфигураций

• Отчеты

• Применение настроек

DNS/DHCP

• Динамический DNS

IPAM – продолжающийся циклический процесс с обратной связью об использовании адресации

• Simple Network Management Protocol

(SNMP) v2 и v3

• Обнаружение IP-устройств

• Проверка портов коммутаторов

• Использование пулов DHC

Планирование

Согласование

Обследование

Внедрение

Цикл

IPAM

Способы установки

Внедрение


22

?

Сниженные риски и стоимость запуска Вариант виртуального устройства

Разворачивание Cisco Prime™ Network Registrar в виде

предконфигурированного виртуального устройства упрощает

инсталляцию, снижает риски внедрения и стоимость

Идеально для организаций уже имеющих виртуализированную

инфраструктуру

Дает все преимущества Cisco Prime Network Registrar без необходимости

инвестиций в «железо»

Позволяет оперативно перемещать сервисы DNS, DHCP, IPAM (DDI)

между серверами для быстрого восстановления или адаптации под

изменяющуюся нагрузку

Cisco Prime Network Registrar Jumpstart Готовое устройство DDI

Cisco® Network Registrar Jumpstart – готовое устройство с функциями

DNS, DHCP и управления адресацией (IPAM) (DDI) для провайдеров

и организаций требующих быстрого внедрения решения

Cisco Network Registrar

– Интегрированное, масштабируемое, надежное предустановленное

решение DDI

Cisco UCS™ C200 M2

– Сервер высокой плотности, 2х CPU, 1RU

VMware ESXi v4.1

– Предустановленное окружение виртуализации VMware

Cisco Network Registrar

• Fast

• Scalable

• Reliable

• Extensible

• IPV4 /IPv6

• Cloud-

ready

DHCP DNS IPAM

Cisco Prime Network Registrar Решение готового устройства Jumpstart

25

Архитектура Prime Network Registrar Региональный сервер и Локальный кластер

Central

Management

Central IP

History

Subnet

Utilization

Smart Allocation

RIC Server

License

Management

Database

Server

Telnet/SSH

HTTP/SCP

Local Web UI

DHCP

DNS

TFTP

Database

Server

Local Web UI

DHCP

DNS

TFTP

Database

Server

Региональный сервер

Локальный кластер Локальный кластер

Архитектура Prime Network Registrar SDK / API

Central

Management

Central IP

History

Subnet

Utilization

Smart Allocation

RIC Server

License

Management

Database

Server

Telnet/SSH

HTTP/SCP

Local Web UI

DHCP

DNS

TFTP

Database

Server

Local Web UI

DHCP

DNS

TFTP

Database

Server

Региональный сервер

Локальный кластер Локальный кластер

Ваше

приложение

SDK

Архитектура IPAM

IPAM Executive

IPAM Agents

Администраторы

DNS-сервер

DHCP-сервер

Сетевое оборудование

База данных

Поддерживаемые ОС

Windows 2008 server (32-bit or 64-bit English versions)

Windows 2008R2 server (64-bit)

RedHat Enterprise Linux v5 (32-bit)

VMware: VM с установленной одной из перечисленных ОС

Solaris 10 (Sparc)

Требования к аппаратному обеспечению

Xeon – 1.2 GHz или более быстрый

1 GB RAM или более

1 GB дискового пространства для базовой инсталляции

Системные требования

Cisco Prime Network Registrar Вариант внедрения: DHCP

30

Cisco Prime Network Registrar Вариант внедрения: DNS

31

Cisco Prime Network Registrar Вариант внедрения: DNS-HA

32

Cisco Prime Network Registrar Вариант внедрения: DNS-кэш

33

Cisco Prime Network Registrar Вариант внедрения: DNS-кэш на отдельных серверах

34

Cisco Prime Network Registrar Вариант внедрения: IPAM

35

Cisco Prime Network Registrar Вариант внедрения: IPAM

36

Взаимодействие компонент



38

DHCP Main

Regional

Клиент

Клиент


39

DHCP Main

DNS Primary

Main

Regional

Клиент

Клиент


40

DHCP Main

DNS Primary

Backup

DHCP Back-up

DNS Primary

Main

Regional

Клиент

Клиент

DNS HAZone Transfer

DHCPFailover

41

IPAM

Клиент

Клиент

R

A

R

A

R

A

R

A

E

A


DHCP Main

DNS Primary

Backup

DHCP Back-up

DNS Primary

Main

42

IPAM

Клиент

Клиент

R

A

R

A

R

A

R

A

E

A


DHCP Main

DNS Primary

Backup

DHCP Back-up

DNS Primary

Main

• Порт коммутатора (IP and MAC)

• Подсети на маршрутизаторах

• ARP-таблицы

Отказоустойчивость DHCP

DHCP Failover (RFC 2131)

Сервис DHCP предоставляется несколькими серверами

DHCP серверы строят отношения отказоустойчивости

Существующие клиенты DHCP могут продлять аренду адресов без привязки к

конкретному серверу

Резервный DHCP сервер может выполнять функционал основного сервера в

случае его недоступности по какой-либо причине

43

DHCP Failover Отказоустойчивая пара

44

DHCP Main

DHCP Back-up

Региональный

сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

Основной сервер передает резервному все

данные о выданных адресах


45

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент 172.16.1.5

172.16.3.5

Клиент широковещательно передает запрос

Маршрутизатор одноадресно передает Discover

DHCP серверам

IP Helpers

172.16.1.5

172.16.3.5


46

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент 172.16.1.5

172.16.3.5

Основной DHCP сервер предлагает доступный

адрес

IP Helpers

172.16.1.5

172.16.3.5


47

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент 172.16.1.5

172.16.3.5

Клиент широковещательно запрашивает

предложенный адрес

IP Helpers

172.16.1.5

172.16.3.5


48

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент 172.16.1.5

172.16.3.5

Основной DHCP сервер подтверждает выделение

адреса

IP Helpers

172.16.1.5

172.16.3.5


49

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

Основной сервер сообщает резервному о

изменениях


50

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

Основной сервер вышел из строя


51

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

Резервный сервер обнаруживает аварию


52

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

Клиент запрашивает адрес

Маршрутизатор передает запрос на оба сервера


53

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

Резервный сервер предлагает адрес из

собственного пула


54

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

Клиент широковещательно запрашивает

предложенный адрес


55

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

Резервный сервер подтверждает выделение

адреса


56

DHCP Main

DHCP Back-up


сервер

Клиент

Клиент

IP Helpers

172.16.1.5

172.16.3.5

172.16.1.5

172.16.3.5

После восстановления основного сервера,

резервный передает данные обо всех

выданных адресах, и основной сервер

возвращается в работу

Высокодоступный DNS

В каждой зоне должен быть только один первичный (primary) DNS сервер

Динамический ДНС обновляет данные только на первичном сервере

В случае выхода из строя первичного сервера

статические записи доступны через вторичные (secondary) DNS серверы

динамические записи - теряются

Для решения проблемы нужен второй первичный сервер, дублирующий функционал основного первичного

сервера

57


58

Основной и резервный первичные серверы

обмениваются информацией

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client

Heartbeat

And

RR Updates


59

Оба сервера отвечают на запросы

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client


60

DHCP-сервер может быть сконфигурирован

динамически обновлять DNS после выделения

адреса

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client DDNS

update


61

Основной первичный сервер обновляет данные

на резервном первичном сервере

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client

RR Update


62

В случае выхода из строя основного первичного

сервера, его функции выполняет резервный

первичный сервер.

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client

DDNS

update


63

После восстановления основного первичного

сервера, происходит синхронизация данных с

резервным сервером

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client

Synchronization

Cisco Prime Network Registrar Резюме

Превосходная управляемость

Отражение текущей (real-time) ситуации в IPv4 и IPv6

адресациях

Лучшая прозрачность за счет детализированных отчетов и

тонкого регулирования доступа

Облегчает переход от IPv4 на IPv6

– Обследование и инвентаризация ресурсов IPv4 и IPv6

– Планирование и моделирование способов перехода на IPv6

– Построение соответствия адресации IPv4 в пространстве IPv6

Масштабируемость

Поддержка достоверного DNSSEC

Простое внедрение

Дополнительные ресурсы

65

Cisco Prime™ Network Registrar on Cisco.com:

www.cisco.com/go/networkregistrar

Cisco® Network Registrar Tech Center developer support:

http://developer.cisco.com/web/cnr/home

http://www.cisco.com/go/networkregistrar

http://developer.cisco.com/web/cnr/home

Демонстрационные стенды Системы сетевого управления

Решения для операторов связи

Cisco Prime Carrier Management Оперативный контроль и управления сетью MPLS

Cisco WAN Orchestration Оптимизация и проектирование сети MPLS

Cisco Prime Home Управление подключенным домом

Решения для корпоративных

заказчиков

Cisco Prime Infrastructure Управление инфраструктурой корпоративной сети

Cisco Prime Collaboration Управление видео и голосовыми услугами

Cisco Prime Network Registrar Управление адресным пространством IP.

DHCP и DNS серверы


Пожалуйста, заполните анкеты.

Ваше мнение очень важно для нас.

Спасибо

Контакты

Андрей Манаков

[email protected]

CiscoRu Cisco CiscoRussia

#CiscoConnectRu

Technology

Учет и управление IP-ресурсами сети