Upload
skillfactory
View
4.568
Download
429
Embed Size (px)
DESCRIPTION
Андрей Пинаев – старший системный инженер компании Juniper Networks – о самых полезных функциях маршрутизаторов серии MX, а также об основных сценариях настройки на примере сети оператора и в сетях широкополосного доступа.
Citation preview
MX – УНИВЕРСАЛЬНАЯ ПЛАТФОРМА Пинаев Андрей [email protected]
3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
4 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
5 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Единая операционная система Junos Микросхемы собственной разработки 3D TRIO
Концепция универсальной границы
MX 10 MX 960 MX 480 MX 40 MX 80 MX 5 MX 240
80Гбит/с 60Гбит/с 40Гбит/с 20Гбит/с
MX 2010 MX 2020
4.8Тбит/с
2.8Тбит/c
1.4Тбит/c
8.8Тбит/c 5.3Тбит/c
2.6Тбит/с
1.6Тбит/с
Защита инвестиций
40Тбит/с 17Тбит/c
80Тбит/с 34Тбит/с
MX-СЕРИЯ ПРОИЗВОДИТЕЛЬНОСТЬ ОТ 20ГБИТ/C ДО 80ТБИТ/С
MX104
∧
6 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX-СЕРИЯ: MX960/480/240
MX-СЕРИЯ § MX960 § MX480 § MX240
Компоненты системы § Routing Engine (RE) § MPC/DPC § Switch Control Board (SCB) § Power § Fans
7 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX960: АППАРТНЫЕ ХАРАКТЕРИСТИКИ
14-и слотовое шасси
Габариты § Высота: 16RU (примерно 1/3 стойки) § Глубина: 800mm
Компоненты § Пассивный Mid-Plane § Резервируемые Routing Engines § Резервируемые фабрики коммутации (2+1) § Распределенная архитектура коммутации пакетов § Резервируемая вентиляторы и блоки питания
Особености системы охлаждения и питания § Обдув спереди назад § Два блока вентиляторов (1+1 резервирование) § 4 блока питания (2+2 DC, 2+2 AC)
Емкость § 2 слота для фабрик коммутации и RE § 1 слот двойного назначения( SCB/MPC) § 12 слотов для линейных карт § Производительность 8.8Тбит/с
SCB or DPC
SCB + RE
8 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX480 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ
SCB + RE
8-и слотовое шасси
Габариты § Высота: 8RU (примерно 1/6 стойки) § Глубина: 800mm
Компоненты § Пассивный Mid-Plane § Резервируемые Routing Engines § Резервируемые фабрики коммутации (1+1) § Распределенная архитектура коммутации пакетов § Резервируемая вентиляторы и блоки питания
Особености системы охлаждения и питания § Обдув боковой § 1 блока вентиляторов § 4 блока питания (2+2 DC, 2+2 AC)
Емкость § 2 слота для фабрик коммутации и RE § 6 слотов для линейных карт § Производительность 4.8Тбит/с
9 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX240 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ
SCB + RE
SCB or DPC
4-и слотовое шасси
Габариты § Высота: 5RU (примерно 1/6 стойки) § Глубина: 800mm
Компоненты § Пассивный Mid-Plane § Резервируемые Routing Engines § Резервируемые фабрики коммутации (1+1) § Распределенная архитектура коммутации пакетов § Резервируемая вентиляторы и блоки питания
Особености системы охлаждения и питания § Обдув боковой § 1 блока вентиляторов § 4 блока питания (2+2 DC, 2+2 AC)
Емкость § 2/1 слота для фабрик коммутации и RE § 2/3 слотов для линейных карт § Производительность 1.6Тбит/с
10 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX2020 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ
§ Производительность системы до 80Тбит/с
§ 20 слотов под линейные карты
§ 2Тбит/c на слот
§ Высота: 45RU
§ Поддержка всех существующих MPCs
§ Производительность фабрики – 860Гбит/c на слот
§ Компоненты системы § Резервируемая система питания § Резервируемые Routing Engines § Резервируемые фабрики коммутации § Распределенная архитектура коммутации пакетов
11 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX2010 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ
§ Производительность системы до 40Тбит/с
§ 10 слотов под линейные карты
§ 2Тбит/c на слот
§ Высота: 34RU
§ Поддержка всех существующих MPCs
§ Производительность фабрики – 860Гбит/c на слот
§ Компоненты системы § Резервируемая система питания § Резервируемые Routing Engines § Резервируемые фабрики коммутации § Распределенная архитектура коммутации пакетов
12 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX2020: CХЕМА ОХЛАЖДЕНИЯ § Две зоны охлаждения
§ Обдув спереди назад
Card Cage
Card Cage
Card Cage
Fan Tray 1/2
Exhaust Plenum
Fan Tray 3/4
Bottom Inlet Plenum
Airflow divider
Bottom Exhaust Plenum
Middle Inlet Plenum
Power Supply Cooling
13 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX2000 CB-RE
“RE-1800” as used in MX240/480/960
n Quad-‐core 1.73Ghz Intel Nehalem Processor
n 64-‐bit ready
n Symmetric MulA-‐processing ready
n 16G Memory
n Dual Solid State Drives
n Timing and Mgmt interfaces
n Air Diverter to isolate upper and lower cooling zones
14 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX20XX: ПИТАНИЕ
Power Zone 1
Power Zone 2
• Chassis is divided into 2 power zones • Top 10 slots belong to Zone 1 • BoOom 10 slots belong to Zone 2
• REs, SFBs and Fan trays connected to both zones • Uses power from one zone at a Ame
• AC & DC can’t be mixed • Unique PDM for AC and DC power
• A zone can fail without affecAng the other zone • Each zone has 9 Power Supply Modules (PSM)
• 8+1 redundancy model per zone • 18 total PSMs per MX2020 chassis • Each zone has 1 acAve Power DistribuAon Module (PDM)
• Second PDM for redundancy per zone • 9 DC feeds plug into one PDM not the PSM
• 9 more feeds for redundancy (1:1) • A 60A or 80A feed per PSM
• 2 AC feeds per AC PDM • 2 more AC feeds plug into backup PDM
• Feeds can be changed independent of the PSM
15 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX20XX: ФАБРИКА
SFB • MX2020/MX2010 specific Switch Fabric Board • Does not contain the control board, unlike MX960 • 8 total SFBs per chassis for both MX2020 & MX2010
Architecture • Always in 8+0 mode • Connects to adapter card on the I/O slots for shared MPCs
Capacity • 8+0 mode can support up to 860Gbps per line card slot
Redundancy • All SFBs are always used for 8+0 mode • If one SFB fails, fabric capacity is 750Gbps per I/O slot
16 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ИСПОЛЬЗОВАНИЕ СУЩЕСТВУЮЩИХ MPC: ЗАЩИТА ИНВЕСТИЦИЙ
MPC модуль
MPC АДАПТЕР • Адаптер для MPC’s
• Определется в конфигурации • Не требуется никакой настройки • Поддерживает все MPC’s
• Любая MPCs • Определется в конфигурации • Не требуется никакой настройки
17 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СВОДНАЯ ТАБЛИЦА ПО MX240/480/960/20XX
MX240 MX480 MX960 MX2010 MX2020
Максимальная производительность системы
1.6Тбит/c 4.8Тбит/c 8.8Тбит/c 40Тбит/c 80Тбит/c
Высота (RU) 6 8 16 34 45
Слоты 2 6 11 10 20
Производительность на слот* 240Гбит/c 240Гбит/c 240Гбит/c 860Гбит/c 860Гбит/c
Кол-во 100GE портов* 4 12 20 40 80
Кол-во 10GE портов* 64 192 336 320 640
Резервировние RE Да Да Да Да Да
Резервирование фабрики Да Да Да Да Да
Резервирование блоков питания Да - AC/DC Да - AC/DC Да - AC/DC Да – AC/DC Да – AC/DC
* Производительность и плотность портов на текущий момент
18 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX-СЕРИЯ: MX5/10/40/80/104 Высокопроизводительные Mid-Range маршрутизаторы
MX5: 5G Router § 20x1G
MX10: 10G Router § 20x1G & 1 Modular Slot
MX40: 40G Router § 2 Modular Slots & 2x10G
MX80: § 2 Modular Slots & 4x10G
MX104: § 4 Modular Slots & 4x10G
MX5
MX10
MX40
MX80
NE
W
MX80
MX104
19 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX5/10/40/80 КОМПЛЕКТАЦИЯ
Шасси Слот MIC0 Слот MIC1 10G порты
(0-3)
Слот для сервисного модуля
Производительно
сть
MX5 Доступен;
Предустановлен модуль MIC-3D-20GE-SFP
Заблокирован Порты
заблокированы Доступен 20 Гбит/с
MX10 Доступен;
Предустановлен модуль MIC-3D-20GE-SFP
Доступен; Возможно использование любых
MIC модулей
Порты заблокированы Доступен 40 Гбит/с
MX40 Возможно использование любых MIC модулей
Возможно использование любых
MIC модулей
2 из 4 портов доступны Доступен 60 Гбит/с
MX80 Возможно использование любых MIC модулей
Возможно использование любых
MIC модулей
Доступны 4 порта Доступен 80 Гбит/с
МХ80-48Т Фиксированная конфигурация – 48 x 10/100/1000Base-T портов
Доступны 4 порта Доступен 80 Гбит/с
20 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX104 – МАРШРУТИЗАТОР УРОВНЯ АГРЕГАЦИИ
Компактность и резервирование § TRIO chipset – 80G § Габариты: 17.5 in (W) x 3.5RU (H) x 9.5(D) § ETSI-300 compliant § Резервируемый RE § Резервируемые блоки питания AC/DC § Широкий рабочий диапазон -40C to +65C § Заменяемый блок вентиляторов
Синхронизации § BITS (T1/E1), 10MHz &1PPS and
ToD timing I/O interfaces § SyncE, SONET, PTP (Brilliant IP
integration) timing features
Модульная архитектура § Встроенные порты 4x10GE SFP+ LAN/
WAN § 4 слота под MICs ; ~20Гбит/с на слот § Поддержка сервисного MIC
21 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX104 MICs MIC TYPE MODEL
ETHERNET
MIC -3D 20GE-SFP MIC-3D-2XGE-XFP MIC-3D-40GE-TX MIC-3D-20GE-SFP-E [ MACSEC PHY, Timing PHY ] MIC-3D-20GE-SFP-EH [ Hardened, MACSEC PHY , Timing phy]
TDM/ATM/CE
MIC-3D-4CHOC3-2CHOC12 MIC-3D-4OC3OC12-1OC48 MIC-3D-8CHDS3-E3-B MIC-3D-8CHOC3-4CHOC12 MIC-3D-8DS3-E3 MIC-3D-8OC3-2OC12-ATM MIC-3D-4CHOC3-1OC12-CE-H MIC-3D-16CHE1-T1-CE MIC-3D-16CHE1-T1-CE-H MIC-3D-8OC3OC12-4OC48
22 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX104 ПРИМЕНЕНИЕ: MBH
• Компактное шасси
• Широкий рабочий диапазон
• Поддержка синхронизации
• Упращенный запуск
Лучшая платформа для MBH агрегации
RAN
Metro Transport
Providers
ACX
MX Portfolio
TCA8500
1588v2, SyncE
Mobile Core
3G/4G
MX104
ACX 3G/4G
3G/4G
Microwave
3G/4G
MBH Hub
23 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MX104 ПРИМЕНЕНИЕ: УНИВЕРСАЛЬНАЯ ГРАНИЦА
• TRIO чипсет
• RE резервирование
• Поддержка MPLS L2/L3 VPN and VPLS
• Гибкость в предоставлении IPv4 and
IPv6 сервисов
• Богатый выбор L4-L7 сервисов
• Интеллектуальная inline обработка
Расширенные возможности
Branch Office
Provider Edge
Corporate HQ
Corporate HQ Branch Office
Data Center
Data Center
Business Edge MX104
L2VPN
L3VPN
Access
Home
NG-CO
BNG/ Residential Edge
AAA
DHCP
MX104
Home
DSLAM
Metro Ethernet
Agg Router OLT
RT
24 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СВОДНАЯ ТАБЛИЦА ПО MX5/10/40/80/104
MX5 MX10 MX40 MX80 MX104
Максимальная производительность системы
20Гбит/с 40Гбит/с 60Гбит/с 80Гбит/с 80Гбит/c
Высота(RU) 2 2 2 2 3.5
Слоты 1 MIC 2 MIC 2 MIC 2 MIC 4 MIC
Производительность на слот*
20Гбит/с 40Гбит/с 60Гбит/с 80Гбит/с
80Гбит/с
Кол-во 10GE портов*
2 4 6 8 12
Резервировние RE
Нет Нет Нет Нет Да
Резервирование фабрики Нет Нет Нет Нет Нет
Резервирование блоков питания Да – AC/DC Да – AC/DC Да – AC/DC Да - AC/DC
Да - AC/DC
* Производительность и плотность портов на текущий момент
25 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
26 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Характеристики
n Производительность 130Гбит/с n Два слота под MIC n Модульная архитектура
Модульное исполнение
Новые MICs n 1x100GE CFP n 1x100GE CXP n 2x40GE QSFP n 10x10GE SFP+
Legacy MICs n 20x1GE SFP n 2x10GE XFP Not Supported n 4x10GE MIC
WAN Edge Services
Применение 130 GbE Card
Full MPLS Features
All MX Functionality
Модульная линейная карта MPC3E
ü
ü
ü
MPC3E - 100G MPC
Преимущества
n 4 млн. маршрутов n L3VPN и VPLS сервисы n Интеллектуальная inline обработка
27 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MPC4E – МОНОЛИТНАЯ 10G И 100G MPC
Производительность/функционал
Full Scale RouFng
Применение 260G MPC
VPLS, L3VPN, L2VPN
Service Rich
32x10GE SFPP ports
2x100G CFP + 8x10G SFPP ports
ü
ü
ü
Монолитное исполнение
Вариант 1 n 32x10GE SFP+ ports Вариант 2 n 2x100GE CFP & 8x10GE SFP+ ports
n До 260Гбит/с агрегированной пропускной способности n 240 Гбит/с на MX240/480/960 n 260 Гбит/с на MX2000
n Очереди на портах n Поддержка Synchronous Ethernet n Поддержка 1588v2
28 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
МУЛЬТИСЕРВИСНАЯ MPC – MS-MPC
§ XLP процессор § 4 NPU § Поддержка в MX240/480/960/20XX § Производительность до 32G § Сервисы SFW, NAT, J-FLOW, IPSec § RPM/TLB/HCM (Roadmap)
Сервисный блэйд для MX платформы
NG NPU
NG NPU
NG NPU
NG NPU
TRIO
29 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
§ XLP процессор § 1 NPU § Поддержка на MPC1 MPC2 и MPC3 § Поддержка на MX5/10/40/80/104 § Производительность до 9G § Сервисы SFW, NAT, J-FLOW, IPSec § RPM/TLB/HCM (Roadmap)
МУЛЬТИСЕРВИСНЫЙ MIC – MS-MIC
Сервисный блэйд для MX платформы
Service MIC
NG NPU
MPC/MX80
30 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
MPC Тип Производителность
Поддержка на MX960/480/240
Поддержка на MX2020/MX2010
MPC 1 & MPC2 (-Q/-EQ) 2 MIC slots (1GE,10GE MICs) 40 & 80 Гбит/c
2010
2013
16 x 10GE Fixed MPC 160 Гбит/c 2010 2013
MPC3 2 MIC slots (100GE, 40GE,
10GE MICs) 130 Гбит/c 2012 2013
MPC4 32 x 10GE Fixed MPC
2x100GE + 8x10GE Fixed MPC 260 Гбит/c 2013
2013
СВОДНАЯ ТАБЛИЦА MPC
31 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
32 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ JUNIPER NETWORKS
33 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Существующие инсталляции NAT § 6 крупных проектов на территории России § Самый крупный – 350 тыс. одновременных абонентов § Примерно 1млн. активных ШПД абонентов в России обслуживаются NAT-устройствами Juniper Networks
Технология развивалась на протяжении последних 8 лет § Широкий набор Application Layer Gateway § Балансировка нагрузки и отказоустойчивость § Масштабируемость § Поддержка DS-Lite, различных режимов NAT-traversal, распределения портов и протоколирования сессий
ОПЫТ JUNIPER NETWORKS
34 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Вид трансляции Описание NAT44 Трансляция 1:1, IPv4<->IPv4
NAPT44 Трансляция N:1, IPv4<->IPv4 NAPT64 Трансляция N:1, IPv4<->IPv6
Twice NAT, RFC 2663 Двойная трансляция, IPv4 <-> IPv4 NAT66 Трансляция 1:1, IPv6<->IPv6
NAPT66 Трансляция N:1, IPv6<->IPv6
Варианты NAT
35 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Функция Комментарий
Endpoint Independent Mapping Средство NAT-traversal, позволяющее абонентским системам функционировать в обход NAT. Паре адрес/порт назначается одна пара внешний адрес/порт для множества сессий.
Распределение портов с сохранением чётности, с сохранением диапазона
См. RFC 4787. Обеспечивает устойчивую работу голосовых приложений (семантика чётности портов для RTP/RTCP) и диапазона портов (порты из диапазона 0-1023 транслируются в порты из того же диапазона).
Ограничение на количество сессий на адрес источника
Возможность ограничить число сессий от одного абонента
Протоколирование сессий, syslog Протоколирование без влияния на производительность. Возможность протоколирования только начала сессии. Протоколирование распределения блока портов.
Блочное распределение портов Уменьшает количество событий для протоколирования.
Address Pooling Внешний адрес не меняется всё время активности абонента.
Распределение нагрузки между модулями
Гибкое выделение трафика и распределение нагрузки между модулями
ALG Порядка 20 ALG, среди них наиболее популярные: FTP, RTSP, PPTP
Средства NAT
Но одних функций недостаточно, нужно иметь хорошее решение
36 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Основные цели § Снижение стоимости решения
§ Резервирование элементов, выполняющих обработку пакетов по схеме N+1 (ценой stateful-failover)
§ Улучшение утилизации устройств § Простая интеграция в сеть
§ Масштабирование § Линейное масштабирование до сотен миллионов сессий § Минимум действий при перенастройке
ТРЕБОВАНИЯ К СОВРЕМЕННЫМ РЕШЕНИЯМ NAT
37 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СТРОИТЕЛЬНЫЙ МАТЕРИАЛ Маршрутизаторы MX240, MX480, MX960
Сервисная карта MS-DPC
Значение NAPT44(4) NAPT44(4) – блочное выделение портов
Всего потоков 17М 17М
Максимальная скорость установления потоков
600 тыс/сек 1,2 млн/сек
Пропускная способность (IMIX) 19 Гбит/c 19 Гбит/c
Число абонентов 8,5 М 8,5 М
Задержка 60 мкс 60 мкс
Влияние протоколирования на скорость создания новых потоков
Нет Нет
Время создания 4М потоков 7 секунд 7 секунд
Параметр MX240 MX480 MX960 Слотов 2+1 6 11+1
Пропускная способность 1,6 Тбит/c 4,8 ТБит/c 8,8 ТБит/c
Портов 10GE (на скорости канала) 48 144 256
38 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СТРОИТЕЛЬНЫЙ МАТЕРИАЛ(ПРОДОЛЖЕНИЕ)
Сервисная карта MS-MPC
Значение NAPT44(4) Всего потоков 120М
Пропускная способность (IMIX) 32 Гбит/c
Число абонентов 60М
Задержка 55 мкс
Сервисный MIC MS-MIC
Значение NAPT44(4) Всего потоков 14М
Пропускная способность (IMIX) 6 Гбит/c
Число абонентов 7М
Задержка 70 мкс
39 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
CPE
BNG
CPE
BNG Магистраль сети
MX
MX
MX
Интернет
Трафик поступает с PE/BNG устройств и
отправляется по одному маршруту по умолчанию в технологическом VRF
1 На MX фермы трафик расходится по трём
устройствам (за каждым закреплены свои адресные
блоки) через 6 технологических VRF (всего 6 разных пар active/backup)
2 На каждом из устройств в отдельности выполняется балансировка нагрузки между NPU MS-DPC (по адресу источника)
3
СХЕМ ОРГАНИЗАЦИИ СВЯЗИ, NAT-ФЕРМА ИЗ 3-Х И БОЛЕЕ УСТРОЙСТВ
Кстати, схему балансировки можно использовать не только для NAT, но и для других приложений.
40 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
[edit firewall filter flt-‐spray] term t00 { from { //5 последних бит – 00000 source-‐address 0.0.0.0/0.0.0.31; } then { routing-‐instance ri-‐r1_primary-‐r2_backup; } … term t31 { from { //5 последних бит – 11111 source-‐address 0.0.0.31/0.0.0.31; } then { routing-‐instance ri-‐r2_primary-‐r3_backup; }
Фильтром распределяется трафик между N * (N-1) = 6 технологическими VRF. Трафик выделяется по последним битам адреса. Фильтр меняется только с
увеличением числа устройств (N) в NAT-ферме – очень редко!
БАЛАНСИРОВКА НАГРУЗКИ МЕЖДУ УСТРОЙСТВАМИ
41 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
[edit routing-‐instances] apply-‐groups vrf-‐commmon; // R1 – основной, R2 -‐ запасной ri-‐r1_primary-‐r2_secondary { vrf-‐target target:100:101; routing-‐options {
static { route 0.0.0.0/0 next-‐hop [sp-‐1/3/0.1 sp-‐1/3/1.1]; }
} } // R1 – запасной, R2 -‐ основной ri-‐r2_primary-‐r1_secondary { vrf-‐target target:100:103; routing-‐options {
static { route 0.0.0.0/0 { next-‐hop [sp-‐1/3/0.1 sp-‐1/3/1.1]; no-‐readvertise; preference 180; } }
} } // R2 – основной, R3 -‐ запасной ri-‐r2_primary-‐r3_secondary {
vrf-‐target target:100:104; }
В таблице маршрутизации VRF всегда два маршрута по умолчанию – один от основного устройства, а другой от резервного.
Выбирается только один с лучшим preference – он определяет основное
устройство
ОДНО УСТРОЙСТВО ПОДМЕНЯЕТ ДРУГОЕ Настройка маршрутизатора R1
Список sp- интерфейсов, между которыми происходит балансировка в рамках одного устройства (хеш по
source-адресу – настраивается отдельно)
42 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРОТОКОЛИРОВАНИЕ АБОНЕНТСКИХ СЕССИЙ
43 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ИЗБИРАТЕЛЬНОЕ ПРОТОКОЛИРОВАНИЕ
regress@kevlar# show services service-‐set ss1 { syslog { host local; options { + session-‐open; + session-‐close; + packet-‐logs; + stateful-‐firewall-‐logs; + alg-‐logs; + nat-‐logs; + ids-‐logs; } } } }
§ Ограничение по числу сообщений в секунду § Выборочная отправка сообщений об открытии/закрытии сессии § Уменьшение объёма сообщений с 200 байт до 80 байт
44 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
НЕСКОЛЬКО СЛОВ О СТАНДАРТНОМ РАСПРЕДЕЛЕНИИ ПОРТОВ
Поведение по умолчанию – случайное распределение портов
Оценка: § Хорошая утилизация пула § Одна запись в журнале на сессию § Никаких проблем с безопасностью
Распределение портов (цвет обозначает абонента)
Высокий
Объём
протоколирования
Безопасность
Утилизация
пула
Низкий
45 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ При создании сессии, для абонента выделяется целый блок портов. Порт выбирается случайным образом из этого блока.
Последующие запросы на распределение порта обслуживаются из этого блока. Неактивные блоки (без занятых портов) освобождаются.
Записи генерируются только для события выделения и освобождения блока.
Оценка: § Можно подстраивать размер блока/степень безопасности/протоколирования
§ Сокращает существенно объём протоколирования
Высокий
Низкий
Объём
протоколирования
Безопасность
Утилизация
пула
Распределение портов (цвет обозначает абонента)
46 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ Параметры, которые можно менять
§ Размер блока
§ Число блоков на абонента § Для повышенной безопасности, таймаут распределения блоков
Блочное распределение работает для TCP/UDP/ICMP, как и обычный NAPT44.
ALG также поддерживаются
services { nat { pool pool1 { address-‐range low 32.32.32.1 high 32.32.32.32; port { automatic { random-‐allocation; } + block-‐allocation { + block-‐size 256; /* Min 64, Max 64512, default 128 */ + max-‐blocks-‐per-‐user 8; /* Max 2048, default 8 */ + active-‐block-‐timeout 300; /* 0(default), Min 120secs, Max MAX_UINT */ + } } address-‐allocation round-‐robin; } } }
Высокий
Низкий
Объём
протоколирования
Безопасность
Утилизация
пула
47 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРЕДСКАЗУЕМЫЙ NAT Алгоритмическое распределение IP-адресов и портов (блоков). Публичные IPv4-адреса и порты для заданного пользователя зафиксированы. Распределение портов выполняется из диапазона портов абонента.
Оценка: § Абоненты используют те же адреса всё время § Никакого протоколирования вовсе не требуется § Хуже утилизация портов (для неактивных пользователей также распределяются блоки)
§ При нехватке портов, нельзя распределить новый блок § Сложнее балансировка нагрузки
Распределение портов (цвет обозначает абонента)
Высокий
Низкий
Объём
протоколирования
Безопасность
Утилизация
пула
48 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
АРХИТЕКТУРА СЕТИ ШИРОКОПОЛОСНОГО ДОСТУПА
49 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СТАНДАРТИЗАЦИЯ, ОБЩАЯ АРХИТЕКТУРА СЕТИ
2003
2007
1999 TR-25
TR-59
TR-101
TR-156
Ethernet агрегация
ATM агрегация
2010 PON
BRAS
BRAS
BNG/ Video BNG
OLT
DSLAM/ MSAN VDSL
ADSL2+
ADSL
ADSL
ADSL
DSLAM
DSLAM
ONT
CPE
CPE
CPE
BNG/ Video BNG
ATM агрегация
ATM агрегация
Ethernet агрегация
Интернет
Интернет, QoS
Интернет Телефония Телевидение
Интернет Телефония Телевидение
50 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
КОМПОНЕНТЫ РЕШЕНИЯ И ИХ ФУНКЦИИ
OLT BNG ААА
Управление политиками
Магистраль оператора
ONT Ethernet агрегация
ONT (CPE)
L3-маршрутизация и/или L2-коммутация
[L3] NAT
[L3] IGMP PROXY
Восходящий QoS
OLT (УЗЕЛ ДОСТУПА)
Агрегация абонентских линий
Изоляция абонентов
Идентификация линии (C-VLAN, PPPoE IA или включение DHCP опции 82)
Многоадресная рассылка
Элементы нисходящего QoS (приоритезация)
BNG (BRAS)
Авторизация абонентов
Изоляция абонентов
Учёт трафика
Фильтрация
Обслуживание в соответствии с описанием услуги
Нисходящий QoS
Оптимизация многоадресной рассылки
УПРАВЛЕНИЕ ПОЛИТИКАМИ
Назначение политики обслуживания
Хранение информации о расположении абонента
Динамическое изменение политик обслуживания
Программные интерфейсы для приложений
Точка предоставления услуги
51 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Разбор идентификатора линии (Option 82, Intermediate Agent),
передача в сторону систем OSS/BSS
Защита от подделки MAC-адресов, IP, добавление идентификатора линии в
пакеты DHCP (Option 82) или PPPoE (Remote Circuit ID)
S-VLAN ПРОТИВ С-VLAN ВЫСОКОУРОВНЕВОЕ СРАВНЕНИЕ МОДЕЛЕЙ
BNG Коммутатор
1:N (S-VLAN)
Отображение абонентских линий в один VLAN
(Ethernet-коммутация)
Запрет коммутации трафика между абонентами (private VLAN)
ONT
Устройства сети доступа обеспечивают изоляцию и идентификацию
BNG Коммутатор
1:1 (C-VLAN)
Отображение абонентских линий в абонентские VLAN
(мультиплексирование)
Коммутация или мультиплексирование трафика
в пределах каждого VLAN
ONT
Сеть доступа – труба, без каких-либо функций
OLT
OLT
52 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
S-VLAN ПРОТИВ С-VLAN ВЫСОКОУРОВНЕВОЕ СРАВНЕНИЕ МОДЕЛЕЙ (ПРОДОЛЖЕНИЕ)
Характеристика С-VLAN (1:1) S-VLAN (1:N) Сложность изоляции трафика абонентов на устройствах доступа (OLT/коммутаторы)
Низкая Высокая (MAC-security, изоляция портов, DHCP
Snooping)
Взаимодействие между OLT и BRAS/BNG Отсутствует
Присутствует (Option 82 и PPPoE Intermediate Agent)
Идентификация абонентов По номеру VLAN + сегменту доступа По Option 82, remote circuit id
Применение операторами связи Обе модели достаточно распространены
Рекомендации Juniper Использовать 1:1 VLAN, если это возможно. При прочих равных условиях сеть доступа проще.
Проще внедрение новых услуг.
53 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
PPPOE ПРОТИВ DHCP ОСНОВНЫЕ ТЕХНОЛОГИИ ДОСТУПА Выбор технологии определяет способы авторизации, аутентификации, резервирования, многоадресной рассылки
Функция PPPoE IPoE Назначение адресов NCP DHCP
Авторизация Имя и пароль, CVLAN Remote Circuit ID
Option 82 CVLAN
Средства OAM Отлажены, наличие keepalive.
В процессе стандартизации. ForceRenew, IP Sessions
Wholesale-механизмы Отлажены. На основе L2TP.
В процессе стандартизации. Различные фирменные
методы (L2 и L3)
Оптимизация многоадресной рассылки в сети
доступа
Усложнена практическим отсутствием IGMP
Snooping для PPPoE на узлах доступа
Имеется. Требует IGMP Snooping на узлах доступа.
54 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ВАРИАНТЫ ПРОЕКТИРОВАНИЯ
Вопрос, проблема, задача Варианты решения
Расположение узлов предоставления услуг Централизованное или распределённое
Модель агрегации в сети доступа 1:1 VLAN (CVLAN) или 1:N VLAN (SVLAN)
Количество сервисных устройств Одно сервисное устройство или несколько сервисных устройств для доставки разных
услуг
Нисходящий QoS Полностью на BNG, включая многоадресную рассылку, или частично на устройстве доступа
Технология подключения абонентов PPPoE или IPoE
Высокая доступность предоставления услуги
Резервирование BNG (несколько вариантов), резервирование карт устройств, виртуальное
шасси
В сетях ШПД тысячи вариантов проектирования. Одинаковых сетей нет. Базовые вопросы с которыми нужно определиться:
55 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ФУНКЦИИ BRAS
Функция MX/JUNOS DHCP – доступ (Relay/Relay-proxy, Local-Server) Поддерживается
Динамические абонентские интерфейсы Поддерживается
Интеграция DHCP AAA (идентификация, учёт, RADIUS CoA) Поддерживается
DHCP L3 wholesale Поддерживается
Сервисный менеджер Параметризация профилей - поддерживается
Динамическая конфигурация (HQOS, Policy) Поддерживается
Автоконфигурирование VLAN с аутентификацией Поддерживается
Перехват трафика Поддерживается
DHCPv6PD, IPv4/IPv6oE двойной стек Поддерживается
PPP + AAA Поддерживается
L2TP LAC Поддерживается
L2TP LNS Поддерживается
IPv4/v6 двойной стек для PPP Поддерживается
56 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ФУНКЦИИ BRAS
Функция MX/JUNOS ISSU Поддерживается
Multicast (IGMPv2/v3, OIF-MAP,QOS-adjust, Bulk-stats, SSM-map) Поддерживается
Интеграция с SRC Поддерживается (Diameter)
DHCP ForceRenew Поддерживается
Масштабирование 128 тыс. и выше
Dynamic L2 Wholesale Поддерживается
Inter-LM active/backup Subscriber LAG DHCP – Поддерживается, PPP (в планах)
Inter-LM active/active N-way Subscriber LAG (в планах)
Stateful Inter-chassis redundancy Посредством виртуального шасси
Carrier grade NAT Поддерживается
Встроенный IDP/DPI Поддерживается
Встроенный видео-мониторинг Поддерживается
57 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS SUBSCRIBER MANAGEMENT ПРИНЦИПЫ РАБОТЫ
58 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
jdhcpd
§ Juniper DHCP Daemon новый процесс, которые отвечает за на MX-платформе за всю деятельность, связанную с функциями DHCP Local Server and DHCP Relay/Proxy
Функции поддерживаются для logical routers и routing instances. Только один процесс jdhcpd может быть запущен на шасси.
При перезапуске jdhcpd (командой ‘restart’ или в случае сбоя в работе демона) использует хранимую в виде файла таблицу активных dhcp-клиентов или active client leases.
При выполнение процедуры graceful shutdown, jdhcpd сохраняет текущий список «dhcp lease-ов» в отдельном файле на жестком диске и использует ее при последующем старте
JUNOS SUBSCRIBER MANAGEMENT ПРОГРАММНЫЕ КОМПОНЕНТЫ: JDHCPD
59 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
jpppd
§ Juniper ppp Daemon - отвечает за поддержку функций активации pppoe интерфейсов. Работает на платформах Juniper M/MX-серии требует использования определенного типа карт
JUNOS SUBSCRIBER MANAGEMENT ПРОГРАММНЫЕ КОМПОНЕНТЫ: JPPPD, AUTHTD
authtd § Juniper Authentication Daemon отвечает за все запросы, связанные с авторизацией, аутентификацией, сбором статистики, назначением IP-адреса на интерфейс подписчика. Начиная с релиза 9.6 добавлен компонент Juniper Session and Resource Control (JSRC), отвечающий за взаимодействие с SRC-PE по средством протокола Diameter.
Autoconfd § autoconfd – новый процесс в Junos, который обрабатывает на входе пакеты и генерирует внутренние запросы на через Subscriber Management Infrastructure (SMI) для создания новых интерфейсов на основе VLAN-tag и ethertype для : Inet; Inet6; pppoe
60 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
username-include { user-prefix DHCP_USER; delimiter "$"; mac-address; circuit-type; option-82 remote-id; option-60; domain-name juniper.net; }
УПРАВЛЕНИЕ ШПД ПОДПИСЧИКАМИ В JUNOS ИСПОЛЬЗОВАНИЕ RADIUS-А
CPE
Ethernet/L2VPN/VPLS Access Node
Applications/Content (Video, Voice,…)
SP MPLS Core
MX Series
DHCP/PPPoE
AAA server
Internet
Подписчики локальной сети Dynamic-profile Default (drop all, open-garden, redirect).
Dynamic-profile INET-SRVC (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Dynamic-profile APPL (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Dynamic-profile HQOS (‘$rates’, ‘$scheduler-map’)
Unisphere-Activate-Service-tag1 INET-SRVC (filter-in, filter-out) Unisphere-Activate-Service-tag2 APPL (filter-in, filter-out) Unisphere-Activate-Service-tag3 HQOS (shaper-rate-1)
Access-accept
Accounting Request (На сессию и на сервис)
Имя пользователя: DHCP_USER$0000.1000.0001$enet$ONU_#100:FTTH-1/[email protected] Сервис INET-SRVC (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Сервис APPL (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) профиль HQOS (‘$shaping-rate’)
Access-Request Назначение IP-адреса: local pool, local DHCP, Внешний DHCP relay
Demux0
Билинг
61 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
НОВАЯ СЕМАНТИКА CLI: DYNAMIC PROFILE, ACCESS PROFILE
Access Profile – правила Аутентификации, Авторизации и динамической настройки параметров
§ Посредством RADIUS
§ Динамическая настройка параметров интерфейса: – Firewall Filter – Service Set, Address, Routing Instance
§ Динамическая настройка параметров CoS: – Traffic Control Profile – Shaping Rates, Weights, Queue Parameters, ....
§ Динамическая настройка параметров протоколов: IGMP
Dynamic profile = Cервис (вкл/выкл) Определяет структуры сервиса и набор необходимых параметром
62 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
63 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ЛАБОРАТОРНАЯ СХЕМА
64 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ТИПОВАЯ НАСТРОЙКА ИНТЕРФЕЙСА МОДЕЛЬ 1:1 VLAN
interfaces { ge-1/0/1 { hierarchical-scheduler; flexible-vlan-tagging; auto-configure { stacked-vlan-ranges { dynamic-profile DVLAN { accept dhcp-v4; ranges { 10-10,10-1000; 1000-1000,10-1000; } }
access-profile RAUTH; }
remove-when-no-subscribers; } encapsulation flexible-ethernet-services; } }
65 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ТИПОВАЯ НАСТРОЙКА ИНТЕРФЕЙСА МОДЕЛЬ N:1 VLAN
interfaces { ge-1/0/1 { hierarchical-scheduler; flexible-vlan-tagging; unit 3000 { demux-source inet; vlan-id 3000; family inet { unnumbered-address lo0.0; } } encapsulation flexible-ethernet-services; } }
66 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ТИПОВАЯ НАСТРОЙКА АУТЕНТИФИКАЦИЯ
access { profile RAUTH { authentication-order radius; radius { authentication-server 172.30.53.11; options { nas-identifier chile_bras; } } radius-server { 172.30.53.11 { secret "$9$Ak3Ot1heK87dsWLZUiHmP1RE"; ## SECRET-DATA source-address 172.30.53.127; } } } }
67 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ТИПОВАЯ НАСТРОЙКА DHCP СЕРВЕР
dhcp-local-server {
pool-match-order {
ip-address-first;
}
group dvlan { authentication {
password test123;
username-include {
mac-address;
} }
dynamic-profile INET;
interface ge-1/0/1.0;
}
}
68 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ТИПОВАЯ НАСТРОЙКА DHCP POOL
access {
address-assignment {
pool DHCP1 {
family inet { network 172.18.0.0/23; range range1 { low 172.18.0.10;
high 172.18.1.253; } dhcp-attributes {
router { 172.18.1.254; }
} } }
}
}
69 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ТИПОВАЯ НАСТРОЙКА ДИНАМИЧЕСКИЙ ПРОФИЛЬ (1)
dynamic-profiles {
DVLAN {
interfaces {
"$junos-interface-ifd-name" { unit "$junos-interface-unit" { demux-source inet; proxy-arp unrestricted;
vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id"; family inet { unnumbered-address lo0.0; } } }
}
}
}
70 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПОВЕСТКА
ОБЗОР MX СЕРИИ
ОБНОВЛЕНИЯ
СЕРВИСЫ CGNAT/BRAS
ПРИМЕР НАСТРОЙКИ BRAS
ПРИМЕР НАСТРОЙКИ CGNAT
71 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
АКТИВАЦИЯ СЕРВИСНОГО ПАКЕТА ДЛЯ CGNAT
chassis {
fpc 0 {
pic 0 { adaptive-services { service-package layer-3; } }
pic 1 { adaptive-services { service-package layer-3; } } }
}
72 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
НАСТРОЙКА СЕРВИСНЫХ ИНТЕРФЕЙСОВ
interfaces {
sp-0/0/0 {
services-options {
inactivity-timeout 100;
cgn-pic; }
unit 0 {
family inet {
address 10.77.1.1/32;
}
}
unit 10 {
family inet;
service-domain inside; }
unit 20 {
family inet;
service-domain outside; }
}
interfaces {
sp-0/1/0 {
services-options {
inactivity-timeout 100;
cgn-pic; }
unit 0 {
family inet {
address 10.77.1.1/32;
}
}
unit 10 {
family inet;
service-domain inside; }
unit 20 {
family inet;
service-domain outside; }
}
73 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ОПРЕДЕЛЕНИЕ SERVICE-SET ДЛЯ ИНТЕРФЕЙСОВ SP-0/0/0 И SP-0/1/0
service-set SP_0_0_0 {
nat-rule-sets SP_0_0_0;
next-hop-service {
inside-service-interface sp-0/0/0.10; outside-service-interface sp-0/0/0.20; }
}
service-set SP_0_1_0 {
nat-rule-sets SP_0_1_0;
next-hop-service {
inside-service-interface sp-0/1/0.10; outside-service-interface sp-0/1/0.20; }
}
74 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
НАСТРОЙКА NAT POOL
nat {
pool 172_16_96_0 { address-range low 172.16.96.0 high 172.16.103.255; port { automatic { } secured-port-block-allocation block-size 20000 max-blocks-per-
address 1; } address-allocation round-robin; } }
75 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
НАСТРОЙКА NAT RULE
rule SP_0_1_0_NAPT {
match-direction input;
term NAT {
from {
source-prefix-list {
RFC6598-1;
}
}
then {
translated {
source-pool 172_16_104_0;
translation-type {
napt-44;
}
mapping-type endpoint-independent;
filtering-type {
endpoint-independent;
}
address-pooling paired;
}