Upload
cisco-russia
View
397
Download
0
Embed Size (px)
Citation preview
Построение автономных и управляемых сетей.
Сергей Великанов
01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
О чем пойдет речь
• Segment Routing • Автономные сети
MPLS – простой или сложный?
Простой Data plane Label/Label stack + 3 операции (push/pop/swap)
Сложный Control Plane
• IGP + LDP + RSVP + Service Plane (LDP/BGP) • Требуется синхронизация протоколов • Легко сделать ошибку • Сложно отлаживать • Большая нагрузка на Control Plane
Что хочется сделать?
Сохранить и использовать MPLS Data Plane Сохранить и использовать все MPLS-сервисы
VPLS, VPNv4/v6, VPLS, FRR, L2VPN и другие Создать более удобный Control Plane для forwarding
Меньше протоколов Меньше настроек Меньше нагрузки на CPU
Сохранить возможность совместной работы с LDP и RSVP
Что изменяется?
IPv4 IPv6 IPv4 VPN
IPv6 VPN VPWS VPLS Ничего не меняем
MPLS-сервисы (Control Plane и Forwarding)
MPLS – forwarding plane
LDP
MPLS Forwarding Label / Label Stack + Push/Pop/Swap
RSVP BGP Static IS-IS OSPF
Ничего не меняем
Все изменения здесь
MPLS – control plane
Что такое Segment routing?
Source Routing – источник описывает передачу трафика по сети, с помощью последовательности сегментов в заголовке пакета
Сегмент = Инструкция (например, «доставить трафик до узла N кратчайшим путем«)
MPLS forwarding plane Сегмент = label IPv6 forwarding plane Сегмент = extension header
Тема нашего разговора
Segment routing и IGP
Node A lo0: 172.16.12.1/32
Node-SID: 64
Node-SID (глобальный) Доставить пакет до узла по SPT
Adj-SID (локальный) Передать пакет через интерфейс
Prefix-SID (глобальный) Доставить пакет до префикса по SPT
Anycast-SID (глобальный) Передать пакет по подмножеству узлов
Adj-SID: 1100
Node A lo0: 172.16.12.1/32
1.1.1.1/32
Prefix-SID: 1111
Segment routing и IGP стандартизация
Простое расширение ISIS/OSPF Cisco/Juniper/ALU/Ericson
Node segment (пример)
Узел Z анонсирует node-SID 65 IGP sub-TLV extension
Все узлы инсталлируют node-SID в MPLS Data plane
A B C
Z
D
65
FEC Z push 65
swap 65 to 65
swap 65 to 65
pop 65 Пакет с label 65 передается к узлу “Z” по кратчайшему пути
Packet to Z
Packet to Z
65 Packet
to Z
65 Packet
to Z
65 Packet
to Z
Adjacency segment
B
C
Pop 9003 9001 передать через 1ый интерфейс
9002 передать через 2ой интерфейс
9003 балансировать по группе
интерфейсов
Pop 9001
Pop 9002
Pop 9003
Adjacency Segment (пример)
Узел “C” анонсирует adj-SID по IGP Только узел “C” инсталлирует adj-SID в MPLS Data plane
A B C
M N O
Z
D
P
Pop 9003
На узле “C” пакет с лейблом 9003 должен быть
передан по каналу “C-O”
65
Описываем путь с помощью ADJ-SID
Каждый ADJ-SID запрограммирован только на одном узле Возможность описать любой путь по сети
B C
N O
Z
D
P
A
9101
9105 9107
9103 9105
9101
9105
9107
9103
9105
9105
9107
9103
9105
9107
9103
9105
9103
9105
9105
Комбинируем сегменты
Возможность совмещать TE и ECMP Всего один протокол (IGP + extension)
A B C
M N O
Z
D
P
Pop 9003
Packet to Z
65
9003
Packet to Z
65
Packet to Z
Packet to Z
65
Packet to Z
65
9003
72
Packet to Z
65
9003
72
72 72
65
65
Anycast segment для Dual Core
Используем Node-SID [65] Передаем трафик до узла “Z” используя ECMP в обеих плоскостях
Используем Anycast-SID + Node-SID [111, 65] Передаем трафик до узла “Z” используя ECMP только в одной плоскости
IGP automatically installs segments
Simple extension Excellent Scale: a node installs N+A FIB entries
N node segments and A adjacency segments
A B C
M N O
Z
D
P
Nodal segment to C
Nodal segment to Z
Adj Segment
Nodal segment to C
SR и управление внешней связностью
Определяем точку выхода из AS на ingress router
A
B
D
ZAS1
AS2
AS3
AS4 E
C
http://tools.ietf.org/html/draft-filsfils-spring-segment-routing-central-epe-01 Cisco, Facebook, Yandex
PeerNode SID - Передать пакет через заданный пирам
PeerAdj SID - Передать пакет через заданный интерфейс
PeerSet SID - Балансировать трафик по группе пиров
Application controls – network delivers
Нужно 2G от A до Z
Канал между C и D загружен Я не могу использовать короткий
путь
65 98%
65
Путь ABCOPZ вполне подходит.
98% 66
65 68
Используй путь {66, 68, 65}
Туннели на базе CoS
Нужно передать данные из Токио в Брюссель данные : через США: дешевый канал голос: через Россию: низкие задержки
CoS-based TE with SR IGP метрики настроены след. образом
— Из Токио в Россию: Через Россию — Из Токио в Брюссель: Через США — Россия в Брюссель: Через Европу
В Токио настраивается следующая политика Data and Brussels: push the node segment to Brussels
VoIP and Brussels: push the anycast node to Russia, push Brussels
Node segment to Brussels Node segment to Russia
Пример проверки работы сети
B C
N O
A
9101 9105
9107
9104
9101 9105 9107 9108 9104 9105
Nanog57, Feb 2013
9108 9105 9108
9102
9108 9102
Основные отличия SR от существующей модели MPLS
Простой Control Plane (не требуется LDP и RSVP) Если требуется Segment routing может работать параллельно с LDP/
RSVP — draft-filsfils-spring-segment-routing-ldp-interop-00
Per-tunnel forwarding state только на ingress узле. Нет per-tunnel states на mid-point (как в RSVP MPLS TE)
Возможность сочетать ECMP и explicit-routing
Простой Control Plane (только IGP + extension)
Поддержка ECMP Помогает масштабироваться
Масштабируемость SR-TE
Размер forwarding-таблиц зависит только от Nodes + Adj и не зависит от количества TE-тоннелей
N+A vs N^2 N: # количество узлов A: # количество интерфейсов
Centralized Traffic Engineering
FULL 66
65 68
Нет per-tunnel state на mid-point можно перейти к tunnel per-application ECMP + Explicit routing позволяет уменьшить количество TE tunnels
Не нужно программировать mid-point проще контролировать сеть
Tunnel AZ onto {66, 68, 65}
Cisco WAVE
App App App
API
BGP-LS, Netconf, SNMP
Критика Segment Routing
Проблема: HW ограничения глубины стека В большинстве случаев для TE достаточно 2-3 сегмента Для NG NPU глубина стека >10 лейблов
Проблема: Segment routing TE не учитывает ресурсы Это так, но для этого есть контроллер
Активная работа в IETF – Работа в рамках SPRING WG – 15 IETF drafts released
Развитие технологии
www.segment-routing.net Полный перечень материалов
Orange, Deutche Telecom, British Telecom, Comcast,
Google, Facebook, Yandex, Alcatel-Lucent, Ericson,
Juniper, Huawei
Edge Configuration (Node Segment Id)
Core Configuration (Node Segment Id)
IS-IS Database Verification for Edge Node (Node Segment Id)
IS-IS Database Verification for Core Node (Node Segment Id)
Edge Forwarding Plane Verification (Node Segment Id)
Core Forwarding Plane Verification (Node Segment Id)
L3VPN Configuration (Node Segment Id)
L3VPN Control and Forwarding Plane Verification (Node Segment Id)
Cisco Autonomic Network
0
500
1000
1500
2000
2500
2003 2004 2005 2006 2007 2008 2009 2010
routers
lines/router
Проблемы современных сетей
Функционал Auto-IP
• Plug-n-Play режим для добавления/удаления маршрутизаторов в кольце
• Простой механизм взаимодействия маршрутизаторов в колце на основе расширения LLDP
• Маршрутизаторы в кольце автоматически согласовывают IP-адреса /31 на линках связи друг с другом
R1
R3
R2
PE2
PE1
LLDP Auto-IP negotiation
R1
R2
R3
Non-owner, P=0
1.1.1.2/31 Non-owner, P=0 Owner, P=2
Owner, P=2
1.1.1.3/31 1.1.1.0/31
1.1.1.1/31
Процесс развертывания сети
Заказ оборудования
Предконфигурация
Доставка и установка
Исправление ошибок
Активация сервисов
Управление/мониторинг
Оптимизация процесса
Заказ оборудования
Доставка и установка Активация
сервисов
Управление/мониторинг
Исправление ошибок и предконфигурация
Security Discovery
*without* servers or configuration
Экономия ресурсов
Zero-Touch Deployment Solutions
Идеальная модель Zero Touch
Registrar Dark Layer 2 Cloud
Ну вот, я подключился!!! Эмм, наверное мне нужен первоначальный конфиг ?
Необязательно! Я помогу тебе, у тебя есть твой идентификатор?
Все что у меня есть это SUDI! Отлично,
Этого достаточно!
Петя
Обнаружение линка связи
Registrar Dark Layer 2 Cloud
Incremental VLAN probes
Acceptable VLAN ACK
AN Hello
AN Hello
Ух ты! Я знаю свой
VLAN
Теперь я знаю твой VLAN, а заодно и
Link Local IPv6 address
Петя
Установка сертификата домена
Registrar Dark Layer 2 Cloud
Domain Certificate
SUDI / UDI
Проверка по локальному списку UDI
Петя
Мне нужно тебя идентифицировать
Доступ разрешен! Вот твой сертификат
Здорово! Теперь я в комманде!!!
Autonomic Control Plane (ACP)
Registrar Dark Layer 2 Cloud
Router # show autonomic device UDI <UDI> Device ID Router-1 Domain ID cisco.com Domain Certificate (sub:) cn=Router-1:cisco.com Device Address FD08:2EEF:C2EE::D253:5185:5472
Routing Protocol
IPSEC
Tunnel
Петя
Что делаем дальше, Шеф? Жду указаний!
Поднимай тунель и запускаем
маршрутизацию
Функционал Proxy Bootstrap
Registrar Dark Layer 2 Cloud
Channel Discovery
SUDI / UDI
У нас новенький! SUDI / UDI
А вот и я! Как мне подключиться к
вам???
Не волнуйся! Я буду твоим помошником и подскажу что делать!
Петя Вася
Автономные сети в действии
Registrar Dark Layer 2 Cloud
Петя
Вася
Обнаружение и распространение сервисов
Registrar Dark Layer 2 Cloud
AAA Server
Петя
Вася
Автоматическое обнаружение и распространение базовых сервисов –
AAA, DNS, TFTP etc. over the ACP
Ко мне подключен AAA server. Используйте его в
нашем домене
Экосистема Autonomic Network Какае сервера и приложения необходимы для работы? (Каждое приложение, кроме СА-сервера должно быть IPv6 capable)
Обязательно Централизация сервисов
Развитиe в будущем
Zero Touch Deployment Server
SDN Controller / NMS Applications
• Topology app* • Intent interpreter* • Autonomic Domain Manager* • Registrar functionality*
Certificate Authority (CA)
AAA Server
* Future Releases
Создания списка разрешенных устройств
Устройства подключаемые к домены должны быть идентифицированы Создание списка разрешенных устройств возможно несколькими способама
Автоматически получено от Cisco при заказе нового оборудования Загружено пользователем при наличии работающего оборудования
Список загружается вручную
Закупка Спецификация Пользовательские обновления
существующего списка
Registrar
Cisco создает список для новых
устройств
Конфигурация Registrar-маршрутизатора
Router#configure terminal Router(config)#autonomic registrar Router(config-registrar)#domain-id cisco.com Router(config-registrar)#whitelist disk:whitelist.txt Router(config-registrar)#external-CA url <> Router(config-registrar)#no shut
Registrar
CA
Enter Autonomic Registrar Config mode
Configure domain-id – any name will do
Specify a local whitelist (Optional)
Specify an external CA’s url (Optional)
Unshut the Registrar – You’re done!
• If external-CA url is not specified, Registrar runs an IOS CA locally
Автоматическая конфигурация устройств
Third–Party Metro Ethernet
Cloud
Registrar Registrar
Конфиг устанавливается при помощи PnP server* или же TFTP серверов
Активация сервисов!
TFTP
Virtualizing the Registrar: CSR1000v integration
49
CSR1000v
AAA Server
PnP
CA
Network Operations Center (NOC) with CSR1000v VM
acting as the Registrar
IOIOS XE-3.15
Поддержка на устройствах
Поддерживается сегодня: ASR 901, ASR 901s, ASR 903, ASR 920, ME 3600, ME 3800 Catalyst 2000, 3000, 4000, NG3k, IE 2000 Open Source: Secure Network Bootstrap Infrastructure (SNBI; part of OpenDayLight) Планируется поддержка* ASR 9000 ASR 1000, CSR 1000, ISR-G2, ISR-4000
Что дальше
Registrar Michael
Steve
SDN Controllers
NMS Systems • Intent = Business policy for the
entire network or subset of the network
• Automatic distribution of intent using the intent distribution protocol (IDP)
• Loads of plausible use cases : Auto-IP, Routing-protocol Authentication, ACM etc.
• Future releases
AUTONOMIC NETWORK
Авто-конфигурация
Безопасность
Самоорганизация
Самовосстановление
Что такое автономные сети?
Самоуправление
Ждем ваших сообщений с хештегом #CiscoConnectKZ
© 2015 Cisco and/or its affiliates. All rights reserved.
Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.