Настройка маршрутизаторов Juniper серии MX

Настройка маршрутизаторов Juniper серии MX

Андрей Пинаев 23 октября 2013

[email protected]

ведущий:

MX – УНИВЕРСАЛЬНАЯ ПЛАТФОРМА Пинаев Андрей [email protected]

3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net

ПОВЕСТКА

ОБЗОР MX СЕРИИ

ОБНОВЛЕНИЯ

СЕРВИСЫ CGNAT/BRAS

ПРИМЕР НАСТРОЙКИ BRAS

ПРИМЕР НАСТРОЙКИ CGNAT


ПОВЕСТКА







Единая операционная система Junos Микросхемы собственной разработки 3D TRIO

Концепция универсальной границы

MX 10 MX 960 MX 480 MX 40 MX 80 MX 5 MX 240

80Гбит/с 60Гбит/с 40Гбит/с 20Гбит/с

MX 2010 MX 2020

4.8Тбит/с

2.8Тбит/c

1.4Тбит/c

8.8Тбит/c 5.3Тбит/c

2.6Тбит/с

1.6Тбит/с

Защита инвестиций

40Тбит/с 17Тбит/c

80Тбит/с 34Тбит/с

MX-СЕРИЯ ПРОИЗВОДИТЕЛЬНОСТЬ ОТ 20ГБИТ/C ДО 80ТБИТ/С

MX104

∧


MX-СЕРИЯ: MX960/480/240

  MX-СЕРИЯ §  MX960 §  MX480 §  MX240

Компоненты системы §  Routing Engine (RE) §  MPC/DPC §  Switch Control Board (SCB) §  Power §  Fans


MX960: АППАРТНЫЕ ХАРАКТЕРИСТИКИ

  14-и слотовое шасси

  Габариты §  Высота: 16RU (примерно 1/3 стойки) §  Глубина: 800mm

  Компоненты §  Пассивный Mid-Plane §  Резервируемые Routing Engines §  Резервируемые фабрики коммутации (2+1) §  Распределенная архитектура коммутации пакетов §  Резервируемая вентиляторы и блоки питания

  Особености системы охлаждения и питания §  Обдув спереди назад §  Два блока вентиляторов (1+1 резервирование) §  4 блока питания (2+2 DC, 2+2 AC)

  Емкость §  2 слота для фабрик коммутации и RE §  1 слот двойного назначения( SCB/MPC) §  12 слотов для линейных карт §  Производительность 8.8Тбит/с

SCB or DPC

SCB + RE


MX480 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ

SCB + RE




  Особености системы охлаждения и питания §  Обдув боковой §  1 блока вентиляторов §  4 блока питания (2+2 DC, 2+2 AC)

  Емкость §  2 слота для фабрик коммутации и RE §  6 слотов для линейных карт §  Производительность 4.8Тбит/с



SCB + RE

SCB or DPC




  Особености системы охлаждения и питания §  Обдув боковой §  1 блока вентиляторов §  4 блока питания (2+2 DC, 2+2 AC)

  Емкость §  2/1 слота для фабрик коммутации и RE §  2/3 слотов для линейных карт §  Производительность 1.6Тбит/с



§  Производительность системы до 80Тбит/с

§  20 слотов под линейные карты

§  2Тбит/c на слот

§  Высота: 45RU

§  Поддержка всех существующих MPCs

§  Производительность фабрики – 860Гбит/c на слот

§  Компоненты системы §  Резервируемая система питания §  Резервируемые Routing Engines §  Резервируемые фабрики коммутации §  Распределенная архитектура коммутации пакетов



§  Производительность системы до 40Тбит/с

§  10 слотов под линейные карты

§  2Тбит/c на слот

§  Высота: 34RU

§  Поддержка всех существующих MPCs

§  Производительность фабрики – 860Гбит/c на слот

§  Компоненты системы §  Резервируемая система питания §  Резервируемые Routing Engines §  Резервируемые фабрики коммутации §  Распределенная архитектура коммутации пакетов


MX2020: CХЕМА ОХЛАЖДЕНИЯ §  Две зоны охлаждения

§  Обдув спереди назад

Card Cage

Card Cage

Card Cage

Fan Tray 1/2

Exhaust Plenum

Fan Tray 3/4

Bottom Inlet Plenum

Airflow divider

Bottom Exhaust Plenum

Middle Inlet Plenum

Power Supply Cooling


MX2000 CB-RE

“RE-1800” as used in MX240/480/960

n  Quad-‐core 1.73Ghz Intel Nehalem Processor

n  64-‐bit ready

n  Symmetric MulA-‐processing ready

n  16G Memory

n  Dual Solid State Drives

n  Timing and Mgmt interfaces

n  Air Diverter to isolate upper and lower cooling zones


MX20XX: ПИТАНИЕ

Power Zone 1

Power Zone 2

•  Chassis is divided into 2 power zones •  Top 10 slots belong to Zone 1 •  BoOom 10 slots belong to Zone 2

•  REs, SFBs and Fan trays connected to both zones •  Uses power from one zone at a Ame

•  AC & DC can’t be mixed •  Unique PDM for AC and DC power

•  A zone can fail without affecAng the other zone •  Each zone has 9 Power Supply Modules (PSM)

•  8+1 redundancy model per zone •  18 total PSMs per MX2020 chassis •  Each zone has 1 acAve Power DistribuAon Module (PDM)

•  Second PDM for redundancy per zone •  9 DC feeds plug into one PDM not the PSM

•  9 more feeds for redundancy (1:1) •  A 60A or 80A feed per PSM

•  2 AC feeds per AC PDM •  2 more AC feeds plug into backup PDM

•  Feeds can be changed independent of the PSM


MX20XX: ФАБРИКА

SFB •  MX2020/MX2010 specific Switch Fabric Board •  Does not contain the control board, unlike MX960 •  8 total SFBs per chassis for both MX2020 & MX2010

Architecture •  Always in 8+0 mode •  Connects to adapter card on the I/O slots for shared MPCs

Capacity •  8+0 mode can support up to 860Gbps per line card slot

Redundancy •  All SFBs are always used for 8+0 mode •  If one SFB fails, fabric capacity is 750Gbps per I/O slot


ИСПОЛЬЗОВАНИЕ СУЩЕСТВУЮЩИХ MPC: ЗАЩИТА ИНВЕСТИЦИЙ

MPC модуль

MPC АДАПТЕР •  Адаптер для MPC’s

•  Определется в конфигурации •  Не требуется никакой настройки •  Поддерживает все MPC’s

•  Любая MPCs •  Определется в конфигурации •  Не требуется никакой настройки


СВОДНАЯ ТАБЛИЦА ПО MX240/480/960/20XX

MX240 MX480 MX960 MX2010 MX2020

Максимальная производительность системы

1.6Тбит/c 4.8Тбит/c 8.8Тбит/c 40Тбит/c 80Тбит/c

Высота (RU) 6 8 16 34 45

Слоты 2 6 11 10 20

Производительность на слот* 240Гбит/c 240Гбит/c 240Гбит/c 860Гбит/c 860Гбит/c

Кол-во 100GE портов* 4 12 20 40 80

Кол-во 10GE портов* 64 192 336 320 640

Резервировние RE Да Да Да Да Да

Резервирование фабрики Да Да Да Да Да

Резервирование блоков питания Да - AC/DC Да - AC/DC Да - AC/DC Да – AC/DC Да – AC/DC

* Производительность и плотность портов на текущий момент


MX-СЕРИЯ: MX5/10/40/80/104   Высокопроизводительные Mid-Range маршрутизаторы

  MX5: 5G Router §  20x1G

  MX10: 10G Router §  20x1G & 1 Modular Slot

  MX40: 40G Router §  2 Modular Slots & 2x10G

  MX80: §  2 Modular Slots & 4x10G

  MX104: §  4 Modular Slots & 4x10G

MX5

MX10

MX40

MX80

NE

W

MX80

MX104


MX5/10/40/80 КОМПЛЕКТАЦИЯ

Шасси Слот MIC0 Слот MIC1 10G порты

(0-3)

Слот для сервисного модуля

Производительно

сть

MX5 Доступен;

Предустановлен модуль MIC-3D-20GE-SFP

Заблокирован Порты

заблокированы Доступен 20 Гбит/с

MX10 Доступен;

Предустановлен модуль MIC-3D-20GE-SFP

Доступен; Возможно использование любых

MIC модулей

Порты заблокированы Доступен 40 Гбит/с

MX40 Возможно использование любых MIC модулей

Возможно использование любых

MIC модулей

2 из 4 портов доступны Доступен 60 Гбит/с

MX80 Возможно использование любых MIC модулей

Возможно использование любых

MIC модулей

Доступны 4 порта Доступен 80 Гбит/с

МХ80-48Т Фиксированная конфигурация – 48 x 10/100/1000Base-T портов

Доступны 4 порта Доступен 80 Гбит/с


MX104 – МАРШРУТИЗАТОР УРОВНЯ АГРЕГАЦИИ

Компактность и резервирование §  TRIO chipset – 80G §  Габариты: 17.5 in (W) x 3.5RU (H) x 9.5(D) §  ETSI-300 compliant §  Резервируемый RE §  Резервируемые блоки питания AC/DC §  Широкий рабочий диапазон -40C to +65C §  Заменяемый блок вентиляторов

Синхронизации §  BITS (T1/E1), 10MHz &1PPS and

ToD timing I/O interfaces §  SyncE, SONET, PTP (Brilliant IP

integration) timing features

Модульная архитектура §  Встроенные порты 4x10GE SFP+ LAN/

WAN §  4 слота под MICs ; ~20Гбит/с на слот §  Поддержка сервисного MIC


MX104 MICs MIC TYPE MODEL

ETHERNET

MIC -3D 20GE-SFP MIC-3D-2XGE-XFP MIC-3D-40GE-TX MIC-3D-20GE-SFP-E [ MACSEC PHY, Timing PHY ] MIC-3D-20GE-SFP-EH [ Hardened, MACSEC PHY , Timing phy]

TDM/ATM/CE

MIC-3D-4CHOC3-2CHOC12 MIC-3D-4OC3OC12-1OC48 MIC-3D-8CHDS3-E3-B MIC-3D-8CHOC3-4CHOC12 MIC-3D-8DS3-E3 MIC-3D-8OC3-2OC12-ATM MIC-3D-4CHOC3-1OC12-CE-H MIC-3D-16CHE1-T1-CE MIC-3D-16CHE1-T1-CE-H MIC-3D-8OC3OC12-4OC48


MX104 ПРИМЕНЕНИЕ: MBH

• Компактное шасси

• Широкий рабочий диапазон

• Поддержка синхронизации

• Упращенный запуск

Лучшая платформа для MBH агрегации

RAN

Metro Transport

Providers

ACX

MX Portfolio

TCA8500

1588v2, SyncE

Mobile Core

3G/4G

MX104

ACX 3G/4G

3G/4G

Microwave

3G/4G

MBH Hub


MX104 ПРИМЕНЕНИЕ: УНИВЕРСАЛЬНАЯ ГРАНИЦА

•  TRIO чипсет

•  RE резервирование

•  Поддержка MPLS L2/L3 VPN and VPLS

•  Гибкость в предоставлении IPv4 and

IPv6 сервисов

•  Богатый выбор L4-L7 сервисов

•  Интеллектуальная inline обработка

Расширенные возможности

Branch Office

Provider Edge

Corporate HQ

Corporate HQ Branch Office

Data Center

Data Center

Business Edge MX104

L2VPN

L3VPN

Access

Home

NG-CO

BNG/ Residential Edge

AAA

DHCP

MX104

Home

DSLAM

Metro Ethernet

Agg Router OLT

RT


СВОДНАЯ ТАБЛИЦА ПО MX5/10/40/80/104

MX5 MX10 MX40 MX80 MX104

Максимальная производительность системы

20Гбит/с 40Гбит/с 60Гбит/с 80Гбит/с 80Гбит/c

Высота(RU) 2 2 2 2 3.5

Слоты 1 MIC 2 MIC 2 MIC 2 MIC 4 MIC

Производительность на слот*

20Гбит/с 40Гбит/с 60Гбит/с 80Гбит/с

80Гбит/с

Кол-во 10GE портов*

2 4 6 8 12

Резервировние RE

Нет Нет Нет Нет Да

Резервирование фабрики Нет Нет Нет Нет Нет

Резервирование блоков питания Да – AC/DC Да – AC/DC Да – AC/DC Да - AC/DC

Да - AC/DC

* Производительность и плотность портов на текущий момент


ПОВЕСТКА







Характеристики

n  Производительность 130Гбит/с n  Два слота под MIC n  Модульная архитектура

Модульное исполнение

Новые MICs n  1x100GE CFP n  1x100GE CXP n  2x40GE QSFP n  10x10GE SFP+

Legacy MICs n  20x1GE SFP n  2x10GE XFP Not Supported n  4x10GE MIC

WAN Edge Services

Применение 130 GbE Card

Full MPLS Features

All MX Functionality

Модульная линейная карта MPC3E

ü

ü

ü

MPC3E - 100G MPC

Преимущества

n  4 млн. маршрутов n  L3VPN и VPLS сервисы n  Интеллектуальная inline обработка


MPC4E – МОНОЛИТНАЯ 10G И 100G MPC

Производительность/функционал

Full Scale RouFng

Применение 260G MPC

VPLS, L3VPN, L2VPN

Service Rich

32x10GE SFPP ports

2x100G CFP + 8x10G SFPP ports

ü

ü

ü

Монолитное исполнение

Вариант 1 n  32x10GE SFP+ ports Вариант 2 n  2x100GE CFP & 8x10GE SFP+ ports

n  До 260Гбит/с агрегированной пропускной способности n  240 Гбит/с на MX240/480/960 n  260 Гбит/с на MX2000

n  Очереди на портах n  Поддержка Synchronous Ethernet n  Поддержка 1588v2


МУЛЬТИСЕРВИСНАЯ MPC – MS-MPC

§  XLP процессор §  4 NPU §  Поддержка в MX240/480/960/20XX §  Производительность до 32G §  Сервисы SFW, NAT, J-FLOW, IPSec §  RPM/TLB/HCM (Roadmap)

Сервисный блэйд для MX платформы

NG NPU

NG NPU

NG NPU

NG NPU

TRIO


§  XLP процессор §  1 NPU §  Поддержка на MPC1 MPC2 и MPC3 §  Поддержка на MX5/10/40/80/104 §  Производительность до 9G §  Сервисы SFW, NAT, J-FLOW, IPSec §  RPM/TLB/HCM (Roadmap)

МУЛЬТИСЕРВИСНЫЙ MIC – MS-MIC

Сервисный блэйд для MX платформы

Service MIC

NG NPU

MPC/MX80


MPC Тип Производителность

Поддержка на MX960/480/240

Поддержка на MX2020/MX2010

MPC 1 & MPC2 (-Q/-EQ) 2 MIC slots (1GE,10GE MICs) 40 & 80 Гбит/c

2010

2013

16 x 10GE Fixed MPC 160 Гбит/c 2010 2013

MPC3 2 MIC slots (100GE, 40GE,

10GE MICs) 130 Гбит/c 2012 2013

MPC4 32 x 10GE Fixed MPC

2x100GE + 8x10GE Fixed MPC 260 Гбит/c 2013

2013

СВОДНАЯ ТАБЛИЦА MPC


ПОВЕСТКА







МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ JUNIPER NETWORKS


Существующие инсталляции NAT §  6 крупных проектов на территории России §  Самый крупный – 350 тыс. одновременных абонентов §  Примерно 1млн. активных ШПД абонентов в России обслуживаются NAT-устройствами Juniper Networks

  Технология развивалась на протяжении последних 8 лет §  Широкий набор Application Layer Gateway §  Балансировка нагрузки и отказоустойчивость §  Масштабируемость §  Поддержка DS-Lite, различных режимов NAT-traversal, распределения портов и протоколирования сессий

ОПЫТ JUNIPER NETWORKS


НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT

Вид трансляции Описание NAT44 Трансляция 1:1, IPv4<->IPv4

NAPT44 Трансляция N:1, IPv4<->IPv4 NAPT64 Трансляция N:1, IPv4<->IPv6

Twice NAT, RFC 2663 Двойная трансляция, IPv4 <-> IPv4 NAT66 Трансляция 1:1, IPv6<->IPv6

NAPT66 Трансляция N:1, IPv6<->IPv6

Варианты NAT


НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT

Функция Комментарий

Endpoint Independent Mapping Средство NAT-traversal, позволяющее абонентским системам функционировать в обход NAT. Паре адрес/порт назначается одна пара внешний адрес/порт для множества сессий.

Распределение портов с сохранением чётности, с сохранением диапазона

См. RFC 4787. Обеспечивает устойчивую работу голосовых приложений (семантика чётности портов для RTP/RTCP) и диапазона портов (порты из диапазона 0-1023 транслируются в порты из того же диапазона).

Ограничение на количество сессий на адрес источника

Возможность ограничить число сессий от одного абонента

Протоколирование сессий, syslog Протоколирование без влияния на производительность. Возможность протоколирования только начала сессии. Протоколирование распределения блока портов.

Блочное распределение портов Уменьшает количество событий для протоколирования.

Address Pooling Внешний адрес не меняется всё время активности абонента.

Распределение нагрузки между модулями

Гибкое выделение трафика и распределение нагрузки между модулями

ALG Порядка 20 ALG, среди них наиболее популярные: FTP, RTSP, PPTP

Средства NAT

Но одних функций недостаточно, нужно иметь хорошее решение


Основные цели §  Снижение стоимости решения

§  Резервирование элементов, выполняющих обработку пакетов по схеме N+1 (ценой stateful-failover)

§  Улучшение утилизации устройств §  Простая интеграция в сеть

§  Масштабирование §  Линейное масштабирование до сотен миллионов сессий §  Минимум действий при перенастройке

ТРЕБОВАНИЯ К СОВРЕМЕННЫМ РЕШЕНИЯМ NAT


СТРОИТЕЛЬНЫЙ МАТЕРИАЛ Маршрутизаторы MX240, MX480, MX960

Сервисная карта MS-DPC

Значение NAPT44(4) NAPT44(4) – блочное выделение портов

Всего потоков 17М 17М

Максимальная скорость установления потоков

600 тыс/сек 1,2 млн/сек

Пропускная способность (IMIX) 19 Гбит/c 19 Гбит/c

Число абонентов 8,5 М 8,5 М

Задержка 60 мкс 60 мкс

Влияние протоколирования на скорость создания новых потоков

Нет Нет

Время создания 4М потоков 7 секунд 7 секунд

Параметр MX240 MX480 MX960 Слотов 2+1 6 11+1

Пропускная способность 1,6 Тбит/c 4,8 ТБит/c 8,8 ТБит/c

Портов 10GE (на скорости канала) 48 144 256


СТРОИТЕЛЬНЫЙ МАТЕРИАЛ(ПРОДОЛЖЕНИЕ)

Сервисная карта MS-MPC

Значение NAPT44(4) Всего потоков 120М

Пропускная способность (IMIX) 32 Гбит/c

Число абонентов 60М

Задержка 55 мкс

Сервисный MIC MS-MIC

Значение NAPT44(4) Всего потоков 14М

Пропускная способность (IMIX) 6 Гбит/c

Число абонентов 7М

Задержка 70 мкс


CPE

BNG

CPE

BNG Магистраль сети

MX

MX

MX

Интернет

Трафик поступает с PE/BNG устройств и

отправляется по одному маршруту по умолчанию в технологическом VRF

1 На MX фермы трафик расходится по трём

устройствам (за каждым закреплены свои адресные

блоки) через 6 технологических VRF (всего 6 разных пар active/backup)

2 На каждом из устройств в отдельности выполняется балансировка нагрузки между NPU MS-DPC (по адресу источника)

3

СХЕМ ОРГАНИЗАЦИИ СВЯЗИ, NAT-ФЕРМА ИЗ 3-Х И БОЛЕЕ УСТРОЙСТВ

Кстати, схему балансировки можно использовать не только для NAT, но и для других приложений.


[edit firewall filter flt-‐spray] term t00 { from { //5 последних бит – 00000 source-‐address 0.0.0.0/0.0.0.31; } then { routing-‐instance ri-‐r1_primary-‐r2_backup; } … term t31 { from { //5 последних бит – 11111 source-‐address 0.0.0.31/0.0.0.31; } then { routing-‐instance ri-‐r2_primary-‐r3_backup; }

Фильтром распределяется трафик между N * (N-1) = 6 технологическими VRF. Трафик выделяется по последним битам адреса. Фильтр меняется только с

увеличением числа устройств (N) в NAT-ферме – очень редко!

БАЛАНСИРОВКА НАГРУЗКИ МЕЖДУ УСТРОЙСТВАМИ


[edit routing-‐instances] apply-‐groups vrf-‐commmon; // R1 – основной, R2 -‐ запасной ri-‐r1_primary-‐r2_secondary { vrf-‐target target:100:101; routing-‐options {

static { route 0.0.0.0/0 next-‐hop [sp-‐1/3/0.1 sp-‐1/3/1.1]; }

} } // R1 – запасной, R2 -‐ основной ri-‐r2_primary-‐r1_secondary { vrf-‐target target:100:103; routing-‐options {

static { route 0.0.0.0/0 { next-‐hop [sp-‐1/3/0.1 sp-‐1/3/1.1]; no-‐readvertise; preference 180; } }

} } // R2 – основной, R3 -‐ запасной ri-‐r2_primary-‐r3_secondary {

vrf-‐target target:100:104; }

В таблице маршрутизации VRF всегда два маршрута по умолчанию – один от основного устройства, а другой от резервного.

Выбирается только один с лучшим preference – он определяет основное

устройство

ОДНО УСТРОЙСТВО ПОДМЕНЯЕТ ДРУГОЕ Настройка маршрутизатора R1

Список sp- интерфейсов, между которыми происходит балансировка в рамках одного устройства (хеш по

source-адресу – настраивается отдельно)


ПРОТОКОЛИРОВАНИЕ АБОНЕНТСКИХ СЕССИЙ


ИЗБИРАТЕЛЬНОЕ ПРОТОКОЛИРОВАНИЕ

regress@kevlar# show services service-‐set ss1 { syslog { host local; options { + session-‐open; + session-‐close; + packet-‐logs; + stateful-‐firewall-‐logs; + alg-‐logs; + nat-‐logs; + ids-‐logs; } } } }

§ Ограничение по числу сообщений в секунду §  Выборочная отправка сообщений об открытии/закрытии сессии §  Уменьшение объёма сообщений с 200 байт до 80 байт


НЕСКОЛЬКО СЛОВ О СТАНДАРТНОМ РАСПРЕДЕЛЕНИИ ПОРТОВ

  Поведение по умолчанию – случайное распределение портов

  Оценка: §  Хорошая утилизация пула §  Одна запись в журнале на сессию §  Никаких проблем с безопасностью

Распределение портов (цвет обозначает абонента)

Высокий

Объём

протоколирования

Безопасность

Утилизация

пула

Низкий


NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ   При создании сессии, для абонента выделяется целый блок портов. Порт выбирается случайным образом из этого блока.

  Последующие запросы на распределение порта обслуживаются из этого блока. Неактивные блоки (без занятых портов) освобождаются.

  Записи генерируются только для события выделения и освобождения блока.

  Оценка: §  Можно подстраивать размер блока/степень безопасности/протоколирования

§  Сокращает существенно объём протоколирования

Высокий

Низкий

Объём




пула



NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ   Параметры, которые можно менять

§  Размер блока

§  Число блоков на абонента §  Для повышенной безопасности, таймаут распределения блоков

  Блочное распределение работает для TCP/UDP/ICMP, как и обычный NAPT44.

  ALG также поддерживаются

services { nat { pool pool1 { address-‐range low 32.32.32.1 high 32.32.32.32; port { automatic { random-‐allocation; } + block-‐allocation { + block-‐size 256; /* Min 64, Max 64512, default 128 */ + max-‐blocks-‐per-‐user 8; /* Max 2048, default 8 */ + active-‐block-‐timeout 300; /* 0(default), Min 120secs, Max MAX_UINT */ + } } address-‐allocation round-‐robin; } } }

Высокий

Низкий

Объём




пула


ПРЕДСКАЗУЕМЫЙ NAT   Алгоритмическое распределение IP-адресов и портов (блоков). Публичные IPv4-адреса и порты для заданного пользователя зафиксированы. Распределение портов выполняется из диапазона портов абонента.

  Оценка: §  Абоненты используют те же адреса всё время §  Никакого протоколирования вовсе не требуется §  Хуже утилизация портов (для неактивных пользователей также распределяются блоки)

§  При нехватке портов, нельзя распределить новый блок §  Сложнее балансировка нагрузки


Высокий

Низкий

Объём




пула


АРХИТЕКТУРА СЕТИ ШИРОКОПОЛОСНОГО ДОСТУПА


СТАНДАРТИЗАЦИЯ, ОБЩАЯ АРХИТЕКТУРА СЕТИ

2003

2007

1999 TR-25

TR-59

TR-101

TR-156

Ethernet агрегация

ATM агрегация

2010 PON

BRAS

BRAS

BNG/ Video BNG

OLT

DSLAM/ MSAN VDSL

ADSL2+

ADSL

ADSL

ADSL

DSLAM

DSLAM

ONT

CPE

CPE

CPE

BNG/ Video BNG



Ethernet агрегация

Интернет

Интернет, QoS

Интернет Телефония Телевидение

Интернет Телефония Телевидение


КОМПОНЕНТЫ РЕШЕНИЯ И ИХ ФУНКЦИИ

OLT BNG ААА

Управление политиками

Магистраль оператора

ONT Ethernet агрегация

ONT (CPE)

L3-маршрутизация и/или L2-коммутация

[L3] NAT

[L3] IGMP PROXY

Восходящий QoS

OLT (УЗЕЛ ДОСТУПА)

Агрегация абонентских линий

Изоляция абонентов

Идентификация линии (C-VLAN, PPPoE IA или включение DHCP опции 82)

Многоадресная рассылка

Элементы нисходящего QoS (приоритезация)

BNG (BRAS)

Авторизация абонентов

Изоляция абонентов

Учёт трафика

Фильтрация

Обслуживание в соответствии с описанием услуги

Нисходящий QoS

Оптимизация многоадресной рассылки

УПРАВЛЕНИЕ ПОЛИТИКАМИ

Назначение политики обслуживания

Хранение информации о расположении абонента

Динамическое изменение политик обслуживания

Программные интерфейсы для приложений

Точка предоставления услуги


Разбор идентификатора линии (Option 82, Intermediate Agent),

передача в сторону систем OSS/BSS

Защита от подделки MAC-адресов, IP, добавление идентификатора линии в

пакеты DHCP (Option 82) или PPPoE (Remote Circuit ID)

S-VLAN ПРОТИВ С-VLAN ВЫСОКОУРОВНЕВОЕ СРАВНЕНИЕ МОДЕЛЕЙ

BNG Коммутатор

1:N (S-VLAN)

Отображение абонентских линий в один VLAN

(Ethernet-коммутация)

Запрет коммутации трафика между абонентами (private VLAN)

ONT

Устройства сети доступа обеспечивают изоляцию и идентификацию

BNG Коммутатор

1:1 (C-VLAN)

Отображение абонентских линий в абонентские VLAN

(мультиплексирование)

Коммутация или мультиплексирование трафика

в пределах каждого VLAN

ONT

Сеть доступа – труба, без каких-либо функций

OLT

OLT


S-VLAN ПРОТИВ С-VLAN ВЫСОКОУРОВНЕВОЕ СРАВНЕНИЕ МОДЕЛЕЙ (ПРОДОЛЖЕНИЕ)

Характеристика С-VLAN (1:1) S-VLAN (1:N) Сложность изоляции трафика абонентов на устройствах доступа (OLT/коммутаторы)

Низкая Высокая (MAC-security, изоляция портов, DHCP

Snooping)

Взаимодействие между OLT и BRAS/BNG Отсутствует

Присутствует (Option 82 и PPPoE Intermediate Agent)

Идентификация абонентов По номеру VLAN + сегменту доступа По Option 82, remote circuit id

Применение операторами связи Обе модели достаточно распространены

Рекомендации Juniper Использовать 1:1 VLAN, если это возможно. При прочих равных условиях сеть доступа проще.

Проще внедрение новых услуг.


PPPOE ПРОТИВ DHCP ОСНОВНЫЕ ТЕХНОЛОГИИ ДОСТУПА Выбор технологии определяет способы авторизации, аутентификации, резервирования, многоадресной рассылки

Функция PPPoE IPoE Назначение адресов NCP DHCP

Авторизация Имя и пароль, CVLAN Remote Circuit ID

Option 82 CVLAN

Средства OAM Отлажены, наличие keepalive.

В процессе стандартизации. ForceRenew, IP Sessions

Wholesale-механизмы Отлажены. На основе L2TP.

В процессе стандартизации. Различные фирменные

методы (L2 и L3)

Оптимизация многоадресной рассылки в сети

доступа

Усложнена практическим отсутствием IGMP

Snooping для PPPoE на узлах доступа

Имеется. Требует IGMP Snooping на узлах доступа.


ВАРИАНТЫ ПРОЕКТИРОВАНИЯ

Вопрос, проблема, задача Варианты решения

Расположение узлов предоставления услуг Централизованное или распределённое

Модель агрегации в сети доступа 1:1 VLAN (CVLAN) или 1:N VLAN (SVLAN)

Количество сервисных устройств Одно сервисное устройство или несколько сервисных устройств для доставки разных

услуг

Нисходящий QoS Полностью на BNG, включая многоадресную рассылку, или частично на устройстве доступа

Технология подключения абонентов PPPoE или IPoE

Высокая доступность предоставления услуги

Резервирование BNG (несколько вариантов), резервирование карт устройств, виртуальное

шасси

В сетях ШПД тысячи вариантов проектирования. Одинаковых сетей нет. Базовые вопросы с которыми нужно определиться:


ФУНКЦИИ BRAS

Функция MX/JUNOS DHCP – доступ (Relay/Relay-proxy, Local-Server) Поддерживается

Динамические абонентские интерфейсы Поддерживается

Интеграция DHCP AAA (идентификация, учёт, RADIUS CoA) Поддерживается

DHCP L3 wholesale Поддерживается

Сервисный менеджер Параметризация профилей - поддерживается

Динамическая конфигурация (HQOS, Policy) Поддерживается

Автоконфигурирование VLAN с аутентификацией Поддерживается

Перехват трафика Поддерживается

DHCPv6PD, IPv4/IPv6oE двойной стек Поддерживается

PPP + AAA Поддерживается

L2TP LAC Поддерживается

L2TP LNS Поддерживается

IPv4/v6 двойной стек для PPP Поддерживается


ФУНКЦИИ BRAS

Функция MX/JUNOS ISSU Поддерживается

Multicast (IGMPv2/v3, OIF-MAP,QOS-adjust, Bulk-stats, SSM-map) Поддерживается

Интеграция с SRC Поддерживается (Diameter)

DHCP ForceRenew Поддерживается

Масштабирование 128 тыс. и выше

Dynamic L2 Wholesale Поддерживается

Inter-LM active/backup Subscriber LAG DHCP – Поддерживается, PPP (в планах)

Inter-LM active/active N-way Subscriber LAG (в планах)

Stateful Inter-chassis redundancy Посредством виртуального шасси

Carrier grade NAT Поддерживается

Встроенный IDP/DPI Поддерживается

Встроенный видео-мониторинг Поддерживается


JUNOS SUBSCRIBER MANAGEMENT ПРИНЦИПЫ РАБОТЫ


jdhcpd

§  Juniper DHCP Daemon новый процесс, которые отвечает за на MX-платформе за всю деятельность, связанную с функциями DHCP Local Server and DHCP Relay/Proxy

  Функции поддерживаются для logical routers и routing instances. Только один процесс jdhcpd может быть запущен на шасси.

  При перезапуске jdhcpd (командой ‘restart’ или в случае сбоя в работе демона) использует хранимую в виде файла таблицу активных dhcp-клиентов или active client leases.

  При выполнение процедуры graceful shutdown, jdhcpd сохраняет текущий список «dhcp lease-ов» в отдельном файле на жестком диске и использует ее при последующем старте

JUNOS SUBSCRIBER MANAGEMENT ПРОГРАММНЫЕ КОМПОНЕНТЫ: JDHCPD


jpppd

§  Juniper ppp Daemon - отвечает за поддержку функций активации pppoe интерфейсов. Работает на платформах Juniper M/MX-серии требует использования определенного типа карт

JUNOS SUBSCRIBER MANAGEMENT ПРОГРАММНЫЕ КОМПОНЕНТЫ: JPPPD, AUTHTD

authtd §  Juniper Authentication Daemon отвечает за все запросы, связанные с авторизацией, аутентификацией, сбором статистики, назначением IP-адреса на интерфейс подписчика. Начиная с релиза 9.6 добавлен компонент Juniper Session and Resource Control (JSRC), отвечающий за взаимодействие с SRC-PE по средством протокола Diameter.

Autoconfd §  autoconfd – новый процесс в Junos, который обрабатывает на входе пакеты и генерирует внутренние запросы на через Subscriber Management Infrastructure (SMI) для создания новых интерфейсов на основе VLAN-tag и ethertype для : Inet; Inet6; pppoe


username-include { user-prefix DHCP_USER; delimiter "$"; mac-address; circuit-type; option-82 remote-id; option-60; domain-name juniper.net; }

УПРАВЛЕНИЕ ШПД ПОДПИСЧИКАМИ В JUNOS ИСПОЛЬЗОВАНИЕ RADIUS-А

CPE

Ethernet/L2VPN/VPLS Access Node

Applications/Content (Video, Voice,…)

SP MPLS Core

MX Series

DHCP/PPPoE

AAA server

Internet

Подписчики локальной сети Dynamic-profile Default (drop all, open-garden, redirect).

Dynamic-profile INET-SRVC (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Dynamic-profile APPL (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Dynamic-profile HQOS (‘$rates’, ‘$scheduler-map’)

Unisphere-Activate-Service-tag1 INET-SRVC (filter-in, filter-out) Unisphere-Activate-Service-tag2 APPL (filter-in, filter-out) Unisphere-Activate-Service-tag3 HQOS (shaper-rate-1)

Access-accept

Accounting Request (На сессию и на сервис)

Имя пользователя: DHCP_USER$0000.1000.0001$enet$ONU_#100:FTTH-1/[email protected] Сервис INET-SRVC (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Сервис APPL (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) профиль HQOS (‘$shaping-rate’)

Access-Request Назначение IP-адреса: local pool, local DHCP, Внешний DHCP relay

Demux0

Билинг


НОВАЯ СЕМАНТИКА CLI: DYNAMIC PROFILE, ACCESS PROFILE

  Access Profile – правила Аутентификации, Авторизации и динамической настройки параметров

§  Посредством RADIUS

§ Динамическая настройка параметров интерфейса: –  Firewall Filter –  Service Set, Address, Routing Instance

§ Динамическая настройка параметров CoS: –  Traffic Control Profile –  Shaping Rates, Weights, Queue Parameters, ....

§ Динамическая настройка параметров протоколов: IGMP

  Dynamic profile = Cервис (вкл/выкл)   Определяет структуры сервиса и набор необходимых параметром


ПОВЕСТКА







ЛАБОРАТОРНАЯ СХЕМА


ТИПОВАЯ НАСТРОЙКА ИНТЕРФЕЙСА МОДЕЛЬ 1:1 VLAN

interfaces { ge-1/0/1 { hierarchical-scheduler; flexible-vlan-tagging; auto-configure { stacked-vlan-ranges { dynamic-profile DVLAN { accept dhcp-v4; ranges { 10-10,10-1000; 1000-1000,10-1000; } }

access-profile RAUTH; }

remove-when-no-subscribers; } encapsulation flexible-ethernet-services; } }


ТИПОВАЯ НАСТРОЙКА ИНТЕРФЕЙСА МОДЕЛЬ N:1 VLAN

interfaces { ge-1/0/1 { hierarchical-scheduler; flexible-vlan-tagging; unit 3000 { demux-source inet; vlan-id 3000; family inet { unnumbered-address lo0.0; } } encapsulation flexible-ethernet-services; } }


ТИПОВАЯ НАСТРОЙКА АУТЕНТИФИКАЦИЯ

access { profile RAUTH { authentication-order radius; radius { authentication-server 172.30.53.11; options { nas-identifier chile_bras; } } radius-server { 172.30.53.11 { secret "$9$Ak3Ot1heK87dsWLZUiHmP1RE"; ## SECRET-DATA source-address 172.30.53.127; } } } }


ТИПОВАЯ НАСТРОЙКА DHCP СЕРВЕР

  dhcp-local-server {

  pool-match-order {

  ip-address-first;

  }

  group dvlan {   authentication {

  password test123;

  username-include {

  mac-address;

  }   }

  dynamic-profile INET;

  interface ge-1/0/1.0;

  }

  }


ТИПОВАЯ НАСТРОЙКА DHCP POOL

  access {

address-assignment {

  pool DHCP1 {

  family inet {   network 172.18.0.0/23;   range range1 {   low 172.18.0.10;

  high 172.18.1.253;   }   dhcp-attributes {

router {   172.18.1.254;   }

  }   }   }

  }

  }


ТИПОВАЯ НАСТРОЙКА ДИНАМИЧЕСКИЙ ПРОФИЛЬ (1)

  dynamic-profiles {

  DVLAN {

  interfaces {

  "$junos-interface-ifd-name" {   unit "$junos-interface-unit" {   demux-source inet;   proxy-arp unrestricted;

  vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id";   family inet {   unnumbered-address lo0.0;   }   }   }

  }

  }

  }


ПОВЕСТКА







АКТИВАЦИЯ СЕРВИСНОГО ПАКЕТА ДЛЯ CGNAT

  chassis {

  fpc 0 {

  pic 0 {   adaptive-services {   service-package layer-3;   }   }

  pic 1 {   adaptive-services {   service-package layer-3;   }   }   }

  }


НАСТРОЙКА СЕРВИСНЫХ ИНТЕРФЕЙСОВ

  interfaces {

  sp-0/0/0 {

  services-options {

  inactivity-timeout 100;

  cgn-pic;   }

  unit 0 {

  family inet {

  address 10.77.1.1/32;

  }

  }

  unit 10 {

  family inet;

  service-domain inside;   }

  unit 20 {

  family inet;

  service-domain outside;   }

  }

  interfaces {

  sp-0/1/0 {

  services-options {

  inactivity-timeout 100;

  cgn-pic;   }

  unit 0 {

  family inet {

  address 10.77.1.1/32;

  }

  }

  unit 10 {

  family inet;

  service-domain inside;   }

  unit 20 {

  family inet;

  service-domain outside;   }

  }


ОПРЕДЕЛЕНИЕ SERVICE-SET ДЛЯ ИНТЕРФЕЙСОВ SP-0/0/0 И SP-0/1/0

  service-set SP_0_0_0 {

  nat-rule-sets SP_0_0_0;

  next-hop-service {

  inside-service-interface sp-0/0/0.10;   outside-service-interface sp-0/0/0.20;   }

  }

  service-set SP_0_1_0 {

  nat-rule-sets SP_0_1_0;

  next-hop-service {

  inside-service-interface sp-0/1/0.10;   outside-service-interface sp-0/1/0.20;   }

  }


НАСТРОЙКА NAT POOL

  nat {

  pool 172_16_96_0 {   address-range low 172.16.96.0 high 172.16.103.255;   port {   automatic {   }   secured-port-block-allocation block-size 20000 max-blocks-per-

address 1;   }   address-allocation round-robin;   }   }


НАСТРОЙКА NAT RULE

  rule SP_0_1_0_NAPT {

  match-direction input;

  term NAT {

  from {

  source-prefix-list {

  RFC6598-1;

}

  }

  then {

  translated {

  source-pool 172_16_104_0;

  translation-type {

  napt-44;

  }

  mapping-type endpoint-independent;

  filtering-type {

  endpoint-independent;

  }

  address-pooling paired;

  }

 

 

Technology

Настройка маршрутизаторов Juniper серии MX