SlideShare une entreprise Scribd logo

ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.

Cisco Russia
Cisco Russia
Technologie
1  sur  49
Télécharger pour lire hors ligne
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения Андрей Идлис Системный инженер-консультант
BNG функционал на ASR 9000 OSS / NMS Доступ к AAA Policy Транспортные услугам сервисы SLA MPLS L2 Ethernet H-QoS L2PE Multicast/MoF P2P, P2MP, MP2MP RR Security ASR 9000 IP, IP-VPN, Any-2-Any L3PE LSM User VidMon IOS XR® Redirection PPP Sessions PTA/LAC CGv6 GE 10GE IPoE Sessions IP/DHCP Video Caching 40GE 100GE System Security & Management & L2VPN & Routing & Lawful Intercept OAM Туннелирование MPLS
BNG интерфейсы являются частью EVC инфраструктуры EFP – Ethernet Flow Point EVC – Ethernet Virtual Circuit N:1 VLANs Ambiguous IP / PPPoE VLANS (1:1) L3 subI/F Multipoint EVC + EFP Interfaces Routing EoMPLS PW + L3 Interfaces Bridging VPLS EoMPLS PW + BNG Interfaces P2P EVC VLAN xlate EoMPLS PW 1:1, 2:2 на одном физическом 1:2 Bridging Multipoint EVC LC порту P2P EVC EFPs: VLAN (802.1q/802.1ad) EFPs: VLAN (802.1q/QinQ)
Сценарии применения PPP сессии IP сессии PTA IP–Layer2 Connected L3 fwd L3 fwd Розница internet internet .1Q,QnQ.1ad .1Q,QnQ.1ad IP IP Native IP, IP PPP … VRF Lite .1Q QnQ Native IP, Eth PPPoE MPLS Phy VRF Lite .1Q QnQ Eth MPLS VPNs MPLS Phy MPLS VPNS LAC IP–Layer2 Connected L2 brdg Retailer X VRF Услуги для других .1Q,QnQ.1ad Операторов (опт) .1Q,QnQ.1ad IP L2TP over: L3 fwd IP PPP Native IP, Retailer X VRF L2TP PPP IP/UDP VRF Lite PPPoE … MPLS VPNs .1Q,QnQ.1ad .1Q QnQ Eth Phy IP VRF Lite IP … MPLS VPNs .1Q QnQ IP VRF Lite L3 fwd Eth … MPLS VPNs Phy Retailer X VRF .1Q,QnQ.1ad PTA
Централизованная и Распределенная модели агрегации • Традиционная модель ШПД Централизованная модель агрегации FTTX GPON BNG/BRAS • Централизованная модель с Home MSAN ASR 9000 ASR 9000 несколькими сервисными VDSL Агрегация Распределение границами: BNG Aggregation Ядро • BNG для Интернета и (MPLS) голоса • Video Services router Video Services Router для Video и IP TV FTTX GPON Распределенная модель MSAN • BNG нового поколения Home ASR 9000 ASR 9000 VDSL BNG • Единая распределенная BNG Aggregation BNG сервисная граница Ядро (MPLS) • Больше полоса на абонента • Фокус на Triple-Play • Можно интегрировать кеширование видео (CDS) Video Caching
Единое граничное устройство Native IP, PPPoE VRF Lite internet MPLS MPLS VPNs IP wholesale (IP и PPP) Retailer X VRF VRF Lite MPLS VPNs IPoE Access Interface L2TP wholesale (только PPP) Physical Port Retailer X VRF Все модели ШПД агрегации одновременно поддерживаются на L2TP поверх: одном интерфейсе доступа IP, VRF Lite MPLS VPNs
Работа с абонентскими сессиями
Основные функции BNG На интерфейсе G0/1.10 подключено 3 абонента Создание виртуальной Идентификация конструкции – сессии абонента абонента G0/1.10 John Абоненты: John, Mike и Mike Ted. Аутентифицировать абонента Ted и назначить ему Аутентификация и John и Mike – John авторизация Интернет-доступ, Ted - индивидуальные политики абонента Mike VoIP сервис обслуживания Ted G0/1.10 10.1.1.10 John 10.1.1.20 Mike IP адреса абонентов: 10.1.1.30 Ted Управление IP 10.1.1.10 John Назначить каждому абоненту John 10.1.1.20 Mike уникальный адрес (возможно адресами Mike 10.1.1.30 Ted из разных пулов) Ted G0/1.10 Mike Динамическое изменение Динамическое John Включить управление услугу VoIP списка доступных услуг Mike для Mike политиками Ted G0/1.10
Динамическое применение политик pull push (например, автоматический запрос (например, «турбо кнопка») По событию из сервисного профиля при приложений установлении сессии) Subscriber Policy Layer Subscriber Policy Layer DHCP Web AAA AAA DHCP Web Policy AAA Server Portal Server Server Server Portal Server Server По событию в сети Guest Guest Portal Portal Open Garden Walled Garden Open Garden
Интерфейс с внешними системами Subscriber Policy Layer AAA Policy Web DHCP Server Server Portal Server Internet/Core Guest Video Portal Audio Servers Open Garden Walled Garden Протокол RADIUS для аутентификации абонентов и загрузки Policy описаний сервисов PULL Расширение протокола RADIUS (Change of Authorization, RFC Policy 3576). Открытый интерфейс для динамического изменения PUSH политик и сервисов
Инициация динамических сессий • Сессии инициируются по проявлению активности абонента – First Sign of Life (FSOL) • Для сессий разных типов возможны разные FSOL PPP сессии IP сессии DHCP Discover PPPoE Call Request (PADx)  Получение DHCP Discover сообщения  Session-start event  Трафик абонента идентифицируется по MAC адресу  BNG должен являться DHCP Proxy  DHCP proxy = DHCP relay который:  Получение PADR сообщения 1. создает и поддерживает DHCP bindings 2. «Притворяется» DHCP сервером для абонента  Session-start event  Трафик абонента идентифицируется по Unclassified MAC MAC + PPP session ID Data Traffic  Трафик абонента идентифицируется по MAC адресу  Нет средств мониторинга состояния сессии (нет DHCP обмена), завершение сессии должно быть через CoA или CLI или по idle-timeout
Динамическое создание VLAN Физический Родительский интерфейс интерфейс S-VLAN  Динамическое создание множества S-VLAN C-VLAN диапазон абонентских VLAN для 1:1 модели агрегации  Поддержка сценариев PPPoE и IPoE  VLAN создается при проявлении активности абонента - First Sign of Life (PPPoE PADI, DHCP Discover) Пример 1: interface Bundle-Ether100.10 encapsulation dot1q 100 second-dot1q any Пример 2: interface Bundle-Ether100.10 encapsulation dot1ad 100 dot1q 300-475
Аутентификация сессии Аутентификация: доступ к сетевым ресурсам предоставляется только легитимным абонентам Способы аутентификации: • Механизмы аутентификации, обеспечиваемые протоколом доступа: – PPP: CHAP/PAP • Transparent Auto Logon (TAL): – Аутентификация на основе идентификаторов, извлекаемых непосредственно из абонентского трафика, например: MAC/IP address, DHCP Option 82, DHCP Option60, C-VLAN/S-VLAN, PPPoE Tags... • Web Logon Аутентификация не является обязательной, но используется в подавляющем большинстве случаев
Transparent Auto Logon Шаг 1: Определяем формат username: aaa attribute format USERNAME_FORMAT format-string “%s:%s:%s@bng.cisco.com” remote-id circuit-id vendor-class-id Шаг 2: Указываем шаблон username, используемый для аутентификации <…> 20 authorize aaa list default format USERNAME_FORMAT password <pwd> <…> Источники информации для заполнения поля username: • DHCP Option 82 • DHCP Option 60 • PPPoE Tags (PPPoE Intermediate Agent) • Phy-slot • Phy-subslot • Phy-port • Outer-vlan-id • Inner-vlan-id
Двойная аутентификация сессии – double dip AAA сервер AAA сервер оптового оператора розничного оператора user profile: user profile: атрибуты, атрибуты, назначаемые назначаемые опт. розничным оператором оператором 2-ой Access Access-Accept: атрибуты сессии 1-ый Request Access-Accept: атрибуты сессии и назначение VRF Access Request Фильтрация RADIUS атрибутов и VSA для оператора X Сессия абонента Сеть розничного VRF розничного оператора Х оператора Х Объединение политик, полученных от обоих операторов
Web Logon: функция HTTP redirect Web Logon Internet Client Portal WebSite HTTP TCP SYN HTTP TCP SYN ACK HTTP TCP ACK HTTP GET HTTP 302 (redirect URL) HTTP session establishment Web Logon  BNG перехватывает TCP обмен при установке HTTP сессии абонента с веб-сайтом и устанавливает HTTP сессию с абонентом  BNG возвращает абоненту сообщение HTTP 302 (Redirect), содержащее URL портала оператора  Клиент устанавливает HTTP сессию напрямую с порталом
Завершение (разрыв) сессии Универсальные механизмы – IP и PPP сессии RADIUS PoD (Packet Of Disconnect) Policy Web Logoff Web Manager Portal RADIUS PoD RADIUS CoA Account-Logoff Только для PPP сессий Только для IP сессий События протоколов PPP и PPPoX DHCP ИЛИ DHCP DHCP – lease expiry ppp disconnect; ppp keepalives or L2TP DHCP Release иницииров hellos failure анные сессии
Как «рестартовать» IPoE сессию IPoE сессии инициируются ТОЛЬКО при получении DHCP discover Однако сессия может быть терминирована ранее истечения DHCP Lease: CoA Account-Logoff, PoD, CLI, перезагрузка шасси маршрутизатора … Трафик абонента будет сбрасываться, пока не начнется процесс переполучения IP адреса (до половины Lease Time) Вариант 1 Client DHCP Server DHCP Сервер работает с Уменьшить короткими Lease Time; Lease Time DHCP Response (Offer/ACK) повышенная нагрузка на на DHCP Lease Time = 10 minutes (например) DHCP сервер сервере DHCP renew exchange(s) DHCP Response (Offer/ACK) DHCP Сервер работает со Вариант 2 стандартными Lease Time Lease Time = 10 minutes Lease Time = 40 minutes DHCP Lease DHCP Proxy на BNG Proxy DHCP renew конвертирует их в exchange(s) короткие Lease Time для абонента
Политики (сервисы) для сессии абонента • Применяются к абонентской сессии associated unnumbered interface Установление MTU сессии Параметры PPP протокола (параметры NCP/LCP, методы аутентификации) Keepalives: PPP Keepalives Управление Timeouts: Idle (только помечает сессию, но не удаляет ее) сессией Absolute (только для PPP) QoS: MQC: HQoS, pQoS IGMP/QoS correlation (только для PPP) Traffic Access Loop overhead (только для PPP) Функции Conditioning Security: Per User ACLs uRPF Назначение IP адресов (PPP addr-pool, DHCP class) HTTP Redirection Traffic Forwarding ACL Based Forwarding (ABF) Control VRF mapping L2TP mapping (PPP only) Multicast replication in session (PPP only) PostPaid Traffic Accounting Interim Broadcast
Описание политик (сервисов) Место хранения Способ загрузки AAA Server 1  Необходимо активировать Premium  Конфигурируются HSI сервис RADIUS Access-request 2 Username: Premium_HSI специальные Сервисные  Сервисный профиль не Password: <service pwd> описан на BNG профили  Используются стандартные и  Сервис активируется 3 RADIUS Access-accept Vendor Specific RADIUS  Сервисный профиль Определение сервисного профиля кешируется, пока есть хоть одна атрибуты сессия с этим сервисом  Загрузка по мере 4 необходимости BNG  Профиль преднастраивается на самом BNG  Описание сервиса dynamic-template type { ppp | постоянно хранится в ipsubscriber | service } <name> конфигурации BNG
Управление сессий абонента - Control Policy Control policy-map События и условия Действия Условие 1 Действие 1 Событие 1 class type control Действие 2 event <event type> <name> <action policy-map type ....... control subscriber <match policy> ....... execution policy> еще условия Действия, привязанные к этому <name> событию и этим условиям Событие 2 + Условия ....... следующие события Применяется на Возможные типы событий: Набор действий для данного {события интерфейсе доступа  Session-start: старт новой сессии (PPPoE или IPoE) и условий} (в сторону абонентов)  Session-activate: стартовал LCP (PPPoE) Упорядоченный список действий:  Authentication/Authorization failure: отказ авторизации  do-all Управляет всем  do-until-failure жизненным циклом  Authentication/Authorization no response: нет ответа  do-until-success от Radius сервера сессии Варианты действий:  Service-stop: CoA запрос на отключение сервиса  Account-Logon: CoA запрос Account Logon  Activate: Применить сервис для сессии  Account-Logoff: CoA запрос Account Logoff  Deactivate: Отменить сервис для сессии  Timed-policy-expiry: Истечение ранее установленного  Authenticate/Authorize : Аутентифицировать таймера сессию (PPP CHAP/TAL)  Set-timer/Stop-timer: старт/стоп таймера  Disconnect: Разорвать сессию
Функции QoS
H-QoS для абонентской сессии 4 уровня иерархии Классы Порт Группа Абонент трафика абонентов абонента • Иерархический QoS для всех Per Subscriber QoS абонентов Policy • 8 очередей на абонента • Strict Priority очереди Subscriber 1 PQ1 VoIP BW Internet Premium • WRED BW Internet – Best Effort • 2R3C policers, иерархический полисинг • 4-х уровневый H-QOS Subscriber 2 PQ1 VoIP PQ2 Video • Priority очереди с функцией BW Internet – Best Effort priority propagation для качественной передачи голоса и видео с минимальными задержками и джиттером
4-уровневый QoS в модели N:1 VLAN L1=Port L2=VLAN L3=PPP/IP L4=Class (single/dual tag) Session Узел Доступа Per Per subscriber: subscriber: 3 x Strict Priority Q Shaper, BW, (level 1,2,3) + BRR 5x WFQs Конфигурация с помощью RADIUS dynamic-template Per VLAN: Multicast type ipsubscriber IPoE-with-QoS Shaper, BW классы service-policy [ input | output ] <MQC name> BRR Конфигурация с Конфигурация с помощью CLI помощью CLI
4-уровневый QoS в модели 1:1 VLAN L1=Port L2= L3=PPP/IP L4=Class S-VLAN Session Узел Доступа . . . . Per Per subscriber: subscriber: 3x Strict Priority Q – Shaper, BW, level 1,2,3 Per VLAN: BRR 5x WFQs Shaper, BW BRR Конфигурация с Конфигурация с помощью RADIUS помощью CLI dynamic-template Multicast type ipsubscriber IPoE-with-QoS классы service-policy [ input | output ] <MQC name> Конфигурация с помощью CLI
Параметризация QoS - pQoS MQC policy Policy Manager CoA request AVPair:”command:account-update AVPair:“ip:qos-policy-out=add-class(sub, (<class-list>), <qos- actions-list>) • Динамическое создание и модификация MQC политик для абонентских сессий  Создание MQC политик  Добавление/удаление MQC классов и actions в политике  class-map должен быть преднастроен на BNG • Работает через RADIUS  RADIUS CoA Account Update  RADIUS Access-Accept
IOS XR Функция Dynamic MQC policy merge 4.3.1 один или несколько классов AAA в каждом сервисе Активация сервисов по RADIUS policy-map VOICE Сервис class VOICE policy-map MERGED RADIUS Access-Accept VOICE priority 1 class VOICE или police 8k priority 1 RADIUS CoA Request police 8k Сервис VIDEO policy-map VIDEO class VIDEO priority 2 + class VIDEO priority 2 AvPair:subscriber:sa=<service name> police 256k Пример police 256k class HSI AvPair:subscriber:sa=VOICE policy-map HSI shape 1M Сервис class HSI class-default HSI shape 1M
IOS XR Функция Service Accounting 4.3.1 accounting service AAA Сервис policy-map VOICE class VOICE VOICE priority 1 policy-map MERGED class VOICE police 8k priority 1 accounting service police 8k Radius Accounting policy-map VIDEO class VIDEO service=VOICE Сервис VIDEO class VIDEO priority 2 + priority 2 police 256k bytes in/out packet in/out police 256k class HSI Radius Accounting shape 1M service=VIDEO accounting service bytes in/out Сервис policy-map HSI class-default packet in/out HSI class HSI Radius Accounting shape 1M service=HSI bytes in/out VOICE packet in/out VIDEO HSI
Функции безопасности
Функции безопасности • Unicast Reverse Path Forwarding (uRPF) • Необходимо контролировать IP Source Address при получении трафика от абонентов (входящий трафик) – Исходящий трафик относится к сессии на основе IP DA • IP SA трафика, полученного сессией, должен соответствовать назначенному для этой сессии IP адресу – PPPoE Sessions: MAC + PPP Session ID + IP – IP Sessions: MAC + IP dynamic-template type { ppp | ipsubscriber |service } <tmpl_name> ipv4 verify unicast source reachable-via rx • Списки ACL  ACL могут быть применены к сессии в обоих направлениях  L3 Only
ARP Security ARP Poisoning Protection ARP Cache (Gateway) IP=21.0.0.1 MAC=C • Badboy отправляет поддельные Valid IP assigned via ARP сообщения, чтобы DHCP binding table DHCP Узел доступа IP=21.0.0.2 MAC=A модифицировать ARP кэш BNG IP=21.0.0.3 MAC=B • ARP сообщения не приводят к IP-client_a IPoE Gateway MAC=A изменению ARP кэша BNG MAC=C IP=21.0.0.2 IP=21.0.0.1/24 – Но BNG, естественно, отвечает Goodgirl на ARP запросы абонентов Valid IP assigned via • BNG строит ARP кэш на основе DHCP информации DHCP Proxy binding table, а не ARP обмена с IP-client_b ARP request/ абонентами MAC=B Grat ARP: IP=21.0.0.3 IP=21.0.0.2 -> MAC=B • Попытка перехвата трафика не Badboy удалась
Защита плоскости управления BNG • Предотвращение dDOS атак –Первая ступень защиты: IOS XR Control Plane Protection • Защита на уровне определенного сетевого протокола –Вторая ступень защиты: Адаптивный CoPP • Интеллектуальная защита для протоколов установления/контроля абонентских сессий (DHCP, ARP, PPPoE Control Packets)
Адаптивный CoPP DHCP Control Plane • LPTS policing работает с общим трафиком (всех сессий)  Top Talkers (или Bad Actors) могут Protocol Policer негативно влиять на предоставление Нормальные DHCP Exhausted* сервиса остальным абонентам пакеты • Адаптивный CoPP определяет Bad Actors и полисит их трафик, позволяя Goodgirl нормальным абонентам получать сервис Атака на DHCP  Полисинг с учетом знания об абоненте Badboy
Адаптивный CoPP: как это работает PACKET dDOS DROPPED PROTOCOL POLICER Выделяет абонента PENALTY “RED” как BOX отправляющего слишком много control- plane пакетов, помечает его сессию как BAD PROTOCOL ACTOR POLICER Полученные INTERFACE L2 or L3 Punt Bad Actor Punt Path CLASSIFICATION Punts Policers Analyzer обработка пакеты PUNTED пакеты  Определяется поток (сессия), от которой поступает слишком много протокольных пакетов  dDOS protocol policer помечает абонента как Bad Actor и генерирует SYSLOG сообщение Если сессии с этим mac-адресом не существует, в TCAM программируется MAC Source Address как Bad Actor  NPU проверяет флаг Bad Actor при обработке пакетов, и для Bad Actor применяются более строгие полисеры – на определенное время (15 мин по умолчанию)
CGN и IPv6 функционал
Интеграция BNG и CGN функционала Входная ISM Выходная карта карта Inside Outside VRF VRF Interface Абоненты Public IPv4 Private IPv4 AppSVI ISM AppSVI VLAN • Интеграция BNG функционала с CGN функционалом ISM модуля • Carrier Grade NAT в соответствии со стандартами (RFC4787, RFC5382, RFC5508) • Производительность ISM модуля: 20M трансляций, 1M трансляций/сек, ~15Gbps трафика
IOS XR IPv6 и Dual-Stack сессии 4.3.0 • v4/v6 Dual Stack сессии • Единый VRF для V4 и V6 – Одна сессия абонента • Интеграция BNG и CGN функционала – Аутентификация выполняется один раз – ISM модуль для CGN функционала – Единый Accounting – NAT44 для V4 абонентов • Счетчики для V4 и V6 – NAT44 для V4 трафика Dual-Stack • Методы назначения v6 адресов абонентов – DHCPv6 Сервер – Поддержка DS-Lite AFTR для абонентов – DHCPv6 Proxy DS-Lite – DHCPv6 RADIUS proxy – DHCP v6 NA и PD • Поддержка функционала QoS, ACL, uRPF, … Сессия абонента Home V4 V4 CGN NAT44 Internet Сессия абонента V4/V6 V4/V6 Dual Stack V6 Сессия абонента Internet V6
IOS XR Сессия Dual Stack абонента 4.3.0 Абонент Dual AAA Аутентификация выполняется один Stack раз – при установке первой Address Family (AF) Запрос на установку сессии AF1 Access Request Access Accept Одно сообщение accounting start Сессия AF1 установлена Содержит framed address для IP address AF1 назначен Accounting Start установленной AF AF1 framed-address Accounting Interim (Periodic) Регулярный interim accounting включает Установка сессии AF2 AF1 packet/byte счетчики статистику по установленной AF IP address AF2 назначен Accounting Interim (Triggered) Отдельный interim accounting AF1 и AF2 framed address отправляется при установке второй AF AF1 packet/byte счетчик Содержит framed address для двух AF Accounting Interim (Periodic) AF1 и AF2 packet/byte счетчики Регулярный interim accounting включает статистику по двум AF Отдельные и суммарные счетчики
IOS XR Методы назначения IPv6 адресов 4.3.0 Назначение IPv6 адресации абоненту Управление IPv6 адресацией Единая сессия для DHCPv6 Сервер DHCPv6 PD DHCPv6 NA NA и PD адресов одного абонента с поддержкой PD stateless (PPPoE) Link Local stateful (PPPoE & IPoE) DHCPv6 PD SLAAC DHCPv6 proxy с поддержкой PD DHCPv6 NA DHCP SLAAC + Stateless DHCPv6 (PPPoE) DHCPv6 RADIUS proxy AAA с поддержкой PD SLAAC SLAAC + Stateless DHCPv6 (IPoE)
Резервирование и отказоустойчивость
Способы обеспечения отказоустойчивости • Отказоустойчивость внутри устройства BNG – Резервирование компонентов: RSP, блоки питания, вентиляция – SSO/ISSU – Резервирование интерфейсов подключения: Link Aggregation (LAG) • Резервирование на уровне устройств – Два независимых устройства (Stateless) – Кластер из двух устройств (Stateful)
Резервирование внутри устройства BNG AAA DHCP LAG VPN Сеть IP/MPS ядро доступа L2 Интернет • LAG (Bundle-Ethernet) • Выход из строя активного интерфейса – прозрачное переключение текущей сессии на оставшиеся интерфейсы • Для корректной работы механизмов QoS требуется модификация алгоритма балансировки на бандле: interface bundle-ether 1 bundle load-balancing hash dst-ip
Stateless резервирование: два шасси • Резервирование для PPPoE сессий в целом проще, чем для IPoE сессий • Дизайн обязательно должен обеспечивать «симметрию» трафика – трафик от абонента и к абоненту должен проходить через один и тот же BNG • Для переустановления сессии абонент должен отправить DHCP Discover! • Время переключения определяется величиной Lease Time • Абонент (как правило) не имеет средств мониторинга состояния IPoE сессии (в отличие от PPPoE) DHCP сервер или или DHCP NAK во время Address Истечение DHCP Renew и Lease Time Release Rediscover процедур Абонент
Кластер ASR 9000 nV как единое резервированное BNG устройство ASR 9000 BNG • Гео-резервирование Виртуальный Кластер • Dual Homing FTTX Кластер GPON • Работа как с одним шасси Home MSAN BNG • Stateful Failover VDSL • Active/active LAG в сторону Aggregation Core доступа и ядра (MPLS) BNG MSAN nxGE • Гео-резервирование VDSL ASR 9000 BNG Кластер и сателлит Виртуальный Кластер • Большая плотность 1GE портов Сателлит • Работа как с одним шасси (кластер Home BNG и сателлиты) • Сателлиты представлены как Aggregation (MPLS) Core линейные карты BNG • Простая топология, нет Spanning Tree
Масштабируемость
Требования к аппаратуре для поддержки BNG Шасси: ASR 9001, ASR 9006, ASR 9010 ASR 9922 (4.3.1) RSP: A9K-RSP440-SE Access Facing карты (BNG) Typhoon Service Edge карты: • A9K-24X10GE-SE • A9K-36X10GE-SE (4.3.1) • A9K-MOD80/160-SE с интерфейсами: • A9K-MPA-2x10GE • A9K-MPA-4x10GE • A9K-MPA-20x1GE Core Facing карты (Uplink) Любая линейная карта Поддержка технологии nV (кластер) Да Поддержка технологии nV (сателлит) Да (4.3.0)
Параметры масштабирования Сегодня:  64 000 сессий на шасси (для ASR 9001 32 000 сессий)  64 000 сессий на LC  Скорость установки сессий: 100-300 сессий в секунду Планы на будущее:  128 000 сессий на шасси ASR 9006/9010 (4.3.0)  192 000 сессий на шасси ASR 9006/9010 (4.3.1)
Также рекомендуем посетить • ASR 9000 nV технология - кластеры и сателлиты • Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети • Реализация технологии “Операторский NAT” в продуктах Cisco • Открытая дискуссия по технологиям для операторов связи – 21 ноября, среда, 18 часов, Конгресс-зал Правый – Готовьте свои вопросы! • Демо-стенд «Решения для операторов связи» (демо-зона, комната 5) – ASR 9000 с интерфейсами 100GigabitEthernet – Технология сетевой виртуализации ASR 9000 nV – Carrier Grade v6 на базе маршрутизатора Cisco ASR 9000 с модулем ISM – И многое другое!
Спасибо! Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/quest Ваше мнение очень важно для нас!

Recommandé

ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения
ASR 9000 как высокопроизводительный BNG: функционал и сценарии примененияASR 9000 как высокопроизводительный BNG: функционал и сценарии применения
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения
Cisco Russia
 
Новейшие разработки в области технологий L2VPN.
Новейшие разработки в области технологий L2VPN.Новейшие разработки в области технологий L2VPN.
Новейшие разработки в области технологий L2VPN.
Cisco Russia
 
Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Обеспечение отказоустойчивости в сетях Carrier Ethernet. Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Cisco Russia
 
Универсальный Сisco IP NGN транспорт в сетях операторов мобильной и фиксирова...
Универсальный Сisco IP NGN транспорт в сетях операторов мобильной и фиксирова...Универсальный Сisco IP NGN транспорт в сетях операторов мобильной и фиксирова...
Универсальный Сisco IP NGN транспорт в сетях операторов мобильной и фиксирова...
Cisco Russia
 
Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети.
Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети. Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети.
Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети.
Cisco Russia
 
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Cisco Russia
 
Использование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видеоИспользование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видео
Cisco Russia
 
Как использовать LISP в кампусных сетях?
Как использовать LISP в кампусных сетях?Как использовать LISP в кампусных сетях?
Как использовать LISP в кампусных сетях?
Cisco Russia
 

Recommandé

ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения
ASR 9000 как высокопроизводительный BNG: функционал и сценарии примененияASR 9000 как высокопроизводительный BNG: функционал и сценарии применения
ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения
Cisco Russia
 
Новейшие разработки в области технологий L2VPN.
Новейшие разработки в области технологий L2VPN.Новейшие разработки в области технологий L2VPN.
Новейшие разработки в области технологий L2VPN.
Cisco Russia
 
Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Обеспечение отказоустойчивости в сетях Carrier Ethernet. Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Обеспечение отказоустойчивости в сетях Carrier Ethernet.
Cisco Russia
 
Универсальный Сisco IP NGN транспорт в сетях операторов мобильной и фиксирова...
Универсальный Сisco IP NGN транспорт в сетях операторов мобильной и фиксирова...Универсальный Сisco IP NGN транспорт в сетях операторов мобильной и фиксирова...
Универсальный Сisco IP NGN транспорт в сетях операторов мобильной и фиксирова...
Cisco Russia
 
Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети.
Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети. Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети.
Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети.
Cisco Russia
 
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возмо...
Cisco Russia
 
Использование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видеоИспользование ASR9000 в решениях по передаче видео
Использование ASR9000 в решениях по передаче видео
Cisco Russia
 
Как использовать LISP в кампусных сетях?
Как использовать LISP в кампусных сетях?Как использовать LISP в кампусных сетях?
Как использовать LISP в кампусных сетях?
Cisco Russia
 
Подробный технический обзор коммутаторов Cisco ME3800X/3600X
Подробный технический обзор коммутаторов Cisco ME3800X/3600XПодробный технический обзор коммутаторов Cisco ME3800X/3600X
Подробный технический обзор коммутаторов Cisco ME3800X/3600X
Cisco Russia
 
Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.
Cisco Russia
 
Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения. Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения.
Cisco Russia
 
MPLS для чайников: основы технологии провайдеров и операторов связи
MPLS для чайников: основы технологии провайдеров и операторов связиMPLS для чайников: основы технологии провайдеров и операторов связи
MPLS для чайников: основы технологии провайдеров и операторов связи
SkillFactory
 
Resiliency (EAPS, ERPS, M-LAG)
Resiliency (EAPS, ERPS, M-LAG)Resiliency (EAPS, ERPS, M-LAG)
Resiliency (EAPS, ERPS, M-LAG)
MUK Extreme
 
Решения Cisco для оптического транспорта
Решения Cisco для оптического транспортаРешения Cisco для оптического транспорта
Решения Cisco для оптического транспорта
Cisco Russia
 
Cisco ONS 15454 MSTP. Обзор нового функционала.
Cisco ONS 15454 MSTP. Обзор нового функционала. Cisco ONS 15454 MSTP. Обзор нового функционала.
Cisco ONS 15454 MSTP. Обзор нового функционала.
Cisco Russia
 
Архитектура Segment Routing
Архитектура Segment RoutingАрхитектура Segment Routing
Архитектура Segment Routing
Cisco Russia
 
Segment Routing: фундамент для построения сетей SDN
Segment Routing: фундамент для построения сетей SDNSegment Routing: фундамент для построения сетей SDN
Segment Routing: фундамент для построения сетей SDN
Cisco Russia
 
Обзор и новые возможности архитектуры CisconLight. Платформа NCS 2000
Обзор и новые возможности архитектуры CisconLight. Платформа NCS 2000Обзор и новые возможности архитектуры CisconLight. Платформа NCS 2000
Обзор и новые возможности архитектуры CisconLight. Платформа NCS 2000
Cisco Russia
 
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Cisco Russia
 
DWDM инфраструктура для сети следующего поколения.
DWDM инфраструктура для сети следующего поколения. DWDM инфраструктура для сети следующего поколения.
DWDM инфраструктура для сети следующего поколения.
Cisco Russia
 
Мобильные сети и что-то там еще...
Мобильные сети и что-то там еще...Мобильные сети и что-то там еще...
Мобильные сети и что-то там еще...
BerikU
 
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДПринципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
Cisco Russia
 
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
Cisco Russia
 
Новое поколение 100G DWDM-систем
Новое поколение 100G DWDM-системНовое поколение 100G DWDM-систем
Новое поколение 100G DWDM-систем
t8russia
 
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems. Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Cisco Russia
 
Построение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДПостроение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОД
Cisco Russia
 
Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco. Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco.
Cisco Russia
 
Обзор продуктов Unified Access
Обзор продуктов Unified AccessОбзор продуктов Unified Access
Обзор продуктов Unified Access
Cisco Russia
 
Новые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNGНовые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNG
Cisco Russia
 
Subscriber Traffic & Policy Management (BNG) on the ASR9000 & ASR1000
Subscriber Traffic & Policy Management (BNG) on the ASR9000 & ASR1000Subscriber Traffic & Policy Management (BNG) on the ASR9000 & ASR1000
Subscriber Traffic & Policy Management (BNG) on the ASR9000 & ASR1000
Cisco Canada
 

Contenu connexe

Tendances

Подробный технический обзор коммутаторов Cisco ME3800X/3600X
Подробный технический обзор коммутаторов Cisco ME3800X/3600XПодробный технический обзор коммутаторов Cisco ME3800X/3600X
Подробный технический обзор коммутаторов Cisco ME3800X/3600X
Cisco Russia
 
Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.
Cisco Russia
 
Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения. Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения.
Cisco Russia
 
Resiliency (EAPS, ERPS, M-LAG)
Resiliency (EAPS, ERPS, M-LAG)Resiliency (EAPS, ERPS, M-LAG)
Resiliency (EAPS, ERPS, M-LAG)
MUK Extreme
 
Решения Cisco для оптического транспорта
Решения Cisco для оптического транспортаРешения Cisco для оптического транспорта
Решения Cisco для оптического транспорта
Cisco Russia
 
Cisco ONS 15454 MSTP. Обзор нового функционала.
Cisco ONS 15454 MSTP. Обзор нового функционала. Cisco ONS 15454 MSTP. Обзор нового функционала.
Cisco ONS 15454 MSTP. Обзор нового функционала.
Cisco Russia
 
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Cisco Russia
 
DWDM инфраструктура для сети следующего поколения.
DWDM инфраструктура для сети следующего поколения. DWDM инфраструктура для сети следующего поколения.
DWDM инфраструктура для сети следующего поколения.
Cisco Russia
 
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДПринципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
Cisco Russia
 
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
Cisco Russia
 
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems. Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Cisco Russia
 
Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco. Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco.
Cisco Russia
 
Обзор продуктов Unified Access
Обзор продуктов Unified AccessОбзор продуктов Unified Access
Обзор продуктов Unified Access
Cisco Russia
 

Tendances (20)

Подробный технический обзор коммутаторов Cisco ME3800X/3600X
Подробный технический обзор коммутаторов Cisco ME3800X/3600XПодробный технический обзор коммутаторов Cisco ME3800X/3600X
Подробный технический обзор коммутаторов Cisco ME3800X/3600X
 
Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.Связь распределённых ЦОД с использованием OTV и LISP.
Связь распределённых ЦОД с использованием OTV и LISP.
 
Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения. Преимущества интеграции IP + Optical. Демонстрация решения.
Преимущества интеграции IP + Optical. Демонстрация решения.
 
MPLS для чайников: основы технологии провайдеров и операторов связи
MPLS для чайников: основы технологии провайдеров и операторов связиMPLS для чайников: основы технологии провайдеров и операторов связи
MPLS для чайников: основы технологии провайдеров и операторов связи
 
Resiliency (EAPS, ERPS, M-LAG)
Resiliency (EAPS, ERPS, M-LAG)Resiliency (EAPS, ERPS, M-LAG)
Resiliency (EAPS, ERPS, M-LAG)
 
Решения Cisco для оптического транспорта
Решения Cisco для оптического транспортаРешения Cisco для оптического транспорта
Решения Cisco для оптического транспорта
 
Cisco ONS 15454 MSTP. Обзор нового функционала.
Cisco ONS 15454 MSTP. Обзор нового функционала. Cisco ONS 15454 MSTP. Обзор нового функционала.
Cisco ONS 15454 MSTP. Обзор нового функционала.
 
Архитектура Segment Routing
Архитектура Segment RoutingАрхитектура Segment Routing
Архитектура Segment Routing
 
Segment Routing: фундамент для построения сетей SDN
Segment Routing: фундамент для построения сетей SDNSegment Routing: фундамент для построения сетей SDN
Segment Routing: фундамент для построения сетей SDN
 
Обзор и новые возможности архитектуры CisconLight. Платформа NCS 2000
Обзор и новые возможности архитектуры CisconLight. Платформа NCS 2000Обзор и новые возможности архитектуры CisconLight. Платформа NCS 2000
Обзор и новые возможности архитектуры CisconLight. Платформа NCS 2000
 
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
 
DWDM инфраструктура для сети следующего поколения.
DWDM инфраструктура для сети следующего поколения. DWDM инфраструктура для сети следующего поколения.
DWDM инфраструктура для сети следующего поколения.
 
Мобильные сети и что-то там еще...
Мобильные сети и что-то там еще...Мобильные сети и что-то там еще...
Мобильные сети и что-то там еще...
 
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДПринципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
 
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
Гибкие перестраиваемые узлы ввода- вывода нового поколения – Cisco nLight ROADM
 
Новое поколение 100G DWDM-систем
Новое поколение 100G DWDM-системНовое поколение 100G DWDM-систем
Новое поколение 100G DWDM-систем
 
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems. Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
 
Построение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДПостроение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОД
 
Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco. Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco.
 
Обзор продуктов Unified Access
Обзор продуктов Unified AccessОбзор продуктов Unified Access
Обзор продуктов Unified Access
 

En vedette

Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовВиртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Cisco Russia
 
Juniper scalable NAT-solution
Juniper scalable NAT-solutionJuniper scalable NAT-solution
Juniper scalable NAT-solution
Sergii Liventsev
 

En vedette (8)

Новые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNGНовые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNG
 
Subscriber Traffic & Policy Management (BNG) on the ASR9000 & ASR1000
Subscriber Traffic & Policy Management (BNG) on the ASR9000 & ASR1000Subscriber Traffic & Policy Management (BNG) on the ASR9000 & ASR1000
Subscriber Traffic & Policy Management (BNG) on the ASR9000 & ASR1000
 
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовВиртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
 
Развитие платформы Cisco ASR 9000
Развитие платформы Cisco ASR 9000Развитие платформы Cisco ASR 9000
Развитие платформы Cisco ASR 9000
 
Настройка маршрутизаторов Juniper серии MX
Настройка маршрутизаторов Juniper серии MXНастройка маршрутизаторов Juniper серии MX
Настройка маршрутизаторов Juniper серии MX
 
Вопросы балансировки трафика
Вопросы балансировки трафикаВопросы балансировки трафика
Вопросы балансировки трафика
 
Linkmeup
LinkmeupLinkmeup
Linkmeup
 
Juniper scalable NAT-solution
Juniper scalable NAT-solutionJuniper scalable NAT-solution
Juniper scalable NAT-solution
 

Similaire à ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.

Технология ASR 9000 nV — кластеры и сателлиты.
Технология ASR 9000 nV — кластеры и сателлиты. Технология ASR 9000 nV — кластеры и сателлиты.
Технология ASR 9000 nV — кластеры и сателлиты.
Cisco Russia
 
Повышение отказоустойчивости решения при проектировании распределенных сетей ...
Повышение отказоустойчивости решения при проектировании распределенных сетей ...Повышение отказоустойчивости решения при проектировании распределенных сетей ...
Повышение отказоустойчивости решения при проектировании распределенных сетей ...
Cisco Russia
 
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности. Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Cisco Russia
 
Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи. Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Cisco Russia
 
Построение ЦОД небольшой организации.
Построение ЦОД небольшой организации. Построение ЦОД небольшой организации.
Построение ЦОД небольшой организации.
Cisco Russia
 
Солидекс ПИ - ЦОДы
Солидекс ПИ - ЦОДыСолидекс ПИ - ЦОДы
Солидекс ПИ - ЦОДы
Sergey Polazhenko
 
ASR 9000 для распределенных ЦОД
ASR 9000 для распределенных ЦОДASR 9000 для распределенных ЦОД
ASR 9000 для распределенных ЦОД
Cisco Russia
 
Использование маршрутизаторов ASR1000 в корпоративных сетях связи.
Использование маршрутизаторов ASR1000 в корпоративных сетях связи. Использование маршрутизаторов ASR1000 в корпоративных сетях связи.
Использование маршрутизаторов ASR1000 в корпоративных сетях связи.
Cisco Russia
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Ontico
 

Similaire à ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения. (20)

Технология ASR 9000 nV — кластеры и сателлиты.
Технология ASR 9000 nV — кластеры и сателлиты. Технология ASR 9000 nV — кластеры и сателлиты.
Технология ASR 9000 nV — кластеры и сателлиты.
 
Обзор продуктов и решений Avaya
Обзор продуктов и решений AvayaОбзор продуктов и решений Avaya
Обзор продуктов и решений Avaya
 
Оверлейные сети ЦОД Технологии VXLAN и EVPN
Оверлейные сети ЦОД Технологии VXLAN и EVPN Оверлейные сети ЦОД Технологии VXLAN и EVPN
Оверлейные сети ЦОД Технологии VXLAN и EVPN
 
Juniper for Enterprise
Juniper for EnterpriseJuniper for Enterprise
Juniper for Enterprise
 
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile BackhaulАрхитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
 
Повышение отказоустойчивости решения при проектировании распределенных сетей ...
Повышение отказоустойчивости решения при проектировании распределенных сетей ...Повышение отказоустойчивости решения при проектировании распределенных сетей ...
Повышение отказоустойчивости решения при проектировании распределенных сетей ...
 
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности. Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
 
Basics of routing & switching: RIP, OSPF
Basics of routing & switching: RIP, OSPFBasics of routing & switching: RIP, OSPF
Basics of routing & switching: RIP, OSPF
 
Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи. Конвергенция пакетной и транспортной инфраструктуры оператора связи.
Конвергенция пакетной и транспортной инфраструктуры оператора связи.
 
Связь территориально- распределенных ЦОД
Связь территориально- распределенных ЦОДСвязь территориально- распределенных ЦОД
Связь территориально- распределенных ЦОД
 
SMPLS\ACX
SMPLS\ACX SMPLS\ACX
SMPLS\ACX
 
Построение ЦОД небольшой организации.
Построение ЦОД небольшой организации. Построение ЦОД небольшой организации.
Построение ЦОД небольшой организации.
 
Virtual Ethernet On Power Rus
Virtual Ethernet On Power RusVirtual Ethernet On Power Rus
Virtual Ethernet On Power Rus
 
Солидекс ПИ - ЦОДы
Солидекс ПИ - ЦОДыСолидекс ПИ - ЦОДы
Солидекс ПИ - ЦОДы
 
ASR 9000 для распределенных ЦОД
ASR 9000 для распределенных ЦОДASR 9000 для распределенных ЦОД
ASR 9000 для распределенных ЦОД
 
Использование маршрутизаторов ASR1000 в корпоративных сетях связи.
Использование маршрутизаторов ASR1000 в корпоративных сетях связи. Использование маршрутизаторов ASR1000 в корпоративных сетях связи.
Использование маршрутизаторов ASR1000 в корпоративных сетях связи.
 
Архитектура Метафабрика. Универсальный шлюз SDN.
Архитектура Метафабрика. Универсальный шлюз SDN.Архитектура Метафабрика. Универсальный шлюз SDN.
Архитектура Метафабрика. Универсальный шлюз SDN.
 
Eltex xPON
Eltex xPONEltex xPON
Eltex xPON
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
 
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
Построение катастрофоустойчивых и распределённых ЦОД (часть 2). Объединение с...
 

Plus de Cisco Russia

Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 

Plus de Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения.

  • 1. ASR 9000 как высокопроизводительный BNG: функционал и сценарии применения Андрей Идлис Системный инженер-консультант
  • 2. BNG функционал на ASR 9000 OSS / NMS Доступ к AAA Policy Транспортные услугам сервисы SLA MPLS L2 Ethernet H-QoS L2PE Multicast/MoF P2P, P2MP, MP2MP RR Security ASR 9000 IP, IP-VPN, Any-2-Any L3PE LSM User VidMon IOS XR® Redirection PPP Sessions PTA/LAC CGv6 GE 10GE IPoE Sessions IP/DHCP Video Caching 40GE 100GE System Security & Management & L2VPN & Routing & Lawful Intercept OAM Туннелирование MPLS
  • 3. BNG интерфейсы являются частью EVC инфраструктуры EFP – Ethernet Flow Point EVC – Ethernet Virtual Circuit N:1 VLANs Ambiguous IP / PPPoE VLANS (1:1) L3 subI/F Multipoint EVC + EFP Interfaces Routing EoMPLS PW + L3 Interfaces Bridging VPLS EoMPLS PW + BNG Interfaces P2P EVC VLAN xlate EoMPLS PW 1:1, 2:2 на одном физическом 1:2 Bridging Multipoint EVC LC порту P2P EVC EFPs: VLAN (802.1q/802.1ad) EFPs: VLAN (802.1q/QinQ)
  • 4. Сценарии применения PPP сессии IP сессии PTA IP–Layer2 Connected L3 fwd L3 fwd Розница internet internet .1Q,QnQ.1ad .1Q,QnQ.1ad IP IP Native IP, IP PPP … VRF Lite .1Q QnQ Native IP, Eth PPPoE MPLS Phy VRF Lite .1Q QnQ Eth MPLS VPNs MPLS Phy MPLS VPNS LAC IP–Layer2 Connected L2 brdg Retailer X VRF Услуги для других .1Q,QnQ.1ad Операторов (опт) .1Q,QnQ.1ad IP L2TP over: L3 fwd IP PPP Native IP, Retailer X VRF L2TP PPP IP/UDP VRF Lite PPPoE … MPLS VPNs .1Q,QnQ.1ad .1Q QnQ Eth Phy IP VRF Lite IP … MPLS VPNs .1Q QnQ IP VRF Lite L3 fwd Eth … MPLS VPNs Phy Retailer X VRF .1Q,QnQ.1ad PTA
  • 5. Централизованная и Распределенная модели агрегации • Традиционная модель ШПД Централизованная модель агрегации FTTX GPON BNG/BRAS • Централизованная модель с Home MSAN ASR 9000 ASR 9000 несколькими сервисными VDSL Агрегация Распределение границами: BNG Aggregation Ядро • BNG для Интернета и (MPLS) голоса • Video Services router Video Services Router для Video и IP TV FTTX GPON Распределенная модель MSAN • BNG нового поколения Home ASR 9000 ASR 9000 VDSL BNG • Единая распределенная BNG Aggregation BNG сервисная граница Ядро (MPLS) • Больше полоса на абонента • Фокус на Triple-Play • Можно интегрировать кеширование видео (CDS) Video Caching
  • 6. Единое граничное устройство Native IP, PPPoE VRF Lite internet MPLS MPLS VPNs IP wholesale (IP и PPP) Retailer X VRF VRF Lite MPLS VPNs IPoE Access Interface L2TP wholesale (только PPP) Physical Port Retailer X VRF Все модели ШПД агрегации одновременно поддерживаются на L2TP поверх: одном интерфейсе доступа IP, VRF Lite MPLS VPNs
  • 8. Основные функции BNG На интерфейсе G0/1.10 подключено 3 абонента Создание виртуальной Идентификация конструкции – сессии абонента абонента G0/1.10 John Абоненты: John, Mike и Mike Ted. Аутентифицировать абонента Ted и назначить ему Аутентификация и John и Mike – John авторизация Интернет-доступ, Ted - индивидуальные политики абонента Mike VoIP сервис обслуживания Ted G0/1.10 10.1.1.10 John 10.1.1.20 Mike IP адреса абонентов: 10.1.1.30 Ted Управление IP 10.1.1.10 John Назначить каждому абоненту John 10.1.1.20 Mike уникальный адрес (возможно адресами Mike 10.1.1.30 Ted из разных пулов) Ted G0/1.10 Mike Динамическое изменение Динамическое John Включить управление услугу VoIP списка доступных услуг Mike для Mike политиками Ted G0/1.10
  • 9. Динамическое применение политик pull push (например, автоматический запрос (например, «турбо кнопка») По событию из сервисного профиля при приложений установлении сессии) Subscriber Policy Layer Subscriber Policy Layer DHCP Web AAA AAA DHCP Web Policy AAA Server Portal Server Server Server Portal Server Server По событию в сети Guest Guest Portal Portal Open Garden Walled Garden Open Garden
  • 10. Интерфейс с внешними системами Subscriber Policy Layer AAA Policy Web DHCP Server Server Portal Server Internet/Core Guest Video Portal Audio Servers Open Garden Walled Garden Протокол RADIUS для аутентификации абонентов и загрузки Policy описаний сервисов PULL Расширение протокола RADIUS (Change of Authorization, RFC Policy 3576). Открытый интерфейс для динамического изменения PUSH политик и сервисов
  • 11. Инициация динамических сессий • Сессии инициируются по проявлению активности абонента – First Sign of Life (FSOL) • Для сессий разных типов возможны разные FSOL PPP сессии IP сессии DHCP Discover PPPoE Call Request (PADx)  Получение DHCP Discover сообщения  Session-start event  Трафик абонента идентифицируется по MAC адресу  BNG должен являться DHCP Proxy  DHCP proxy = DHCP relay который:  Получение PADR сообщения 1. создает и поддерживает DHCP bindings 2. «Притворяется» DHCP сервером для абонента  Session-start event  Трафик абонента идентифицируется по Unclassified MAC MAC + PPP session ID Data Traffic  Трафик абонента идентифицируется по MAC адресу  Нет средств мониторинга состояния сессии (нет DHCP обмена), завершение сессии должно быть через CoA или CLI или по idle-timeout
  • 12. Динамическое создание VLAN Физический Родительский интерфейс интерфейс S-VLAN  Динамическое создание множества S-VLAN C-VLAN диапазон абонентских VLAN для 1:1 модели агрегации  Поддержка сценариев PPPoE и IPoE  VLAN создается при проявлении активности абонента - First Sign of Life (PPPoE PADI, DHCP Discover) Пример 1: interface Bundle-Ether100.10 encapsulation dot1q 100 second-dot1q any Пример 2: interface Bundle-Ether100.10 encapsulation dot1ad 100 dot1q 300-475
  • 13. Аутентификация сессии Аутентификация: доступ к сетевым ресурсам предоставляется только легитимным абонентам Способы аутентификации: • Механизмы аутентификации, обеспечиваемые протоколом доступа: – PPP: CHAP/PAP • Transparent Auto Logon (TAL): – Аутентификация на основе идентификаторов, извлекаемых непосредственно из абонентского трафика, например: MAC/IP address, DHCP Option 82, DHCP Option60, C-VLAN/S-VLAN, PPPoE Tags... • Web Logon Аутентификация не является обязательной, но используется в подавляющем большинстве случаев
  • 14. Transparent Auto Logon Шаг 1: Определяем формат username: aaa attribute format USERNAME_FORMAT format-string “%s:%s:%s@bng.cisco.com” remote-id circuit-id vendor-class-id Шаг 2: Указываем шаблон username, используемый для аутентификации <…> 20 authorize aaa list default format USERNAME_FORMAT password <pwd> <…> Источники информации для заполнения поля username: • DHCP Option 82 • DHCP Option 60 • PPPoE Tags (PPPoE Intermediate Agent) • Phy-slot • Phy-subslot • Phy-port • Outer-vlan-id • Inner-vlan-id
  • 15. Двойная аутентификация сессии – double dip AAA сервер AAA сервер оптового оператора розничного оператора user profile: user profile: атрибуты, атрибуты, назначаемые назначаемые опт. розничным оператором оператором 2-ой Access Access-Accept: атрибуты сессии 1-ый Request Access-Accept: атрибуты сессии и назначение VRF Access Request Фильтрация RADIUS атрибутов и VSA для оператора X Сессия абонента Сеть розничного VRF розничного оператора Х оператора Х Объединение политик, полученных от обоих операторов
  • 16. Web Logon: функция HTTP redirect Web Logon Internet Client Portal WebSite HTTP TCP SYN HTTP TCP SYN ACK HTTP TCP ACK HTTP GET HTTP 302 (redirect URL) HTTP session establishment Web Logon  BNG перехватывает TCP обмен при установке HTTP сессии абонента с веб-сайтом и устанавливает HTTP сессию с абонентом  BNG возвращает абоненту сообщение HTTP 302 (Redirect), содержащее URL портала оператора  Клиент устанавливает HTTP сессию напрямую с порталом
  • 17. Завершение (разрыв) сессии Универсальные механизмы – IP и PPP сессии RADIUS PoD (Packet Of Disconnect) Policy Web Logoff Web Manager Portal RADIUS PoD RADIUS CoA Account-Logoff Только для PPP сессий Только для IP сессий События протоколов PPP и PPPoX DHCP ИЛИ DHCP DHCP – lease expiry ppp disconnect; ppp keepalives or L2TP DHCP Release иницииров hellos failure анные сессии
  • 18. Как «рестартовать» IPoE сессию IPoE сессии инициируются ТОЛЬКО при получении DHCP discover Однако сессия может быть терминирована ранее истечения DHCP Lease: CoA Account-Logoff, PoD, CLI, перезагрузка шасси маршрутизатора … Трафик абонента будет сбрасываться, пока не начнется процесс переполучения IP адреса (до половины Lease Time) Вариант 1 Client DHCP Server DHCP Сервер работает с Уменьшить короткими Lease Time; Lease Time DHCP Response (Offer/ACK) повышенная нагрузка на на DHCP Lease Time = 10 minutes (например) DHCP сервер сервере DHCP renew exchange(s) DHCP Response (Offer/ACK) DHCP Сервер работает со Вариант 2 стандартными Lease Time Lease Time = 10 minutes Lease Time = 40 minutes DHCP Lease DHCP Proxy на BNG Proxy DHCP renew конвертирует их в exchange(s) короткие Lease Time для абонента
  • 19. Политики (сервисы) для сессии абонента • Применяются к абонентской сессии associated unnumbered interface Установление MTU сессии Параметры PPP протокола (параметры NCP/LCP, методы аутентификации) Keepalives: PPP Keepalives Управление Timeouts: Idle (только помечает сессию, но не удаляет ее) сессией Absolute (только для PPP) QoS: MQC: HQoS, pQoS IGMP/QoS correlation (только для PPP) Traffic Access Loop overhead (только для PPP) Функции Conditioning Security: Per User ACLs uRPF Назначение IP адресов (PPP addr-pool, DHCP class) HTTP Redirection Traffic Forwarding ACL Based Forwarding (ABF) Control VRF mapping L2TP mapping (PPP only) Multicast replication in session (PPP only) PostPaid Traffic Accounting Interim Broadcast
  • 20. Описание политик (сервисов) Место хранения Способ загрузки AAA Server 1  Необходимо активировать Premium  Конфигурируются HSI сервис RADIUS Access-request 2 Username: Premium_HSI специальные Сервисные  Сервисный профиль не Password: <service pwd> описан на BNG профили  Используются стандартные и  Сервис активируется 3 RADIUS Access-accept Vendor Specific RADIUS  Сервисный профиль Определение сервисного профиля кешируется, пока есть хоть одна атрибуты сессия с этим сервисом  Загрузка по мере 4 необходимости BNG  Профиль преднастраивается на самом BNG  Описание сервиса dynamic-template type { ppp | постоянно хранится в ipsubscriber | service } <name> конфигурации BNG
  • 21. Управление сессий абонента - Control Policy Control policy-map События и условия Действия Условие 1 Действие 1 Событие 1 class type control Действие 2 event <event type> <name> <action policy-map type ....... control subscriber <match policy> ....... execution policy> еще условия Действия, привязанные к этому <name> событию и этим условиям Событие 2 + Условия ....... следующие события Применяется на Возможные типы событий: Набор действий для данного {события интерфейсе доступа  Session-start: старт новой сессии (PPPoE или IPoE) и условий} (в сторону абонентов)  Session-activate: стартовал LCP (PPPoE) Упорядоченный список действий:  Authentication/Authorization failure: отказ авторизации  do-all Управляет всем  do-until-failure жизненным циклом  Authentication/Authorization no response: нет ответа  do-until-success от Radius сервера сессии Варианты действий:  Service-stop: CoA запрос на отключение сервиса  Account-Logon: CoA запрос Account Logon  Activate: Применить сервис для сессии  Account-Logoff: CoA запрос Account Logoff  Deactivate: Отменить сервис для сессии  Timed-policy-expiry: Истечение ранее установленного  Authenticate/Authorize : Аутентифицировать таймера сессию (PPP CHAP/TAL)  Set-timer/Stop-timer: старт/стоп таймера  Disconnect: Разорвать сессию
  • 23. H-QoS для абонентской сессии 4 уровня иерархии Классы Порт Группа Абонент трафика абонентов абонента • Иерархический QoS для всех Per Subscriber QoS абонентов Policy • 8 очередей на абонента • Strict Priority очереди Subscriber 1 PQ1 VoIP BW Internet Premium • WRED BW Internet – Best Effort • 2R3C policers, иерархический полисинг • 4-х уровневый H-QOS Subscriber 2 PQ1 VoIP PQ2 Video • Priority очереди с функцией BW Internet – Best Effort priority propagation для качественной передачи голоса и видео с минимальными задержками и джиттером
  • 24. 4-уровневый QoS в модели N:1 VLAN L1=Port L2=VLAN L3=PPP/IP L4=Class (single/dual tag) Session Узел Доступа Per Per subscriber: subscriber: 3 x Strict Priority Q Shaper, BW, (level 1,2,3) + BRR 5x WFQs Конфигурация с помощью RADIUS dynamic-template Per VLAN: Multicast type ipsubscriber IPoE-with-QoS Shaper, BW классы service-policy [ input | output ] <MQC name> BRR Конфигурация с Конфигурация с помощью CLI помощью CLI
  • 25. 4-уровневый QoS в модели 1:1 VLAN L1=Port L2= L3=PPP/IP L4=Class S-VLAN Session Узел Доступа . . . . Per Per subscriber: subscriber: 3x Strict Priority Q – Shaper, BW, level 1,2,3 Per VLAN: BRR 5x WFQs Shaper, BW BRR Конфигурация с Конфигурация с помощью RADIUS помощью CLI dynamic-template Multicast type ipsubscriber IPoE-with-QoS классы service-policy [ input | output ] <MQC name> Конфигурация с помощью CLI
  • 26. Параметризация QoS - pQoS MQC policy Policy Manager CoA request AVPair:”command:account-update AVPair:“ip:qos-policy-out=add-class(sub, (<class-list>), <qos- actions-list>) • Динамическое создание и модификация MQC политик для абонентских сессий  Создание MQC политик  Добавление/удаление MQC классов и actions в политике  class-map должен быть преднастроен на BNG • Работает через RADIUS  RADIUS CoA Account Update  RADIUS Access-Accept
  • 27. IOS XR Функция Dynamic MQC policy merge 4.3.1 один или несколько классов AAA в каждом сервисе Активация сервисов по RADIUS policy-map VOICE Сервис class VOICE policy-map MERGED RADIUS Access-Accept VOICE priority 1 class VOICE или police 8k priority 1 RADIUS CoA Request police 8k Сервис VIDEO policy-map VIDEO class VIDEO priority 2 + class VIDEO priority 2 AvPair:subscriber:sa=<service name> police 256k Пример police 256k class HSI AvPair:subscriber:sa=VOICE policy-map HSI shape 1M Сервис class HSI class-default HSI shape 1M
  • 28. IOS XR Функция Service Accounting 4.3.1 accounting service AAA Сервис policy-map VOICE class VOICE VOICE priority 1 policy-map MERGED class VOICE police 8k priority 1 accounting service police 8k Radius Accounting policy-map VIDEO class VIDEO service=VOICE Сервис VIDEO class VIDEO priority 2 + priority 2 police 256k bytes in/out packet in/out police 256k class HSI Radius Accounting shape 1M service=VIDEO accounting service bytes in/out Сервис policy-map HSI class-default packet in/out HSI class HSI Radius Accounting shape 1M service=HSI bytes in/out VOICE packet in/out VIDEO HSI
  • 30. Функции безопасности • Unicast Reverse Path Forwarding (uRPF) • Необходимо контролировать IP Source Address при получении трафика от абонентов (входящий трафик) – Исходящий трафик относится к сессии на основе IP DA • IP SA трафика, полученного сессией, должен соответствовать назначенному для этой сессии IP адресу – PPPoE Sessions: MAC + PPP Session ID + IP – IP Sessions: MAC + IP dynamic-template type { ppp | ipsubscriber |service } <tmpl_name> ipv4 verify unicast source reachable-via rx • Списки ACL  ACL могут быть применены к сессии в обоих направлениях  L3 Only
  • 31. ARP Security ARP Poisoning Protection ARP Cache (Gateway) IP=21.0.0.1 MAC=C • Badboy отправляет поддельные Valid IP assigned via ARP сообщения, чтобы DHCP binding table DHCP Узел доступа IP=21.0.0.2 MAC=A модифицировать ARP кэш BNG IP=21.0.0.3 MAC=B • ARP сообщения не приводят к IP-client_a IPoE Gateway MAC=A изменению ARP кэша BNG MAC=C IP=21.0.0.2 IP=21.0.0.1/24 – Но BNG, естественно, отвечает Goodgirl на ARP запросы абонентов Valid IP assigned via • BNG строит ARP кэш на основе DHCP информации DHCP Proxy binding table, а не ARP обмена с IP-client_b ARP request/ абонентами MAC=B Grat ARP: IP=21.0.0.3 IP=21.0.0.2 -> MAC=B • Попытка перехвата трафика не Badboy удалась
  • 32. Защита плоскости управления BNG • Предотвращение dDOS атак –Первая ступень защиты: IOS XR Control Plane Protection • Защита на уровне определенного сетевого протокола –Вторая ступень защиты: Адаптивный CoPP • Интеллектуальная защита для протоколов установления/контроля абонентских сессий (DHCP, ARP, PPPoE Control Packets)
  • 33. Адаптивный CoPP DHCP Control Plane • LPTS policing работает с общим трафиком (всех сессий)  Top Talkers (или Bad Actors) могут Protocol Policer негативно влиять на предоставление Нормальные DHCP Exhausted* сервиса остальным абонентам пакеты • Адаптивный CoPP определяет Bad Actors и полисит их трафик, позволяя Goodgirl нормальным абонентам получать сервис Атака на DHCP  Полисинг с учетом знания об абоненте Badboy
  • 34. Адаптивный CoPP: как это работает PACKET dDOS DROPPED PROTOCOL POLICER Выделяет абонента PENALTY “RED” как BOX отправляющего слишком много control- plane пакетов, помечает его сессию как BAD PROTOCOL ACTOR POLICER Полученные INTERFACE L2 or L3 Punt Bad Actor Punt Path CLASSIFICATION Punts Policers Analyzer обработка пакеты PUNTED пакеты  Определяется поток (сессия), от которой поступает слишком много протокольных пакетов  dDOS protocol policer помечает абонента как Bad Actor и генерирует SYSLOG сообщение Если сессии с этим mac-адресом не существует, в TCAM программируется MAC Source Address как Bad Actor  NPU проверяет флаг Bad Actor при обработке пакетов, и для Bad Actor применяются более строгие полисеры – на определенное время (15 мин по умолчанию)
  • 35. CGN и IPv6 функционал
  • 36. Интеграция BNG и CGN функционала Входная ISM Выходная карта карта Inside Outside VRF VRF Interface Абоненты Public IPv4 Private IPv4 AppSVI ISM AppSVI VLAN • Интеграция BNG функционала с CGN функционалом ISM модуля • Carrier Grade NAT в соответствии со стандартами (RFC4787, RFC5382, RFC5508) • Производительность ISM модуля: 20M трансляций, 1M трансляций/сек, ~15Gbps трафика
  • 37. IOS XR IPv6 и Dual-Stack сессии 4.3.0 • v4/v6 Dual Stack сессии • Единый VRF для V4 и V6 – Одна сессия абонента • Интеграция BNG и CGN функционала – Аутентификация выполняется один раз – ISM модуль для CGN функционала – Единый Accounting – NAT44 для V4 абонентов • Счетчики для V4 и V6 – NAT44 для V4 трафика Dual-Stack • Методы назначения v6 адресов абонентов – DHCPv6 Сервер – Поддержка DS-Lite AFTR для абонентов – DHCPv6 Proxy DS-Lite – DHCPv6 RADIUS proxy – DHCP v6 NA и PD • Поддержка функционала QoS, ACL, uRPF, … Сессия абонента Home V4 V4 CGN NAT44 Internet Сессия абонента V4/V6 V4/V6 Dual Stack V6 Сессия абонента Internet V6
  • 38. IOS XR Сессия Dual Stack абонента 4.3.0 Абонент Dual AAA Аутентификация выполняется один Stack раз – при установке первой Address Family (AF) Запрос на установку сессии AF1 Access Request Access Accept Одно сообщение accounting start Сессия AF1 установлена Содержит framed address для IP address AF1 назначен Accounting Start установленной AF AF1 framed-address Accounting Interim (Periodic) Регулярный interim accounting включает Установка сессии AF2 AF1 packet/byte счетчики статистику по установленной AF IP address AF2 назначен Accounting Interim (Triggered) Отдельный interim accounting AF1 и AF2 framed address отправляется при установке второй AF AF1 packet/byte счетчик Содержит framed address для двух AF Accounting Interim (Periodic) AF1 и AF2 packet/byte счетчики Регулярный interim accounting включает статистику по двум AF Отдельные и суммарные счетчики
  • 39. IOS XR Методы назначения IPv6 адресов 4.3.0 Назначение IPv6 адресации абоненту Управление IPv6 адресацией Единая сессия для DHCPv6 Сервер DHCPv6 PD DHCPv6 NA NA и PD адресов одного абонента с поддержкой PD stateless (PPPoE) Link Local stateful (PPPoE & IPoE) DHCPv6 PD SLAAC DHCPv6 proxy с поддержкой PD DHCPv6 NA DHCP SLAAC + Stateless DHCPv6 (PPPoE) DHCPv6 RADIUS proxy AAA с поддержкой PD SLAAC SLAAC + Stateless DHCPv6 (IPoE)
  • 41. Способы обеспечения отказоустойчивости • Отказоустойчивость внутри устройства BNG – Резервирование компонентов: RSP, блоки питания, вентиляция – SSO/ISSU – Резервирование интерфейсов подключения: Link Aggregation (LAG) • Резервирование на уровне устройств – Два независимых устройства (Stateless) – Кластер из двух устройств (Stateful)
  • 42. Резервирование внутри устройства BNG AAA DHCP LAG VPN Сеть IP/MPS ядро доступа L2 Интернет • LAG (Bundle-Ethernet) • Выход из строя активного интерфейса – прозрачное переключение текущей сессии на оставшиеся интерфейсы • Для корректной работы механизмов QoS требуется модификация алгоритма балансировки на бандле: interface bundle-ether 1 bundle load-balancing hash dst-ip
  • 43. Stateless резервирование: два шасси • Резервирование для PPPoE сессий в целом проще, чем для IPoE сессий • Дизайн обязательно должен обеспечивать «симметрию» трафика – трафик от абонента и к абоненту должен проходить через один и тот же BNG • Для переустановления сессии абонент должен отправить DHCP Discover! • Время переключения определяется величиной Lease Time • Абонент (как правило) не имеет средств мониторинга состояния IPoE сессии (в отличие от PPPoE) DHCP сервер или или DHCP NAK во время Address Истечение DHCP Renew и Lease Time Release Rediscover процедур Абонент
  • 44. Кластер ASR 9000 nV как единое резервированное BNG устройство ASR 9000 BNG • Гео-резервирование Виртуальный Кластер • Dual Homing FTTX Кластер GPON • Работа как с одним шасси Home MSAN BNG • Stateful Failover VDSL • Active/active LAG в сторону Aggregation Core доступа и ядра (MPLS) BNG MSAN nxGE • Гео-резервирование VDSL ASR 9000 BNG Кластер и сателлит Виртуальный Кластер • Большая плотность 1GE портов Сателлит • Работа как с одним шасси (кластер Home BNG и сателлиты) • Сателлиты представлены как Aggregation (MPLS) Core линейные карты BNG • Простая топология, нет Spanning Tree
  • 46. Требования к аппаратуре для поддержки BNG Шасси: ASR 9001, ASR 9006, ASR 9010 ASR 9922 (4.3.1) RSP: A9K-RSP440-SE Access Facing карты (BNG) Typhoon Service Edge карты: • A9K-24X10GE-SE • A9K-36X10GE-SE (4.3.1) • A9K-MOD80/160-SE с интерфейсами: • A9K-MPA-2x10GE • A9K-MPA-4x10GE • A9K-MPA-20x1GE Core Facing карты (Uplink) Любая линейная карта Поддержка технологии nV (кластер) Да Поддержка технологии nV (сателлит) Да (4.3.0)
  • 47. Параметры масштабирования Сегодня:  64 000 сессий на шасси (для ASR 9001 32 000 сессий)  64 000 сессий на LC  Скорость установки сессий: 100-300 сессий в секунду Планы на будущее:  128 000 сессий на шасси ASR 9006/9010 (4.3.0)  192 000 сессий на шасси ASR 9006/9010 (4.3.1)
  • 48. Также рекомендуем посетить • ASR 9000 nV технология - кластеры и сателлиты • Архитектура Cisco Unified MPLS: Внедрение MPLS на всех уровнях сети • Реализация технологии “Операторский NAT” в продуктах Cisco • Открытая дискуссия по технологиям для операторов связи – 21 ноября, среда, 18 часов, Конгресс-зал Правый – Готовьте свои вопросы! • Демо-стенд «Решения для операторов связи» (демо-зона, комната 5) – ASR 9000 с интерфейсами 100GigabitEthernet – Технология сетевой виртуализации ASR 9000 nV – Carrier Grade v6 на базе маршрутизатора Cisco ASR 9000 с модулем ISM – И многое другое!
  • 49. Спасибо! Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/quest Ваше мнение очень важно для нас!