Интеллектуальный уровень доступа как граница кампусной сети

Интеллектуальный уровень доступа как граница кампусной сетиВиктор Платов, системный инженер-консультант

Что такое, интеллектуальный коммутатор доступа?

vs.

Мобильность

конвергенция проводного и

беспроводного доступа

Защита окружающей

среды

рост цен на электроэнергию,

общая озабоченность

уровнем выбросов

Безопасность

Безопасный доступ при

экспоненциальном росте числа устройств,

подключаемых к сети

Работа приложений

Потребность в более тонком управлении приложениями для

оптимальной производительности

Голос/Видео

Рост доли видео в трафике

Облегчить обслуживание, уменьшить сложность управления

Когда уровень доступа знает…Интеллектуальный доступ– Новые требования

Содержание

• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough

• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service

• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow

Где мы сейчасСовременная модель подключения

Для каких целей мы строим уровень доступа?

Подключение устройств

Высокая доступность (spanning tree)

Внедрение VLAN-ов для изоляции трафика(например голос иданные)

Использование QoS для поддержки телефонии

Безопасность (везде где можем)

interface FastEthernet0/24switchport access vlan 100switchport mode accessswitchport voice vlan 200!

switchport port-security maximum 2switchport port-securityswitchport port-security aging time 2switchport port-security violation restrictswitchport port-security aging type inactivity!

srr-queue bandwidth share 10 10 60 20queue-set 2priority-queue out mls qos trust device cisco-phonemls qos trust cosauto qosvoipcisco-phone! macro description cisco-phone!spanning-tree portfastspanning-tree bpduguard enable!service-policy input AutoQoS-Police-CiscoPhone

Voice и Data VLAN-ы

Настройка Spanning Tree

QoS –доверенный

трафик от телефона

Борьба с L2 DoS

QoS

Smartports

Высокая доступность- Время восстановления после отказа <1с- Архитектура высокой доступности NSF/SSO, VSS и т.д.

Оптимизация задержки и полосы пропускания- гигабитный доступ- 10GigE распределение/ядро- IP multicast

Конфиденциальность- Аутентификация оконечных устройств и пользователей(например, 802.1x)- Соответствие политик безопасности с защитой передаваемых данных, такие как шифрование(например, Cisco TrustSec)

Виртуализация сетевых сервисов-VRF-Lite (или др.) изоляция пути трафика для сегрегации особых видео приложений

Работа приложений реального времени- Политики обслуживания QoS для управления уровнем сервиса- Защита уровня доступа

SiSi SiSi

SiSi SiSi

SiSi SiSi

ВидеконференцииTelePresence

Цифровые вывески

Живые трансляции

и VOD

Наблюдение

Дизайн кампусной сетиТребуемые сервисы

Меняющиеся сетевые сервисыДинамическая инициализация коммутаторов и подключаемых устройств

• Подключение оконечных устройств методом Plug and play (телефоны, UC приложения и точки доступа) необходимо для снижения операционных затрат

– Согласование питания– Настройка VLAN – Аутентификация 802.1x – Настройка QoS– Настройка безопасности

Оптимальный выбор PoE: 802.3af, 802.3at, 802.3az, CDP, LLDP, LLDP-MED

Динамические политики безопасности и QoS: CDP, LLDP-MED, 802.1x

SiSi

Взаимоотношения оконечного устройства и сети меняются. Нам необходим интеллект на границе

сети для соответствия этим изменяющимся требованиям





Зачем PoE на уровне доступа• Простота развертывания

– Один кабель для данных и питания• Централизованное управление питанием

– EnergyWise, Energy Efficient Ethernet• Высокая доступность

– Централизованное резервирование, непрерывная работа– Отказоустойчивость питания встроена в большинство сетевых

архитектур– Резервный источник питания UPS используется в большинстве

кампусов сетей предприятий• Минимизация затрат на обслуживание

Дешевые и неэффективные блоки

питания

Резервный UPS

Розетка

Эффективность питания«Большой» блок питания эффективнее индивидуальных БП

Кривая эффективности оптимизирована для среднего значения утилизации

«Большой» блок питания дешевле по сравнению с индивидуальными БП на каждое устройство

Power Over Ethernet Cisco Pre-Standard и 802.3af-2003

• Устройства с поддержкой Cisco pre-standard могли получать6.3Вт сразу, а затем просить больше по CDP

• IEEE 802.3af ратифицирован в 2003 году

• Параметры–Тип кабеля: Cat3 и Cat5/5e/6–Величина тока: 350мA–Напряжение: на питающем устройстве (PSE) 44-57В постоянного тока–Максимальная выходная мощность: PSE 15.40Вт–Максимальная входная мощность: PD(на питаемом устройстве) 12.95Вт–Поддерживаемые режимы: Режим A (дата-пары), Режим B (свободные пары)

• Согласование мощности является ‘опциональным’ для 802.3af устройств

Эволюция сервисов физического уровняПочему нам нужен 802.3at (PoE+)

Диапазон питания IEEE 802.3af

0 Ватт0 Ватт 15.4 Ватт15.4 Ватт

ТД-1200 802.11b/g

6.2 Вт

IP телефон7970G 10.25 Вт

Class 2 7 Ватт

Class 0 / 315.4 Ватт

Диапазон питания IEEE 802.3at

30 Ватт30 Ватт

ТД – 1250 802.11n

20 Вт

Class 14 Ватта

IP телефон9971 28.8 Вт

15.4 Ватт достаточно для большинства PD устройств

сегодня

Но некоторым современным устройствам требуется больше мощности!

Тонкие клиенты

IP Видеофон с тач-скрином

Требования оконечных устройств к питанию растут

Охрана окружающей среды

Необходимость в точном согласовании питания и увеличении его мощности

Power Over EthernetIEEE 802.3at (PoE+)• IEEE 802.3at ратифицирован в сентябре 2009• Параметры

–Тип кабеля: Cat5e или лучше–Величина тока: 600мA при температуре кабеля 50C или ниже–Напряжение: PSE от 50В до 57В–Максимальная выходная мощность: PSE 30Вт–Минимальная входная мощность: PD 25.5Вт–Поддерживаемые режимы: Режим A (дата-пары) или Режим B (свободные пары)

• Source: http://www.ieee802.org/3/at/

30Вт

Не используются для PoE

PD подключено

Коммутатор детектирует IEEE PD

PD классифицировано

Питание подается

1. Это IEEE PD2. PD классифицировано3. Питание подается

Power over EthernetОпределение, классификация и подача питания

Класс Использование класса Минимальные уровни мощности на PSE

Максимальные уровни мощности на PD Описание класса

0 по умолчанию 15.4Вт 0.44 – 12.95Вт Классификация не реализована

1 опционально 4.0Вт 0.44 – 3.84Вт Very Low Power

2 опционально 7.0Вт 3.84 – 6.49Вт Low Power

3 опционально 15.4Вт 6.49 – 12.95Вт Mid Power

4 Зарезервирован в 802.3af Трактуется как Class 0

4 802.3at 30W 12.95W – 25.5Вт High Power

SiSi

Universal PoE (UPoE)Использование 4 пар одновременно

30Вт

60Вт

30Вт

Не нарушает спецификаций безопасности стандартов кабельных сетей

По сути представляет собой два независимых PoE+ соединений

ПараметрыТип кабеля: Cat5e или выше

Величина тока: 600мA при температуре кабеля 50C или нижеНапряжение: PSE от 50В до 57ВМаксимальная выходная мощность (с двух пар): PSE 30ВтМаксимальная входная мощность: PD 51ВтРежим: одновременно режим A (дата-пары) и режим B (свободные пары)

Universal PoE (UPOE)Применение

SiSi

PD компактный коммутатор

Desktop VirtualizationVDI Клиенты

VDI МониторыIP телефоны с видео

Контроль физического доступаControllerНетбуки

Приложения, которые требуют высокой доступности, напримерзвонки 911

Минимизация кабельной инфраструктуры на рабочем месте

Легкость установки и обслуживания

60Вт

15Вт

7Вт

Примеры применения UPoEVDI клиенты• Клиенты потребляют меньше мощности. «Тонкие» клиенты требуют

меньше питания, чем «толстые»• Пригодны для динамического изменения питания

0 Вт

90 Вт

15 Вт 20 Вт 25 Вт 48 Вт 80 ВтUniversal PoE

Wyse ThinClient

CiscoStandalone

CiscoIntegrated

IntegratedDisplay

RepurposedPC

60 Вт

Продукты, поддерживающие PoE

Продукты 802.3af (15Вт) EPoE (20Вт) 802.3at (30Вт) UPOE (60Вт)

Catalyst 2960 Да Нет Нет Нет

Catalyst 2960S Да Yes Да Нет

Catalyst 3560E/3750E Да Yes Нет Нет

Catalyst 3560X/3750X Да Yes Да Нет

Catalyst 4500 Да 4648-RJ45V+E 4748-RJ45V+E 4748-UPOE+E

Catalyst 6500 Да 6148-GE-AF6548-GE-AF 6148E-GE-45AT Нет





Почему Energy Efficient Ethernet?График зависимости утилизации от времени для файл-сервера с 1GEинтерфейсом

PHYs передает пустые пакеты когда передавать нечего

Меняющийся подход к энергопотреблению802.3az: Energy Efficient Ethernet (EEE)

Current PHY idle power

802.3az EEE PHY idle power

PHY active power

PHY

pow

er

IEEE 802.3az – основные вехиГолосование рабочей группы – июль 2009

Голосование спонсоров – март 2010

Стандарт – Ноябрь 2010

Выключение PHYs при отсутствии передаваемых данных

Во время паузы сохранять параметры, требуемые для быстрого возврата в активное состояние

Ассиметричный режим работы• Передающая и принимающая схемы

работают независимо

Application

OS

Controller

MAC

PHY

Controller SW

End Point

OS

Controller

MAC

PHY

Controller SW

Switch

EEEEEEEnergy Efficient Ethernet

Режимы работы и сигнализация MDI

Термин Описание

Состояние Active Существующее состояние, использующееся при передаче, когда передаются либо пакет, либо нулевые символы

Состояние Low Power Новое состояние, используемое в периоды отсутствия передаваемых данных.

Термин Описание

Sleep Сигнал для информирования партнера по линку о переходе в состояние Low Power

Quiet Сигналы не передаются

Refresh Периодические сигналы, нужные для поддержания синхронизации во время нахождения в состоянии low power

Wake Сигнал для информирования партнера по линку о переходе в состояние Active

Время «просыпания»: ~15us

Время сна: ~5us

Линейная карта с поддержкой UPoE и EEE

• 60Вт PoE с максимальным бюджетом карты в 1500Вт

• Расширения LLDP согласования питания больше 30Вт

• Совместима сIEEE 802.3az для: 100/1000 Base-T

• Потребление питания зависит от утилизации каналов

WS-X4748-UPOE-RJ45V+E

Отключение питания передатчика при отсутствии передаваемой информации

Во время power-down, сохраняет коэффициенты и синхронизацию для быстрого возврата в активное состояние

Ассиметричный режим работы• Передающие и принимающие схемы

работают независимо

без EEE EEE

1.0 Вт 0.47W

Потребление питания порта 1Гбит/с





Cisco Catalyst Compact SwitchesНовое PD / PSE устройство

• Уменьшение требований к инфраструктуре и питанию• PoE/PoE+ (вход и выход) упрощает подачу питания• Тихий, cool, компактный дизайн, идеален для обитаемых мест

Нет блока питанияНет вентилятора

Не нужно охлаждение

Catalyst 2960/3560-C – PoE+ Powered, Pass-Through PoE

3750-X

4500-E

2960-C3560-C

POE Powered & POE Pass ThroughПрименимо к С2960CPD-8PT-L и C3560CPD-8PT-S• Коммутатор питается от медных гигабитных аплинк портов

– Компактный коммутатор функционирует как powered device (PD)• Избыток POE передается на порты доступа

– Компактный коммутатор функционирует как Power supply Equipment (PSE)

Питание компактного коммутатора и IP телефона через одно POE+ аплинк соединение.

Питающийся по POE и передающийPOE на свои порты доступа компактный коммутаторпитается от 3750X POE+ коммутатора, который также обеспечивает питанием и телефон

Бюджет PoE для подключаемых устройствПитание PassThrough для Catalyst 2960CPD-8PT-L

Данные приведены для CAT5 или лучшеПланируется поддержка Universal PoE

Модель коммутатора Опции Доступная мощность PoE (Вт)

WS-C2960CPD-8PT-L

1 PoE аплинк 0Вт

2 PoE аплинка 7Вт

1 PoE+ аплинк 7Вт

1 PoE+ и 1 PoE аплинк 15.4Вт

2 PoE+ аплинка 22.4Вт

Auxiliary вход 22.4Вт

WS-C3560CPD-8PT-S

1 PoE+ 0Вт

2 PoE+ 15.4Вт

Auxiliary вход 15.4Вт





Cisco Discovery Protocol – это протокол второго уровня, позволяющий смежным устройствам узнавать о характеристиках друг друга

CDP сообщения отсылаются периодически (по умолчанию каждые 60 секунд)Каждый коммутатор строит свою собственную CDP state table - отсылаемое CDP сообщение содержит значение TTL, которое сообщает принимаемой стороне о том, как долго хранить информацию CDP

CDP

CDP

CDP CDP

C4507R-E#sh cdp neighborsCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID Local Intrfce Holdtme Capability Platform Port IDC4510R-E TenGig 1/1 161 R S WS-C4510R TenGig 1/1IP Phone 7961 Gig 1/1 159 P CP-7961G Fas 0/1

Discovery Exchange

IP адресТип устройства

Версия ПОИдентификатор устройства

Native VLANVTP Domain Name

Номер портаВозможности

Согласование питания

Согласование сетевых сервисовCDP – Cisco Discovery Protocol

Согласование сетевых сервисовLLDP, LLDP-MED

LLDP-MED

LLDP PDU

LLDP-MEDSiSi SiSi

LLDP

LLDP

LLDP (802.1AB) - IEEE-SA Standards Board approved March 2005

LLDP-MED (TR 41.4) – Дополняет стандарты TIA в области обнаружения конечных устройств (особенно оконечных устройств Unified Communications)

Порты, инициализированные как LLDP могут перейти к работе с LLDP-MED после получения LLDP-MED Capabilities TLV

TLV Type000 0110

TLV Information String Length

System Description

Chassis ID

TLVPort ID

TTLTLV

End of LLDPDU

TLV

0 or more Optional TLVs

PortID

TLVTTLTLV

cr32-4500-1(config)#lldp run

cr32-4500-1(config)#lldp tlv-select ?mac-phy-cfg IEEE 802.3 MAC/Phy Configuration/status TLVmanagement-address Management Address TLVport-description Port Description TLVport-vlan Port VLAN ID TLVsystem-capabilities System Capabilities TLVsystem-description System Description TLVsystem-name System Name TLV

cr32-4500-1(config-if)#lldp med-tlv-select ?inventory-management LLDP MED Inventory Management TLVlocation LLDP MED Location TLVnetwork-policy LLDP MED Network Policy TLVpower-management LLDP MED Power Management TLV

LLDP выключен по умолчанию, вы должны указать, какие опциональные TLV будут отсылаться

LLDP и CDP могут сосуществовать на одном интерфейсе Поддержка LLDP, LLDP-MED

Catalyst 6500 – 12.2(33)SXHCatalyst 4500 and 4900 – 12.2(44)SGCatalyst 3750, 3560, 2970, 2960 - 12.2(37)SE*

* Поддержка Protocol Media Extension (3750, 3560, 2960) - 12.2(40)SE

Configure Optional Global TLV’sEnable LLDP Globally

Configure Optional Interface TLV’s

Согласование сетевых сервисовLLDP, LLDP-MED

Согласование UPOE PowerПример: эволюция возможностей LLDP-MED

• Поддерживается с CDP и LLDP-PoE+ из IEEE 802.3at

UPOE power negotiation done

Spare pair power on

4-pair capability mutual identified

Power is applied on Signal Pair

PD Plugged in

Switch detects IEEE PD

Power is Applied on signal pair

L2 advertisment of 4-pair capability

L2 advertisment of 4-pair capability

PD is classified

PSE allocates 30W+ power

PD request 30W+ power

L2 request for spare pair power on

PSE spare pair operational

SiSi

UPOE Device





Почему нам нужно QoS?Перегрузка передающей очереди

Коммутатор доступа

100Мбит/с линк1Гбит/с линк В очереди

Коммутатор распределенияМедленному интерфейсу требуется больше времени для передачиПакеты прибывают в очередь быстрее, чем отсылаютсяПакеты ждут в очереди момента своей отправкиВнедрение серверов с гигабитным или 10 гигабитным интерфейсом отодвигает перегрузку на границу сетиQoS отбрасывает низкоприоритетные пакеты

Толстая 10Гбит/с «труба» с входящими пакетами

Более узкие 1 Гбит/с«трубы» с передаваемыми пакетами

12

12314253

Выходной буфер

345

123

«Сгусток» трафика на 10Гбит/с интерфейсе

Буферизация на 1Гбит/с интерфейсеНужно больше времени на передачу

Дизайн QoS кампусаСтратегические принципы дизайна QoS

• Всегда осуществляйте QoS на аппаратной части вместо программной когда есть выбор

• Классифицируйте и маркируйте приложения так близко к источникам, как это технически и административно возможно

• Применяйте полисинг к ненужным потокам трафика так близко к их источникам, как возможно

• Включайте политики постановки в очередь на каждом узле, где потенциально существует возможность перегрузки

• Защищайте control plane и data plane

Enterprise QoS Solution Reference Network Design Guidehttp://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND/QoS-SRND-Book.html

Голосовые QoS параметры работают по-разному на Cisco и не Cisco телефонахИнтеллектуальный голосовой QoS

Основанный на CDP, доверенный, автоматический

Голосовой трафик, “теггируется Vlan ID”, L2 COS 5Трафик данных “untagged” использует DSCP на

порту коммутатора

Основанный на LLDP

Возможности LLDP-MED для работы с IP телефоном

Функция ‘network-policy’

Установка L2 COS и L3 DSCP по-отдельности

Доверять или не доверять? – вот в чем вопрос

Используйте границу доверия для предотвращения неправильного использования меток COS/DSCP

При auto-qos настройке коммутатор не будет доверять портам доступа, переписывая все CoS/DSCP метки на сконфигурированные значения

Когда коммутатор и телефон обмениваются CDP сообщениями, граница доверия переносится на IP телефон

Телефон переписывает CoS в трафике PC на ‘0’, коммутатор переписывает DSCP

Voice VLAN Traffic is Trusted

Data VLAN Traffic untrusted marked CoS 0

Voice and Video traffic on the Data VLAN Traffic

Граница доверия

Интеллектуальный голосовой QoSГраница доверия с CDP

Настройка голосового QoS для сторонних IPтелефоновLLDP–MED Network Policy TLV

• Network Policy Discovery TLV позволяет как сетевым, так и оконечным устройствам анонсировать свою VLAN конфигурацию, а также связанные L2 и L3 атрибуты, которые применяются к набору определенных приложений на порту

• Application Type: описывает приложения, которые должны использовать данную сетевую политику (Голос, Control / Signaling, …)

• VLAN ID: VLAN, используемый для передачи данного приложения• L2 Priority: значение CoS, используемое для данного приложения• DSCP Value: значение Diffserv используемое для данного приложения

(64 значения)

Эволюция дизайна кампусного QoSБизнес- и технические драйверы

• Новые приложения и требования бизнеса– Бурный рост видео приложений– Распространение HD– Размывание границ Голосовых/Видео/Дата приложений

• Новые стандарты и RFC– RFC 4594

• Новые платформы и технологии– Новые коммутаторы, Супервизоры, Линейные карты, фичи, синтаксис

64% общения не является вербальным1

Одна треть коры головного мозга выделена для зрения2

: 1Kandola, Pearn “The Psychology of Effective Business Communications in Geographically Dispersed Teams”, Cisco Systems, September 20062Vision Group Research, FMRIB, University of Oxford, UK

1080

лин

ий го

ризо

нтал

ьног

о ра

зреш

ения 1920 линий вертикального разрешения (соотношение сторон 16:9)

1080 x 1920 линий =

2,073,600 пикселей на кадр

x 3 цвета на пиксель

x 1 Байт (8 бит) на цвет

x 30 кадров в секунду

= 1,492,992,000 бит/с

или 1.5 Гбит/с несжатый поток

Cisco H.264-based HD кодеки передают 3-5Мбит/с на каждый 1080p потокчто соответствует сжатию более 99.67% (300:1)

Следовательно стоимость потери пакета пропорционально возрастаетПользователи могут заметить потерю одного пакета из 10,000 — HD видео

в сто раз более чувствительно к потерям пакетов, чем VoIP!

Требования новых приложенийУстойчивость HD приложений

Меняющиеся требования бизнесаТребования бизнеса будут меняться и все время возрастать

Critical Data

Realtime

4-классовая модель

Best Effort

Signaling / Control Call Signaling

Critical Data

Interactive Video

Voice


Scavenger

Best Effort

Streaming Video

Network Control

Network Management

Realtime Interactive

Transactional Data

Multimedia Conferencing

Voice


Bulk Data

Scavenger

Best Effort

Multimedia Streaming

Network Control

Broadcast Video

Call Signaling

Enterprise Medianet Quality of Service Design 4.0http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND_40/QoSIntro_40.html#wp61135

WAN

Автоматизированный голосовой QoS (AutoQoS)Почему AutoQOS

• AutoQoS–Автоматически настраивает сеть для корректной передачи VoIP

• Выгоды–Уменьшает время разворачивания end-to-end QoS в кампусе и WAN–Уменьшает ошибки человека и конфигурирования

Callmanager Unity Voice Applications

Voice Gateways

Auto QoS VoIP – делает это легчеНастраивает QoS для VoIP на коммутаторах кампуса

Access-Switch(config-if)#auto qos voip ?cisco-phone Trust the QoS marking of Cisco IP Phonecisco-softphone Trust the QoS marking of Cisco IP SoftPhonetrust Trust the DSCP/CoS marking

Access-Switch(config-if)#auto qos voip cisco-phoneAccess-Switch(config-if)#exit

!interface FastEthernet1/0/21srr-queue bandwidth share 10 10 60 20srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phonemls qos trust cosauto qos voip cisco-phone end

Варианты:auto qos voip cisco-phone

auto qos voip cisco-softphone

auto qos voip trust

Auto QOS для Media

• Новый Auto QOS videoClassify Classify packets from untrusted device

Trust Trust the QoS marking of the device

connected

Video Configure AutoQoS for video deviceVoip Configure AutoQoS for VoIP

• Разработан из-за быстрого распространения видео приложений в кампусных сетях

• Новый AutoQoS функционал доступен со второй половины 2010

• Auto QOS теперь не только для голоса

Интеллектуальное управлениеIP SLA Video – встроенный генератор трафика

коммутатор Aмаршрутизатор Bмаршрутизатор C

коммутатор DSiSi

SiSi

IPSLA известно индустрии как набор зондов для измерения jitter, ICMP, и т.д. Большинство зондов измеряют параметры без влияния на пользовательский

трафик (хотелось бы верить) Нужен трафик для стрессового тестирования сети IPSLA VO предоставляет

Реалистичное представление случайного видео (RTP) трафика Размеры пакетов, изменчивость, интенсивность трафика и т.д. Преднастроенные профили: IPTV, Video Surv, CTS, клиентский профиль

на основе анализа пакетного дампа





Smart Operations – Что это такое?Обзор и преимущества

SmartInstall

Auto Smart Ports

• Plug and Play для нового устройства

• End-points – динамическая конфигурация, основанная на типе подключаемого устройства• Рекомендованная Cisco конфигурация интерфейса для

каждого типа устройства

• Одна точка управления

• Новые коммутаторы- автоматическая загрузка образа ПО и конфигурационного файла

• Упрощает обслуживание

• Развертывание и замена коммутатора без усилий • Уменьшает время простоя сети и надобность в техническом

персонале

• Централизованное управление ПО и конфигурацией• Одна точка управления

Интеллектуальное сопровождениеAutoSmartPorts

Встроенный в коммутатор интеллект для настройки интерфейса на основе идентификации устройства

Автоматическая & рекомендуемая Cisco настройка порта Plug and Play для оконечного устройства

Поддерживаемые устройства:КоммутаторыМаршрутизаторыТочки беспроводного доступаDigital Media PlayerIP-телефоныIP-камеры

Пользователь включает устройство

Device UP trigger detected

Device DOWN detected

Trigger - Событие которое определяет присутствие или отключение устройства от сети ( link up )Macro - Набор конфигурационных команд, вызываемых как одно целоеAnti- macro : Набор конфигурационных шагов, которые применяются к порту, когда устройство отключается

Device Macro применен

Device Anti-Macro applied

Auto SmartportsРежимы работы

Автоматическая настройка порта доступа при

подключении устройства

Auto SmartportsРекомендации

Auto smartports могут быть включены глобально или на интерфейсе

По умолчанию auto smartports используют CDP в качестве метода идентификации устройства

Если 802.1x включено, тогда макрос управляется 802.1x

802.1x позволяет откат к CDP

Определите, какие порты будут управляться ASP

Поддерживается в:12.2(55)SE – 2960, 3560, 375012.2(54)SG - 4500

LWAPP AP macro

PC/Phone macro

Switch port macro

Введение в Smart Install

• Как это работает:Директор перехватывает dhcpзапросы клиентских устройств.

Информация используемая для определения образа ПО и конфигурационного файла, которые должны быть загружены:PIDMACSTACK Connectivity

Smart Install Topology

DIRECTOR

Smart Install Clients

Smart Install Clients

DIRECTOR

DHCP Server

TFTPServer

Smart Install TopologyDHCP Server

TFTPServer

• Сеть, использующая Smart Install,включает группу сетевых устройств, называемых клиентами, которые обслуживаются общим L3 коммутатором или маршрутизатором, который работает как директор. Директор обеспечивает единую точку управления образами ПО и конфигурационными файлами клиентских коммутаторов

Легкость развертывания

•Минимальная и одноразовая конфигурация

•Zero touch

•Упрощение замены коммутатора

•Меньше времени на добавление коммутатора в сеть

Легкость управления

•Единая точка управления

•Минимальное вмешательство пользователя

•Кастомизация

•Апгрейд образов ПО и конфигурационных файлов по расписанию

•Круглосуточное резервное копирование конфигурационных файлов

Экономия

•Встроенное в ПО решение

•Требуются минимальные технические знания

Почему использовать SmartInstall?

Smart Install NetworkКомпоненты Director - настраивает клиентов, предоставляя функционал plug and

play

Client - получает файлы ПО и конфигурации от Director-а

Groups - Классификация клиентских коммутаторов, основанная на их модели и других параметрах для лучшего управления

DHCP и TFTP сервер – выдает IP адреса, образы и конфигурационные файлы клиентским коммутаторам

Центральный TFTP, DHCP Server

2960

Клиентские коммутаторы

Director

Группа клиентов 1 Группа клиентов 2

Director

Настройка нового коммутатора с помощьюSmart Install1. Новый коммутатор подключен2. Запрос DHCP 3. Перехват DHCP запроса4. Коммутатор определен в группу 35. Присвоение Hostname/IP6. Загрузка конфигурации и образа

ПО

Group-4

Group-2

Client Switches

Group-3

Рекомендации по выбору директора• Объем flash памяти (используемой

и свободной) должен быть достаточно большим для клиентов

• Также на данном Flash содержится конфигурация Director-а и его образ ПО

• Размер образов IOS варьируется в зависимости от типа клиента. Размер Flash памяти ограничен

• Если в сети используется больше одного product ID, рекомендуется использовать более одного TFTP сервера

Поддерживаемые аппаратные платформыDirector Switches: 3750, 3750v2, 3750E, 3560, 3560v2, 3560E - Software version : 12.2.(55)SE & above 3750X, 3560X - Software version : 12.2.(55)SE2 & above Catalyst 4k series – Will support SmartInstall Director functionality in the future Recommended version for switches : 12.2.(55)SE3 because of enhancements

Director Routers: G1: 1841, 2801, 2811, 2821, 2851, 3825, 3845 G2: 1921, 1941, 2901, 2911, 2921, 2951, 3925, 3945, 3925E, 3945E, NM-16-ESW Minimum Software version : 15.1.(3)T

Client Switches

3k – 3750, 3750E, 3750X, 3560, 3560E, 3560X, 3560C 2k – 2960, 2960C, 2960S, 2975, 2960G. NME-16ES-1G-P, SM-ES3SM-ES2-16-P Special Cases: 3560v2, 3750v2, Industrial Ethernet series switches (custom groups)





Что такое NetFlow ?• Разработана и запатентована Cisco®

Systems в 1996• NetFlow – стандарт де-факто для

получения данных о работе IP • Испоьзуется для мониторинга

работы сетей и информационной безопасности, планирования сетей, анализа трафика и IP аккаунтинга

• NetFlow v9 (RFC3954) является базой для стандарта IETF IPFIX (RFC5101 & RFC5102)

Планирование сервисовFlexible NetFlow (FNF)

• Традиционный NetFlow с v5, v7 или v8 NetFlow экспорт

• NetFlow Version 9 (RFC3954)Преимущества: расширяемость

Быстрая интеграция новых технологий/типов данных(MPLS, IPv6, BGP next hop и т.д.)

Быстрая интеграция новых агрегацийБаза для IETF IPFIX стандарта (RFC5101 & RFC5102)

• Flexible NetFlowПреимущества: гибкое кэширование и экспорт

Выбранные пользователем flow keysОпределенные пользователем записи

Экспорт

Измерение

Flexible NetFlow

Сравнение традиционного NetFlow и Flexible NetFlow

SrcIf SrcIPadd DstIf DstIPadd Protocol SrcPort DstPortFa1/0 173.100.21.2Fa0/0 10.0.227.1211 00A2 00A2Fa1/0 173.100.3.2Fa0/0 10.0.227.126 15 15Fa1/0 173.100.20.2Fa0/0 10.0.227.1211 00A1 00A1Fa1/0 173.100.6.2Fa0/0 10.0.227.126 19 19

ТрадиционныйNetFlow NetFlow Cache

Фиксированные7 ключей

Export

Flow cache 1DstIPadd Protocol TOS10.0.227.12 11 8010.0.227.12 6 4010.0.227.12 11 8010.0.227.12 6 40

Protocol TOS Flgs11 80 106 40 011 80 106 40 0

SrcIf SrcIPadd DstIfFa1/0 173.100.21.2 Fa0/0Fa1/0 173.100.3.2 Fa0/0Fa1/0 173.100.20.2 Fa0/0Fa1/0 173.100.6.2 Fa0/0

Flow cache 2

Flow cache 3

Export

Export

Export Destination 1

Destination 2

Destination 3

IT team#1

IT team#2

Security focused analyzer

Flexible definition of flow records applied to selected interface or VLAN

Ability to export flow information to multiple collectors/analyzers

Fixed definition of flow record globally Export only to one collector

Flow Monitor 1

Flow Monitor 2

Flow Monitor 3

Мониторинг безопасности

• Определение сетевых аномалий –идентификация и устранение сетевых атак• Захват пакетов и расследование инцидентов• Приемлемое использование сети

Статистика использования/биллинг

• Разработка схем биллинга, основанных на переданном трафике данных, видео и голоса на каждом порту.• Выставление счетов на основе использования порта•Применение политик для ограничения использования

Планирование емкости

• Поиск наиболее «говорливых» хостов в LAN• Поиск трендов трафика за временные промежутки• Определение типов приложений в различных частях сети

Flexible NetFlow (FNF)Примеры использования

Статистика использования и биллинг на уровне доступа

• Коммутаторы доступа знают о местоположении конечных устройств, что полезно для точного биллинга– FNF на коммутаторах доступа

может измерять трафик входящий в и выходящий из сети

– Постоянный мониторинг позволяет получать статистику

• FNF в паре с идентификатором пользователя (802.1x/web-auth/MAB) позволяет точно сопоставить пользователя и использованные им ресурсы

To the Core To the Core

Service Modules export usage information to the FNF

collector for billing decisions

Service Modules export usage information to the FNF

collector for billing decisions

Планирование емкости на уровне доступа

• Шаг 1: Понять параметры трафикаТип трафика – HTTP, SMTP, Voiceи т.д.Времена пиков трафикаПотребление трафика по местоположению и времени

• Шаг 2: Внедрение политик для предотвращения перегрузок путем фильтрации/полисинга трафикаВременные политики – против пиков трафикаПолитики, основанные на местоположении– разрешить или запретить доступ для определенных типов трафика

Автоматизация с помощью Flexible NetFlowи EEMEmbedded Event Manager

srcIf SrcIPadd DstIf DstIPadd TTL

Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 0

Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 10

Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 200

*MAR 29 2010 12:29:02.604 UTC: %HA_EM-6-LOG: my-ttl-applet: flow record with zero TTL

NetFlow cache

Пример I: Обнаружение и оповещение о пакетах неправильной формы TTL = 0 triggers an EEM event

syslog message generated based on pre-configured policies

Attacker sending malformed pkts with

TTL=0

srcIf SrcIPadd DstIf DstIPadd bytes

Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 34346

Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 300

Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 1000

NetFlow cache

Пример II : Обнаружение и устранение аномального потока

*Feb 18 01:24:30.455: %LINK-5-CHANGED: Interface FastEthernet 1/0, changed state to administratively down

NetFlow ED triggers policies to monitor flow rate. Typically, voice conversations are 64kbps

interface Fa1/0 is shut down when the flow rate exceeds 1Mbps

Compromised phone sending

traffic with high rate

Платформы, поддерживающие Flexible Netflow

Новый модуль: 3KX-SM-10G Сервисный модуль для Catalyst 3750X и 3560X

Делает Flexible Netflow на аппаратуре

Line rate – 40Гбит/с

Поддерживает Netflow version 9

Доступен в IP Base и выше

Может выполнять Switch-to-Switch MACSec (802.1ae)

SUPERVISOR ENGINE 7-E SUPERVISOR ENGINE 7L-E

• Optimized for Large Campus• 848 Gbps Switching Capacity• 250 MPPS, 256K Routes• Flexible Netflow• Wireshark Services• TrustSec, VSS*

• Optimized for Small/Mid Size Campus• 520 Gbps (48G/slot)• 225 MPPS, 64K Routes• Flexible Netflow• Wireshark Services

NEW

* Roadmap

Cisco 800Series

Cisco 18001900 Series

Cisco 38003900Series

Cisco 28002900Series

Catalyst 6K Sup2T

Cisco 12000 SeriesASICCisco 7x00

Series

Cisco 4500Sup7

Cisco IOS Software Releases

Enterprise & aggregation/edge

Cisco IOS Software Release 12.2S

Cisco 7200/7300 Series

Доступ

ЯдроRelease 12.0S/IOS-XR

ASR9000CRS-1 ASIC

ASR1000QFP based

ЦОД

Nexus 7000

Nexus 1000V

ASR1000QFP based

Cat 6KSup2T

FNFFNF

FNF FNFFNF FNF

FNF

FNF

FNF

FNFFNF

FNFFNF

Cisco 7600 Series

FNF

Catalyst 6K< Sup2T

Catalyst 3750X(req. аплинк Module)

FNFTNFTNF

TNF TNF

TNFTNFTNFTNF

TNFTNF

Cisco 4500<= Sup5

TNF

NO FNF support Hardware limitation

TNF

Традиционный NetFlow и Flexible NetflowПолная поддержка в продуктах

FNF

FNF

Catalyst 4500Sup7E

Спасибо!

Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!

Technology

Интеллектуальный уровень доступа как граница кампусной сети