Upload
cisco-russia
View
393
Download
6
Embed Size (px)
Citation preview
Интеллектуальный уровень доступа как граница кампусной сетиВиктор Платов, системный инженер-консультант
Что такое, интеллектуальный коммутатор доступа?
vs.
Мобильность
конвергенция проводного и
беспроводного доступа
Защита окружающей
среды
рост цен на электроэнергию,
общая озабоченность
уровнем выбросов
Безопасность
Безопасный доступ при
экспоненциальном росте числа устройств,
подключаемых к сети
Работа приложений
Потребность в более тонком управлении приложениями для
оптимальной производительности
Голос/Видео
Рост доли видео в трафике
Облегчить обслуживание, уменьшить сложность управления
Когда уровень доступа знает…Интеллектуальный доступ– Новые требования
Содержание
• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough
• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service
• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow
Где мы сейчасСовременная модель подключения
Для каких целей мы строим уровень доступа?
Подключение устройств
Высокая доступность (spanning tree)
Внедрение VLAN-ов для изоляции трафика(например голос иданные)
Использование QoS для поддержки телефонии
Безопасность (везде где можем)
interface FastEthernet0/24switchport access vlan 100switchport mode accessswitchport voice vlan 200!
switchport port-security maximum 2switchport port-securityswitchport port-security aging time 2switchport port-security violation restrictswitchport port-security aging type inactivity!
srr-queue bandwidth share 10 10 60 20queue-set 2priority-queue out mls qos trust device cisco-phonemls qos trust cosauto qosvoipcisco-phone! macro description cisco-phone!spanning-tree portfastspanning-tree bpduguard enable!service-policy input AutoQoS-Police-CiscoPhone
Voice и Data VLAN-ы
Настройка Spanning Tree
QoS –доверенный
трафик от телефона
Борьба с L2 DoS
QoS
Smartports
Высокая доступность- Время восстановления после отказа <1с- Архитектура высокой доступности NSF/SSO, VSS и т.д.
Оптимизация задержки и полосы пропускания- гигабитный доступ- 10GigE распределение/ядро- IP multicast
Конфиденциальность- Аутентификация оконечных устройств и пользователей(например, 802.1x)- Соответствие политик безопасности с защитой передаваемых данных, такие как шифрование(например, Cisco TrustSec)
Виртуализация сетевых сервисов-VRF-Lite (или др.) изоляция пути трафика для сегрегации особых видео приложений
Работа приложений реального времени- Политики обслуживания QoS для управления уровнем сервиса- Защита уровня доступа
SiSi SiSi
SiSi SiSi
SiSi SiSi
ВидеконференцииTelePresence
Цифровые вывески
Живые трансляции
и VOD
Наблюдение
Дизайн кампусной сетиТребуемые сервисы
Меняющиеся сетевые сервисыДинамическая инициализация коммутаторов и подключаемых устройств
• Подключение оконечных устройств методом Plug and play (телефоны, UC приложения и точки доступа) необходимо для снижения операционных затрат
– Согласование питания– Настройка VLAN – Аутентификация 802.1x – Настройка QoS– Настройка безопасности
Оптимальный выбор PoE: 802.3af, 802.3at, 802.3az, CDP, LLDP, LLDP-MED
Динамические политики безопасности и QoS: CDP, LLDP-MED, 802.1x
SiSi
Взаимоотношения оконечного устройства и сети меняются. Нам необходим интеллект на границе
сети для соответствия этим изменяющимся требованиям
Содержание
• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough
• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service
• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow
Зачем PoE на уровне доступа• Простота развертывания
– Один кабель для данных и питания• Централизованное управление питанием
– EnergyWise, Energy Efficient Ethernet• Высокая доступность
– Централизованное резервирование, непрерывная работа– Отказоустойчивость питания встроена в большинство сетевых
архитектур– Резервный источник питания UPS используется в большинстве
кампусов сетей предприятий• Минимизация затрат на обслуживание
Дешевые и неэффективные блоки
питания
Резервный UPS
Розетка
Эффективность питания«Большой» блок питания эффективнее индивидуальных БП
Кривая эффективности оптимизирована для среднего значения утилизации
«Большой» блок питания дешевле по сравнению с индивидуальными БП на каждое устройство
Power Over Ethernet Cisco Pre-Standard и 802.3af-2003
• Устройства с поддержкой Cisco pre-standard могли получать6.3Вт сразу, а затем просить больше по CDP
• IEEE 802.3af ратифицирован в 2003 году
• Параметры–Тип кабеля: Cat3 и Cat5/5e/6–Величина тока: 350мA–Напряжение: на питающем устройстве (PSE) 44-57В постоянного тока–Максимальная выходная мощность: PSE 15.40Вт–Максимальная входная мощность: PD(на питаемом устройстве) 12.95Вт–Поддерживаемые режимы: Режим A (дата-пары), Режим B (свободные пары)
• Согласование мощности является ‘опциональным’ для 802.3af устройств
Эволюция сервисов физического уровняПочему нам нужен 802.3at (PoE+)
Диапазон питания IEEE 802.3af
0 Ватт0 Ватт 15.4 Ватт15.4 Ватт
ТД-1200 802.11b/g
6.2 Вт
IP телефон7970G 10.25 Вт
Class 2 7 Ватт
Class 0 / 315.4 Ватт
Диапазон питания IEEE 802.3at
30 Ватт30 Ватт
ТД – 1250 802.11n
20 Вт
Class 14 Ватта
IP телефон9971 28.8 Вт
15.4 Ватт достаточно для большинства PD устройств
сегодня
Но некоторым современным устройствам требуется больше мощности!
Тонкие клиенты
IP Видеофон с тач-скрином
Требования оконечных устройств к питанию растут
Охрана окружающей среды
Необходимость в точном согласовании питания и увеличении его мощности
Power Over EthernetIEEE 802.3at (PoE+)• IEEE 802.3at ратифицирован в сентябре 2009• Параметры
–Тип кабеля: Cat5e или лучше–Величина тока: 600мA при температуре кабеля 50C или ниже–Напряжение: PSE от 50В до 57В–Максимальная выходная мощность: PSE 30Вт–Минимальная входная мощность: PD 25.5Вт–Поддерживаемые режимы: Режим A (дата-пары) или Режим B (свободные пары)
• Source: http://www.ieee802.org/3/at/
30Вт
Не используются для PoE
PD подключено
Коммутатор детектирует IEEE PD
PD классифицировано
Питание подается
1. Это IEEE PD2. PD классифицировано3. Питание подается
Power over EthernetОпределение, классификация и подача питания
Класс Использование класса Минимальные уровни мощности на PSE
Максимальные уровни мощности на PD Описание класса
0 по умолчанию 15.4Вт 0.44 – 12.95Вт Классификация не реализована
1 опционально 4.0Вт 0.44 – 3.84Вт Very Low Power
2 опционально 7.0Вт 3.84 – 6.49Вт Low Power
3 опционально 15.4Вт 6.49 – 12.95Вт Mid Power
4 Зарезервирован в 802.3af Трактуется как Class 0
4 802.3at 30W 12.95W – 25.5Вт High Power
SiSi
Universal PoE (UPoE)Использование 4 пар одновременно
30Вт
60Вт
30Вт
Не нарушает спецификаций безопасности стандартов кабельных сетей
По сути представляет собой два независимых PoE+ соединений
ПараметрыТип кабеля: Cat5e или выше
Величина тока: 600мA при температуре кабеля 50C или нижеНапряжение: PSE от 50В до 57ВМаксимальная выходная мощность (с двух пар): PSE 30ВтМаксимальная входная мощность: PD 51ВтРежим: одновременно режим A (дата-пары) и режим B (свободные пары)
Universal PoE (UPOE)Применение
SiSi
PD компактный коммутатор
Desktop VirtualizationVDI Клиенты
VDI МониторыIP телефоны с видео
Контроль физического доступаControllerНетбуки
Приложения, которые требуют высокой доступности, напримерзвонки 911
Минимизация кабельной инфраструктуры на рабочем месте
Легкость установки и обслуживания
60Вт
15Вт
7Вт
Примеры применения UPoEVDI клиенты• Клиенты потребляют меньше мощности. «Тонкие» клиенты требуют
меньше питания, чем «толстые»• Пригодны для динамического изменения питания
0 Вт
90 Вт
15 Вт 20 Вт 25 Вт 48 Вт 80 ВтUniversal PoE
Wyse ThinClient
CiscoStandalone
CiscoIntegrated
IntegratedDisplay
RepurposedPC
60 Вт
Продукты, поддерживающие PoE
Продукты 802.3af (15Вт) EPoE (20Вт) 802.3at (30Вт) UPOE (60Вт)
Catalyst 2960 Да Нет Нет Нет
Catalyst 2960S Да Yes Да Нет
Catalyst 3560E/3750E Да Yes Нет Нет
Catalyst 3560X/3750X Да Yes Да Нет
Catalyst 4500 Да 4648-RJ45V+E 4748-RJ45V+E 4748-UPOE+E
Catalyst 6500 Да 6148-GE-AF6548-GE-AF 6148E-GE-45AT Нет
Содержание
• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough
• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service
• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow
Почему Energy Efficient Ethernet?График зависимости утилизации от времени для файл-сервера с 1GEинтерфейсом
PHYs передает пустые пакеты когда передавать нечего
Меняющийся подход к энергопотреблению802.3az: Energy Efficient Ethernet (EEE)
Current PHY idle power
802.3az EEE PHY idle power
PHY active power
PHY
pow
er
IEEE 802.3az – основные вехиГолосование рабочей группы – июль 2009
Голосование спонсоров – март 2010
Стандарт – Ноябрь 2010
Выключение PHYs при отсутствии передаваемых данных
Во время паузы сохранять параметры, требуемые для быстрого возврата в активное состояние
Ассиметричный режим работы• Передающая и принимающая схемы
работают независимо
Application
OS
Controller
MAC
PHY
Controller SW
End Point
OS
Controller
MAC
PHY
Controller SW
Switch
EEEEEEEnergy Efficient Ethernet
Режимы работы и сигнализация MDI
Термин Описание
Состояние Active Существующее состояние, использующееся при передаче, когда передаются либо пакет, либо нулевые символы
Состояние Low Power Новое состояние, используемое в периоды отсутствия передаваемых данных.
Термин Описание
Sleep Сигнал для информирования партнера по линку о переходе в состояние Low Power
Quiet Сигналы не передаются
Refresh Периодические сигналы, нужные для поддержания синхронизации во время нахождения в состоянии low power
Wake Сигнал для информирования партнера по линку о переходе в состояние Active
Время «просыпания»: ~15us
Время сна: ~5us
Линейная карта с поддержкой UPoE и EEE
• 60Вт PoE с максимальным бюджетом карты в 1500Вт
• Расширения LLDP согласования питания больше 30Вт
• Совместима сIEEE 802.3az для: 100/1000 Base-T
• Потребление питания зависит от утилизации каналов
WS-X4748-UPOE-RJ45V+E
Отключение питания передатчика при отсутствии передаваемой информации
Во время power-down, сохраняет коэффициенты и синхронизацию для быстрого возврата в активное состояние
Ассиметричный режим работы• Передающие и принимающие схемы
работают независимо
без EEE EEE
1.0 Вт 0.47W
Потребление питания порта 1Гбит/с
Содержание
• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough
• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service
• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow
Cisco Catalyst Compact SwitchesНовое PD / PSE устройство
• Уменьшение требований к инфраструктуре и питанию• PoE/PoE+ (вход и выход) упрощает подачу питания• Тихий, cool, компактный дизайн, идеален для обитаемых мест
Нет блока питанияНет вентилятора
Не нужно охлаждение
Catalyst 2960/3560-C – PoE+ Powered, Pass-Through PoE
3750-X
4500-E
2960-C3560-C
POE Powered & POE Pass ThroughПрименимо к С2960CPD-8PT-L и C3560CPD-8PT-S• Коммутатор питается от медных гигабитных аплинк портов
– Компактный коммутатор функционирует как powered device (PD)• Избыток POE передается на порты доступа
– Компактный коммутатор функционирует как Power supply Equipment (PSE)
Питание компактного коммутатора и IP телефона через одно POE+ аплинк соединение.
Питающийся по POE и передающийPOE на свои порты доступа компактный коммутаторпитается от 3750X POE+ коммутатора, который также обеспечивает питанием и телефон
Бюджет PoE для подключаемых устройствПитание PassThrough для Catalyst 2960CPD-8PT-L
Данные приведены для CAT5 или лучшеПланируется поддержка Universal PoE
Модель коммутатора Опции Доступная мощность PoE (Вт)
WS-C2960CPD-8PT-L
1 PoE аплинк 0Вт
2 PoE аплинка 7Вт
1 PoE+ аплинк 7Вт
1 PoE+ и 1 PoE аплинк 15.4Вт
2 PoE+ аплинка 22.4Вт
Auxiliary вход 22.4Вт
WS-C3560CPD-8PT-S
1 PoE+ 0Вт
2 PoE+ 15.4Вт
Auxiliary вход 15.4Вт
Содержание
• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough
• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service
• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow
Cisco Discovery Protocol – это протокол второго уровня, позволяющий смежным устройствам узнавать о характеристиках друг друга
CDP сообщения отсылаются периодически (по умолчанию каждые 60 секунд)Каждый коммутатор строит свою собственную CDP state table - отсылаемое CDP сообщение содержит значение TTL, которое сообщает принимаемой стороне о том, как долго хранить информацию CDP
CDP
CDP
CDP CDP
C4507R-E#sh cdp neighborsCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port IDC4510R-E TenGig 1/1 161 R S WS-C4510R TenGig 1/1IP Phone 7961 Gig 1/1 159 P CP-7961G Fas 0/1
Discovery Exchange
IP адресТип устройства
Версия ПОИдентификатор устройства
Native VLANVTP Domain Name
Номер портаВозможности
Согласование питания
Согласование сетевых сервисовCDP – Cisco Discovery Protocol
Согласование сетевых сервисовLLDP, LLDP-MED
LLDP-MED
LLDP PDU
LLDP-MEDSiSi SiSi
LLDP
LLDP
LLDP (802.1AB) - IEEE-SA Standards Board approved March 2005
LLDP-MED (TR 41.4) – Дополняет стандарты TIA в области обнаружения конечных устройств (особенно оконечных устройств Unified Communications)
Порты, инициализированные как LLDP могут перейти к работе с LLDP-MED после получения LLDP-MED Capabilities TLV
TLV Type000 0110
TLV Information String Length
System Description
Chassis ID
TLVPort ID
TTLTLV
End of LLDPDU
TLV
0 or more Optional TLVs
PortID
TLVTTLTLV
cr32-4500-1(config)#lldp run
cr32-4500-1(config)#lldp tlv-select ?mac-phy-cfg IEEE 802.3 MAC/Phy Configuration/status TLVmanagement-address Management Address TLVport-description Port Description TLVport-vlan Port VLAN ID TLVsystem-capabilities System Capabilities TLVsystem-description System Description TLVsystem-name System Name TLV
cr32-4500-1(config-if)#lldp med-tlv-select ?inventory-management LLDP MED Inventory Management TLVlocation LLDP MED Location TLVnetwork-policy LLDP MED Network Policy TLVpower-management LLDP MED Power Management TLV
LLDP выключен по умолчанию, вы должны указать, какие опциональные TLV будут отсылаться
LLDP и CDP могут сосуществовать на одном интерфейсе Поддержка LLDP, LLDP-MED
Catalyst 6500 – 12.2(33)SXHCatalyst 4500 and 4900 – 12.2(44)SGCatalyst 3750, 3560, 2970, 2960 - 12.2(37)SE*
* Поддержка Protocol Media Extension (3750, 3560, 2960) - 12.2(40)SE
Configure Optional Global TLV’sEnable LLDP Globally
Configure Optional Interface TLV’s
Согласование сетевых сервисовLLDP, LLDP-MED
Согласование UPOE PowerПример: эволюция возможностей LLDP-MED
• Поддерживается с CDP и LLDP-PoE+ из IEEE 802.3at
UPOE power negotiation done
Spare pair power on
4-pair capability mutual identified
Power is applied on Signal Pair
PD Plugged in
Switch detects IEEE PD
Power is Applied on signal pair
L2 advertisment of 4-pair capability
L2 advertisment of 4-pair capability
PD is classified
PSE allocates 30W+ power
PD request 30W+ power
L2 request for spare pair power on
PSE spare pair operational
SiSi
UPOE Device
Содержание
• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough
• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service
• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow
Почему нам нужно QoS?Перегрузка передающей очереди
Коммутатор доступа
100Мбит/с линк1Гбит/с линк В очереди
Коммутатор распределенияМедленному интерфейсу требуется больше времени для передачиПакеты прибывают в очередь быстрее, чем отсылаютсяПакеты ждут в очереди момента своей отправкиВнедрение серверов с гигабитным или 10 гигабитным интерфейсом отодвигает перегрузку на границу сетиQoS отбрасывает низкоприоритетные пакеты
Толстая 10Гбит/с «труба» с входящими пакетами
Более узкие 1 Гбит/с«трубы» с передаваемыми пакетами
12
12314253
Выходной буфер
345
123
«Сгусток» трафика на 10Гбит/с интерфейсе
Буферизация на 1Гбит/с интерфейсеНужно больше времени на передачу
Дизайн QoS кампусаСтратегические принципы дизайна QoS
• Всегда осуществляйте QoS на аппаратной части вместо программной когда есть выбор
• Классифицируйте и маркируйте приложения так близко к источникам, как это технически и административно возможно
• Применяйте полисинг к ненужным потокам трафика так близко к их источникам, как возможно
• Включайте политики постановки в очередь на каждом узле, где потенциально существует возможность перегрузки
• Защищайте control plane и data plane
Enterprise QoS Solution Reference Network Design Guidehttp://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND/QoS-SRND-Book.html
Голосовые QoS параметры работают по-разному на Cisco и не Cisco телефонахИнтеллектуальный голосовой QoS
Основанный на CDP, доверенный, автоматический
Голосовой трафик, “теггируется Vlan ID”, L2 COS 5Трафик данных “untagged” использует DSCP на
порту коммутатора
Основанный на LLDP
Возможности LLDP-MED для работы с IP телефоном
Функция ‘network-policy’
Установка L2 COS и L3 DSCP по-отдельности
Доверять или не доверять? – вот в чем вопрос
Используйте границу доверия для предотвращения неправильного использования меток COS/DSCP
При auto-qos настройке коммутатор не будет доверять портам доступа, переписывая все CoS/DSCP метки на сконфигурированные значения
Когда коммутатор и телефон обмениваются CDP сообщениями, граница доверия переносится на IP телефон
Телефон переписывает CoS в трафике PC на ‘0’, коммутатор переписывает DSCP
Voice VLAN Traffic is Trusted
Data VLAN Traffic untrusted marked CoS 0
Voice and Video traffic on the Data VLAN Traffic
Граница доверия
Интеллектуальный голосовой QoSГраница доверия с CDP
Настройка голосового QoS для сторонних IPтелефоновLLDP–MED Network Policy TLV
• Network Policy Discovery TLV позволяет как сетевым, так и оконечным устройствам анонсировать свою VLAN конфигурацию, а также связанные L2 и L3 атрибуты, которые применяются к набору определенных приложений на порту
• Application Type: описывает приложения, которые должны использовать данную сетевую политику (Голос, Control / Signaling, …)
• VLAN ID: VLAN, используемый для передачи данного приложения• L2 Priority: значение CoS, используемое для данного приложения• DSCP Value: значение Diffserv используемое для данного приложения
(64 значения)
Эволюция дизайна кампусного QoSБизнес- и технические драйверы
• Новые приложения и требования бизнеса– Бурный рост видео приложений– Распространение HD– Размывание границ Голосовых/Видео/Дата приложений
• Новые стандарты и RFC– RFC 4594
• Новые платформы и технологии– Новые коммутаторы, Супервизоры, Линейные карты, фичи, синтаксис
64% общения не является вербальным1
Одна треть коры головного мозга выделена для зрения2
: 1Kandola, Pearn “The Psychology of Effective Business Communications in Geographically Dispersed Teams”, Cisco Systems, September 20062Vision Group Research, FMRIB, University of Oxford, UK
1080
лин
ий го
ризо
нтал
ьног
о ра
зреш
ения 1920 линий вертикального разрешения (соотношение сторон 16:9)
1080 x 1920 линий =
2,073,600 пикселей на кадр
x 3 цвета на пиксель
x 1 Байт (8 бит) на цвет
x 30 кадров в секунду
= 1,492,992,000 бит/с
или 1.5 Гбит/с несжатый поток
Cisco H.264-based HD кодеки передают 3-5Мбит/с на каждый 1080p потокчто соответствует сжатию более 99.67% (300:1)
Следовательно стоимость потери пакета пропорционально возрастаетПользователи могут заметить потерю одного пакета из 10,000 — HD видео
в сто раз более чувствительно к потерям пакетов, чем VoIP!
Требования новых приложенийУстойчивость HD приложений
Меняющиеся требования бизнесаТребования бизнеса будут меняться и все время возрастать
Critical Data
Realtime
4-классовая модель
Best Effort
Signaling / Control Call Signaling
Critical Data
Interactive Video
Voice
8-классовая модель
Scavenger
Best Effort
Streaming Video
Network Control
Network Management
Realtime Interactive
Transactional Data
Multimedia Conferencing
Voice
12-классовая модель
Bulk Data
Scavenger
Best Effort
Multimedia Streaming
Network Control
Broadcast Video
Call Signaling
Enterprise Medianet Quality of Service Design 4.0http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND_40/QoSIntro_40.html#wp61135
WAN
Автоматизированный голосовой QoS (AutoQoS)Почему AutoQOS
• AutoQoS–Автоматически настраивает сеть для корректной передачи VoIP
• Выгоды–Уменьшает время разворачивания end-to-end QoS в кампусе и WAN–Уменьшает ошибки человека и конфигурирования
Callmanager Unity Voice Applications
Voice Gateways
Auto QoS VoIP – делает это легчеНастраивает QoS для VoIP на коммутаторах кампуса
Access-Switch(config-if)#auto qos voip ?cisco-phone Trust the QoS marking of Cisco IP Phonecisco-softphone Trust the QoS marking of Cisco IP SoftPhonetrust Trust the DSCP/CoS marking
Access-Switch(config-if)#auto qos voip cisco-phoneAccess-Switch(config-if)#exit
!interface FastEthernet1/0/21srr-queue bandwidth share 10 10 60 20srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phonemls qos trust cosauto qos voip cisco-phone end
Варианты:auto qos voip cisco-phone
auto qos voip cisco-softphone
auto qos voip trust
Auto QOS для Media
• Новый Auto QOS videoClassify Classify packets from untrusted device
Trust Trust the QoS marking of the device
connected
Video Configure AutoQoS for video deviceVoip Configure AutoQoS for VoIP
• Разработан из-за быстрого распространения видео приложений в кампусных сетях
• Новый AutoQoS функционал доступен со второй половины 2010
• Auto QOS теперь не только для голоса
Интеллектуальное управлениеIP SLA Video – встроенный генератор трафика
коммутатор Aмаршрутизатор Bмаршрутизатор C
коммутатор DSiSi
SiSi
IPSLA известно индустрии как набор зондов для измерения jitter, ICMP, и т.д. Большинство зондов измеряют параметры без влияния на пользовательский
трафик (хотелось бы верить) Нужен трафик для стрессового тестирования сети IPSLA VO предоставляет
Реалистичное представление случайного видео (RTP) трафика Размеры пакетов, изменчивость, интенсивность трафика и т.д. Преднастроенные профили: IPTV, Video Surv, CTS, клиентский профиль
на основе анализа пакетного дампа
Содержание
• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough
• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service
• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow
Smart Operations – Что это такое?Обзор и преимущества
SmartInstall
Auto Smart Ports
• Plug and Play для нового устройства
• End-points – динамическая конфигурация, основанная на типе подключаемого устройства• Рекомендованная Cisco конфигурация интерфейса для
каждого типа устройства
• Одна точка управления
• Новые коммутаторы- автоматическая загрузка образа ПО и конфигурационного файла
• Упрощает обслуживание
• Развертывание и замена коммутатора без усилий • Уменьшает время простоя сети и надобность в техническом
персонале
• Централизованное управление ПО и конфигурацией• Одна точка управления
Интеллектуальное сопровождениеAutoSmartPorts
Встроенный в коммутатор интеллект для настройки интерфейса на основе идентификации устройства
Автоматическая & рекомендуемая Cisco настройка порта Plug and Play для оконечного устройства
Поддерживаемые устройства:КоммутаторыМаршрутизаторыТочки беспроводного доступаDigital Media PlayerIP-телефоныIP-камеры
Пользователь включает устройство
Device UP trigger detected
Device DOWN detected
Trigger - Событие которое определяет присутствие или отключение устройства от сети ( link up )Macro - Набор конфигурационных команд, вызываемых как одно целоеAnti- macro : Набор конфигурационных шагов, которые применяются к порту, когда устройство отключается
Device Macro применен
Device Anti-Macro applied
Auto SmartportsРежимы работы
Автоматическая настройка порта доступа при
подключении устройства
Auto SmartportsРекомендации
Auto smartports могут быть включены глобально или на интерфейсе
По умолчанию auto smartports используют CDP в качестве метода идентификации устройства
Если 802.1x включено, тогда макрос управляется 802.1x
802.1x позволяет откат к CDP
Определите, какие порты будут управляться ASP
Поддерживается в:12.2(55)SE – 2960, 3560, 375012.2(54)SG - 4500
LWAPP AP macro
PC/Phone macro
Switch port macro
Введение в Smart Install
• Как это работает:Директор перехватывает dhcpзапросы клиентских устройств.
Информация используемая для определения образа ПО и конфигурационного файла, которые должны быть загружены:PIDMACSTACK Connectivity
Smart Install Topology
DIRECTOR
Smart Install Clients
Smart Install Clients
DIRECTOR
DHCP Server
TFTPServer
Smart Install TopologyDHCP Server
TFTPServer
• Сеть, использующая Smart Install,включает группу сетевых устройств, называемых клиентами, которые обслуживаются общим L3 коммутатором или маршрутизатором, который работает как директор. Директор обеспечивает единую точку управления образами ПО и конфигурационными файлами клиентских коммутаторов
Легкость развертывания
•Минимальная и одноразовая конфигурация
•Zero touch
•Упрощение замены коммутатора
•Меньше времени на добавление коммутатора в сеть
Легкость управления
•Единая точка управления
•Минимальное вмешательство пользователя
•Кастомизация
•Апгрейд образов ПО и конфигурационных файлов по расписанию
•Круглосуточное резервное копирование конфигурационных файлов
Экономия
•Встроенное в ПО решение
•Требуются минимальные технические знания
Почему использовать SmartInstall?
Smart Install NetworkКомпоненты Director - настраивает клиентов, предоставляя функционал plug and
play
Client - получает файлы ПО и конфигурации от Director-а
Groups - Классификация клиентских коммутаторов, основанная на их модели и других параметрах для лучшего управления
DHCP и TFTP сервер – выдает IP адреса, образы и конфигурационные файлы клиентским коммутаторам
Центральный TFTP, DHCP Server
2960
Клиентские коммутаторы
Director
Группа клиентов 1 Группа клиентов 2
Director
Настройка нового коммутатора с помощьюSmart Install1. Новый коммутатор подключен2. Запрос DHCP 3. Перехват DHCP запроса4. Коммутатор определен в группу 35. Присвоение Hostname/IP6. Загрузка конфигурации и образа
ПО
Group-4
Group-2
Client Switches
Group-3
Рекомендации по выбору директора• Объем flash памяти (используемой
и свободной) должен быть достаточно большим для клиентов
• Также на данном Flash содержится конфигурация Director-а и его образ ПО
• Размер образов IOS варьируется в зависимости от типа клиента. Размер Flash памяти ограничен
• Если в сети используется больше одного product ID, рекомендуется использовать более одного TFTP сервера
Поддерживаемые аппаратные платформыDirector Switches: 3750, 3750v2, 3750E, 3560, 3560v2, 3560E - Software version : 12.2.(55)SE & above 3750X, 3560X - Software version : 12.2.(55)SE2 & above Catalyst 4k series – Will support SmartInstall Director functionality in the future Recommended version for switches : 12.2.(55)SE3 because of enhancements
Director Routers: G1: 1841, 2801, 2811, 2821, 2851, 3825, 3845 G2: 1921, 1941, 2901, 2911, 2921, 2951, 3925, 3945, 3925E, 3945E, NM-16-ESW Minimum Software version : 15.1.(3)T
Client Switches
3k – 3750, 3750E, 3750X, 3560, 3560E, 3560X, 3560C 2k – 2960, 2960C, 2960S, 2975, 2960G. NME-16ES-1G-P, SM-ES3SM-ES2-16-P Special Cases: 3560v2, 3750v2, Industrial Ethernet series switches (custom groups)
Содержание
• Технологии обеспечения и управления питаниемPoE – 802.3af, 802.3at и UPOEEnergy Efficient Ethernet PoE-Passthrough
• Сервисы определения типа устройств и QoSCDP, LLDP, LLDP-PoE+Dynamic Quality of Service
• Интеллектуальное обслуживание и мониторингAuto-SmartPorts и SmartinstallNetflow / Flexible Netflow
Что такое NetFlow ?• Разработана и запатентована Cisco®
Systems в 1996• NetFlow – стандарт де-факто для
получения данных о работе IP • Испоьзуется для мониторинга
работы сетей и информационной безопасности, планирования сетей, анализа трафика и IP аккаунтинга
• NetFlow v9 (RFC3954) является базой для стандарта IETF IPFIX (RFC5101 & RFC5102)
Планирование сервисовFlexible NetFlow (FNF)
• Традиционный NetFlow с v5, v7 или v8 NetFlow экспорт
• NetFlow Version 9 (RFC3954)Преимущества: расширяемость
Быстрая интеграция новых технологий/типов данных(MPLS, IPv6, BGP next hop и т.д.)
Быстрая интеграция новых агрегацийБаза для IETF IPFIX стандарта (RFC5101 & RFC5102)
• Flexible NetFlowПреимущества: гибкое кэширование и экспорт
Выбранные пользователем flow keysОпределенные пользователем записи
Экспорт
Измерение
Flexible NetFlow
Сравнение традиционного NetFlow и Flexible NetFlow
SrcIf SrcIPadd DstIf DstIPadd Protocol SrcPort DstPortFa1/0 173.100.21.2Fa0/0 10.0.227.1211 00A2 00A2Fa1/0 173.100.3.2Fa0/0 10.0.227.126 15 15Fa1/0 173.100.20.2Fa0/0 10.0.227.1211 00A1 00A1Fa1/0 173.100.6.2Fa0/0 10.0.227.126 19 19
ТрадиционныйNetFlow NetFlow Cache
Фиксированные7 ключей
Export
Flow cache 1DstIPadd Protocol TOS10.0.227.12 11 8010.0.227.12 6 4010.0.227.12 11 8010.0.227.12 6 40
Protocol TOS Flgs11 80 106 40 011 80 106 40 0
SrcIf SrcIPadd DstIfFa1/0 173.100.21.2 Fa0/0Fa1/0 173.100.3.2 Fa0/0Fa1/0 173.100.20.2 Fa0/0Fa1/0 173.100.6.2 Fa0/0
Flow cache 2
Flow cache 3
Export
Export
Export Destination 1
Destination 2
Destination 3
IT team#1
IT team#2
Security focused analyzer
Flexible definition of flow records applied to selected interface or VLAN
Ability to export flow information to multiple collectors/analyzers
Fixed definition of flow record globally Export only to one collector
Flow Monitor 1
Flow Monitor 2
Flow Monitor 3
Мониторинг безопасности
• Определение сетевых аномалий –идентификация и устранение сетевых атак• Захват пакетов и расследование инцидентов• Приемлемое использование сети
Статистика использования/биллинг
• Разработка схем биллинга, основанных на переданном трафике данных, видео и голоса на каждом порту.• Выставление счетов на основе использования порта•Применение политик для ограничения использования
Планирование емкости
• Поиск наиболее «говорливых» хостов в LAN• Поиск трендов трафика за временные промежутки• Определение типов приложений в различных частях сети
Flexible NetFlow (FNF)Примеры использования
Статистика использования и биллинг на уровне доступа
• Коммутаторы доступа знают о местоположении конечных устройств, что полезно для точного биллинга– FNF на коммутаторах доступа
может измерять трафик входящий в и выходящий из сети
– Постоянный мониторинг позволяет получать статистику
• FNF в паре с идентификатором пользователя (802.1x/web-auth/MAB) позволяет точно сопоставить пользователя и использованные им ресурсы
To the Core To the Core
Service Modules export usage information to the FNF
collector for billing decisions
Service Modules export usage information to the FNF
collector for billing decisions
Планирование емкости на уровне доступа
• Шаг 1: Понять параметры трафикаТип трафика – HTTP, SMTP, Voiceи т.д.Времена пиков трафикаПотребление трафика по местоположению и времени
• Шаг 2: Внедрение политик для предотвращения перегрузок путем фильтрации/полисинга трафикаВременные политики – против пиков трафикаПолитики, основанные на местоположении– разрешить или запретить доступ для определенных типов трафика
Автоматизация с помощью Flexible NetFlowи EEMEmbedded Event Manager
srcIf SrcIPadd DstIf DstIPadd TTL
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 0
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 10
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 200
*MAR 29 2010 12:29:02.604 UTC: %HA_EM-6-LOG: my-ttl-applet: flow record with zero TTL
NetFlow cache
Пример I: Обнаружение и оповещение о пакетах неправильной формы TTL = 0 triggers an EEM event
syslog message generated based on pre-configured policies
Attacker sending malformed pkts with
TTL=0
srcIf SrcIPadd DstIf DstIPadd bytes
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 34346
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 300
Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 1000
NetFlow cache
Пример II : Обнаружение и устранение аномального потока
*Feb 18 01:24:30.455: %LINK-5-CHANGED: Interface FastEthernet 1/0, changed state to administratively down
NetFlow ED triggers policies to monitor flow rate. Typically, voice conversations are 64kbps
interface Fa1/0 is shut down when the flow rate exceeds 1Mbps
Compromised phone sending
traffic with high rate
Платформы, поддерживающие Flexible Netflow
Новый модуль: 3KX-SM-10G Сервисный модуль для Catalyst 3750X и 3560X
Делает Flexible Netflow на аппаратуре
Line rate – 40Гбит/с
Поддерживает Netflow version 9
Доступен в IP Base и выше
Может выполнять Switch-to-Switch MACSec (802.1ae)
SUPERVISOR ENGINE 7-E SUPERVISOR ENGINE 7L-E
• Optimized for Large Campus• 848 Gbps Switching Capacity• 250 MPPS, 256K Routes• Flexible Netflow• Wireshark Services• TrustSec, VSS*
• Optimized for Small/Mid Size Campus• 520 Gbps (48G/slot)• 225 MPPS, 64K Routes• Flexible Netflow• Wireshark Services
NEW
* Roadmap
Cisco 800Series
Cisco 18001900 Series
Cisco 38003900Series
Cisco 28002900Series
Catalyst 6K Sup2T
Cisco 12000 SeriesASICCisco 7x00
Series
Cisco 4500Sup7
Cisco IOS Software Releases
Enterprise & aggregation/edge
Cisco IOS Software Release 12.2S
Cisco 7200/7300 Series
Доступ
ЯдроRelease 12.0S/IOS-XR
ASR9000CRS-1 ASIC
ASR1000QFP based
ЦОД
Nexus 7000
Nexus 1000V
ASR1000QFP based
Cat 6KSup2T
FNFFNF
FNF FNFFNF FNF
FNF
FNF
FNF
FNFFNF
FNFFNF
Cisco 7600 Series
FNF
Catalyst 6K< Sup2T
Catalyst 3750X(req. аплинк Module)
FNFTNFTNF
TNF TNF
TNFTNFTNFTNF
TNFTNF
Cisco 4500<= Sup5
TNF
NO FNF support Hardware limitation
TNF
Традиционный NetFlow и Flexible NetflowПолная поддержка в продуктах
FNF
FNF
Catalyst 4500Sup7E
Спасибо!
Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!