Cisco Connect · и авторизация абонента Управление ip...
Transcript of Cisco Connect · и авторизация абонента Управление ip...
CiscoConnectМосква, 2017
Цифровизация: здесь и сейчас
Особенности реализации функционала BNG на ASR9000
Алексей Бабайцев
Системный инженер
© 2017 Cisco and/or its affiliates. All rights reserved.
О чем пойдет речь?
• Введение
• Размещение на сети
• Работа с абонентскими сессиями
• Функции QoS
• Поддержка IPv6
• Функции безопасности
• Резервирование и отказоустойчивость
• Требования к оборудованию и масштабируемость
• Лицензирование
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3
Основные тенденции ШПД
Облачные приложения
Облачные сервисы требуют
наличия скоростного и
надежного ШПД доступа
Повсеместный Internet доступ
Быстрый и надежный доступ
в интернет в любом месте
IP Traffic
Ожидается трехкратный рост IP трафика к 2020
году до 2.3зеттабайт в год
Партнерство с OTT операторами
Рост ОТТ трафика требует
выстраивания партнерских
отношений с ОТТ операторами и
поиска новых путей монетизации
M2M
Триллионы новых
подключений “connected
events” в течении ближайшего десятилетия
http://www.cisco.com/c/en/us/solutions/service-provider/visual-networking-index-vni/index.html
Ключевые особенности Cisco BNG на базе XR
Topology independentGeo-Redundancy
Residential, Enterprise, FMC, LMA Lowest TCO
nV SupportLC Based Subscribers
9001 to 9922 A Solution for every need
XR BNG
Высокая плотность портов
Поддержка карт 800Gbps/слотNCS5000 в качестве port-extender
Geo Redundancy в режиме 1:1, M:N,N:1
BNGВысокая надежность
Pay as You Grow
Гибкая модель лицензирования абонентских сессийЛицензирование портов
Программируемость
Data Model Based API’sTelemetry driven analyticsNetwork-wide manageability
PCRF
PMIPv6
RADIUS
NASREQ
250+ Заказчиков, 70M+ Абонентов
Эволюция архитектуры Cisco BNG
*Total Fabric BW
XR BNG – Choicest Subscriber Platform across all architectures
Any Transport Support
Horizontal / Vertical Scaling
Automation SupportUnified
ArcitectureStrong Analytics/
ManageabilityTrue Geo-
Redundancy
Физическое устройство
xDSL
Fiber
Operator Backend
OCS HLR AAA CGF PCRF
Aggregation Fixed Edge
Виртуализация функционала BNG
Fiber
DPI CGN CDNServices
CORE
Automation
Analysis
Flexibility
Scale
Разнесение Data Plane и Control Plane
Scalable Control PlaneAccess N/W
xDSL
Operator Backend
OCS HLR AAA CGF PCRF
XRv9000Farm
CORE
Extensible Data Plane
DPI CGN CDNServices
• Поддержка PPPoE/IPoE• Высокая масштабируемость сессий• Географическое резервирование• Ограниченный скейлинг Control Plane• Недостаточная гибкость
• Неограниченный скейлинг Control Plane
• Неограниченный скейлинг Data Plane• Network Wide Solution View• Высокая степень расширяемости
• Высокая степень расширяемости• Программируемая сеть• Интеграция с дополнительными
сервисами• Возможности миграции
XR BNG Family
Производительность и Масштабируемость
Поддержка IPoE/PPPoE
Производительность BNG 800Gbps/Slot
Географическое резервирование
Программируемость/API
Семейство ASR9K
Fixed 2RU
240 Gbps
2 LC/6RU
16 Tbps
8 LC/21RU
14 Tbps
10 LC/30RU
80 Tbps
20 LC/44RU
160 Tbps
4 LC/10RU
7 Tbps
ASR 9904
ASR 9001
ASR 9006
ASR 9010
ASR 9912
ASR 9922
nV Satellites ASR 9000v, NCS5000
8 LC/21RU
64 Tbps
ASR 9910
4 LC/14RU
32 Tbps
ASR 9906 Target 7/2017
ASR 9901Target 12/2017
Поставляется с 2011
XR BNG Family
Поддержка IPoE/PPPoE
24-32k сессий/VM
Гибкие возможности по миграции
Гео-резервирование в гибридном режиме (vBNG+pBNG)
XRv9000
24-32k сессий / VM
Common northbound interfaces
Consistent manageability look and feel
Архитектура на базе X86
Increase Scale/Throughput with VM scale
IOS XRv 9000 vBNG
ESC & Openstack Orchestrated
Access / Aggregation
Запланировано на середину
СY17
Размещение на сети
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9
xDSL
Fiber
WiFi
Cable
Distributed Centralized
AAA PCRFPortal
Diameter Radius
BNGDHCP
PPPoE AAA
V4/v6
Prepaid
Размещение BNG на сети оператора
10
DHCP
Идентификация абонента
Аутентификация
Определение политик и их назначение
Динамическое обновление политик или назначение новых
BNG взаимодействует с сопутствующими системами для обеспечения жизненного цикла абонента.
Централизованная или Распределенная модель
агрегации
Физическое либо виртуализированное* решение
Различные режимы использования
HQoS
NCS 5001/5002ASR9000v
Использование Satellite в связке с ASR9000/BNG
MC-LAG on the Host
NCS5k
CE
NCS5k
ASR9K BNG
ASR9K BNG
nV Dual Head for BNG Access
NCS5kCE
ASR9K BNG
ASR9K BNG
• Связка satellite + ASR9K воспринимаются как одно шасси
• Satellite работает в качестве линейной карты для ASR 9000
• Высокая доступность
• Высокая масштабируемость 10GE/100GE портов для подключение сетей агрегации/доступа
• Упрощение топологии
Работа с абонентскими сессиями
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13
Основные функции BNG
14
Идентификация
абонента
Аутентификация
и авторизация
абонента
Управление IP
адресами
G0/1.10
Создание виртуальной
конструкции – сессии абонента
G0/1.10
Вася
Олег
Петя
ВасяОлегПетя
Абоненты: Вася,
Олег и Петя.
Вася и Олег –
Интернет-доступ,
Петя - VoIP сервис
На интерфейсе G0/1.10
подключено 3 абонента
G0/1.10
Вася
ВасяОлегПетя
IP адреса абонентов:
10.1.1.10 Вася
10.1.1.20 Олег
10.1.1.30 ПетяОлег
Аутентифицировать абонента и
назначить ему индивидуальные
политики обслуживания
10.1.1.30
10.1.1.20
10.1.1.10
Назначить каждому абоненту
уникальный адрес (возможно из
разных пулов)Петя
Динамическое
управление
политикамиG0/1.10
Вася
Олег
Олег
Динамическое изменение
списка доступных услуг
Петя
Включить
услугу VoIP
для Олега
Инициация динамических сессий
Сессии инициируются по проявлению активности абонента – First Sign of Life (FSOL)
Для сессий разных типов возможны разные FSOL
Поддерживается нескольких сессий для одного MAC адреса в разных VLAN (XR5.1.0)
15
PPP сессии
PPPoE Call Request (PADx)
Получение PADI сообщения
Session-start event
Трафик абонента идентифицируется по
MAC + PPP session ID
IP сессии
Получение DHCP Discover сообщения
Session-start event
Трафик абонента идентифицируется по MAC адресу
BNG должен являться DHCP Proxy (или DHCP server) DHCP proxy = DHCP relay который:
1. создает и поддерживает DHCP bindings
2. «Притворяется» DHCP сервером для абонента
DHCP Discover
Data Traffic
Unclassified MAC
Трафик абонента идентифицируется по MAC адресу
Нет средств мониторинга состояния сессии (нет DHCP обмена),
завершение сессии должно быть через RADIUS CoA, из CLI или
по idle-timeout
Поддержка функционала Ambiguous VLANs
Динамическое создание множества абонентских VLAN для 1:1 (C-VLAN) модели агрегации
Поддержка сценариев PPPoE и IPoE
VLAN создается при проявлении активности абонента -First Sign of Life (PPPoE PADI, DHCP Discover)
Динамическое создание VLAN
16
Физический
интерфейс
Родительский интерфейс
S-VLAN
C-VLAN
диапазонS-VLAN
Пример 1:
interface Bundle-Ether100.10
encapsulation ambiguous dot1q 100 second-dot1q any
Пример 2:
interface Bundle-Ether100.10
encapsulation ambiguous dot1q 202 second-dot1q 1-4094
Поддержка Static session – начиная с XR511
Статическая сессия создаваемая на access-интерфейсе:
• Воспринимает весь трафик проходящий через VLAN sub-interface как одну сессию
• Доступны все опции, как и для обычной сессии: AAA, COA и др.
• Сессия создается сразу после создания статической конфигурации на sub-интерфейсе
• Удаление сессии осуществляется посредством удаления соответствующей конфигурации
Interface BundleEther1.1 <- Access Interface
Service-policy type control subscriber STATIC_POLICY1
ipv4 address 10.1.1.1 255.255.0.0
encapsulation dot1q 1
ip subscriber interface <- Command triggers creation of static session
• Начиная с XR511 появилась поддержка L3-connected абонентов, которые идентифицируются по IP адресу (IPv4 или IPv6).
• XR511 – поддержка сессий, инициированный с помощью DHCPv4
• XR522 – добавлена поддержка packet triggered сессий (IPv4 или IPv6)
Поддержка функционала Routed subscribers (L3-connected)
interface Bundle-Ether101.201
vrf vpn1
ipv4 address 192.168.0.1 255.255.255.0
service-policy type control subscriber DUALSTACK_POLICY1
encapsulation dot1q 201 second-dot1q 301
ipsubscriber ipv4 routed
initiator dhcp
!
!
interface Bundle-Ether1.201
ipv4 address 10.15.15.1 255.255.255.0
ipv6 address 2001:15:15::1/64
service-policy type control subscriber PL
encapsulation dot1q 201
ipsubscriber ipv4 routed
initiator unclassified-ip
!
ipsubscriber ipv6 routed
initiator unclassified-ip
!
Аутентификация сессии
19
Способы аутентификации:
Механизмы аутентификации, обеспечиваемые протоколом доступа:
PPP: CHAP/PAP
Transparent Auto Logon (TAL): Аутентификация на основе идентификаторов, извлекаемых непосредственно из абонентского трафика, например: MAC/IP address, DHCP Option 82, DHCP Option60, C-VLAN/S-VLAN, PPPoE Tags ...
Web Logon
Аутентификация не является обязательной процедурой, но используется в
подавляющем большинстве случаев
Аутентификация: доступ к сетевым ресурсам предоставляется только легитимным абонентам
Transparent Auto Logon
20
aaa attribute format USERNAME_FORMAT
format-string “%s:%s:%[email protected]” remote-id circuit-id vendor-class-id
<…>
20 authorize aaa list default format USERNAME_FORMAT password <pwd>
<…>
Шаг 1: Определяем формат username (Customizable Username format):
Шаг 2: Указываем шаблон username, используемый для аутентификации
Источники информации для заполнения поля username:• DHCP Option 82• DHCP Option 60• PPPoE Tags (PPPoE Intermediate Agent)• Phy-slot• Phy-subslot• Phy-port• Outer-vlan-id• Inner-vlan-id
Web Logon: функция HTTP redirect
21
ClientInternet WebSite
Web Logon
Portal
HTTP TCP SYN ACK
HTTP TCP SYN
• BNG перехватывает TCP обмен при установке HTTP сессии абонента с веб-сайтом и устанавливает HTTP сессию с абонентом
• BNG возвращает абоненту сообщение HTTP 302 (Redirect), содержащее URL портала оператора
• Клиент устанавливает HTTP сессию напрямую с порталом
• Возможна реализация сервиса уведомления абонента на основе HTTP redirect
HTTP TCP ACK
HTTP GET
HTTP 302 (redirect URL)
HTTP session establishment
Web Logon
Маршрутизация IPoE абонентов
22
Автоматическое добавление маршрута абонента (Subscriber route addition)
•Маршрут /32 (Host route) автоматически добавляется в таблицу маршрутизации после установления сессии (с учетом VRF mapping)
•Маршрут используется для маршрутизации трафика в сторону абонента и выполнения unicast RPF
RP/0/RSP0/CPU0#sh route subscriber
A 10.100.1.1/32 is directly connected, 00:05:37, Bundle-Ether100.101.ip3A 10.100.1.2/32 is directly connected, 00:05:37, Bundle-Ether100.101.ip4A 10.100.1.3/32 is directly connected, 00:04:12, Bundle-Ether110.101.ip2
Динамическое добавление маршрутов (Dynamic route insertion)
• Дополнительный IPv4/IPv6 маршрут добавляется из RADIUS профиля абонента
• При завершении абонентской сессии дополнительный маршрут удаляется из RIB
• Поддерживаются VRF
Cisco:Avpair += "ip:route=vrf vrfv1 10.1.1.0 255.255.255.0 vrf vrfv1 0.0.0.0 4 tag 5”Framed-IPv6-Route += "2000:0:0:106::/64 :: 4 tag 5",
Выбор режима DHCP (Proxy или Server) основываясь на DHCP option
dhcp ipv4
profile DHCP_BASE_PROFILE base
match option 60 49505456 profile DHCP_PROXY_PROFILE proxy
match option 60 564f4950 profile DHCP_SERVER_PROFILE server
default profile DHCP_DEFAULT_PROFILE server
relay information option remote-id REMOTE-ID
relay information authenticate inserted
!
profile DHCP_PROXY_PROFILE proxy
helper-address vrf default 1.1.1.1 giaddr 1.1.1.2
!
profile DHCP_SERVER_PROFILE server
pool IP_ADDRESS_POOL
!
profile DHCP_DEFAULT_PROFILE server
pool DEFAULT_IP_ADDRESS_POOL
!
interface GigabitEthernet0/0/0/0 base profile DHCP_BASE_PROFILE
interface GigabitEthernet0/0/0/0 base information option
format-type circuit-id CIRCUIT-ID
Option 60 - “IPTV”
Option 60 - “VOIP”
Option 60 - “INTERNET”
• Option 60 = “IPTV “Profile – Proxy1
• Option 60 = “VOIP” Profile – Server1
• Option 60 = “INTERNET”Profile – Proxy2
DHCP Server
INTERNET
ASR9K Server/Proxy
Walled GardenOpen Garden
GuestPortal
DHCPServer
Subscriber Policy Layer
Применение политик к абонентской сессии
Walled GardenOpen Garden
GuestPortal
DHCPServer
AAA Server
Subscriber Policy Layer
Dynamic Policy Push(например, сервис “Турбо Кнопка”)
PolicyServer
Application/Service Layer event
Web Portal
Dynamic Policy Pull(например, автоматическое
скачивание сервисного профиля на этапе установки сессии)
Web Portal
PolicyServer
NetworkLayerEvent
AAA Server
Примеры политик
26
Dynamic Template command RADIUS Attribute
Keepalives keepalive <sec> subscriber:keepalive=interval<sec>
Absolute Timeout ppp timeout absolute <sec> session-timeout=<sec>
Idle Timeouttimeout idle value [threshold duration] [traffic {both | inbound | outbound}]
idle-timeout=<sec>
idlethreshold=<mins/pkt>
idle-timeout-direction=<inbound | outbound | both>
Service Activation N/A subscriber:sa=<service-name>
IP address source if ipv4 unnumbered <interface> ipv4:ipv4-unnumbered=<interface>
VRF vrf <vrf name> subscriber:vrf-id=<vrf name>
DHCP class N/Asubscriber:dhcp-class=<dhcpv4-class-name>
subscriber:dhcpv6=<dhcpv6-class-name>
Accounting accounting aaa list <method list> type session subscriber:accounting-list=<method list>
HQoSservice-policy input <in_mqc_name>service-policy output <out_mqc_name>
ip:sub-qos-policy-in=<in_mqc_name>
ip:sub-qos-policy-out=<out_mqc_name>
pQoS N/A
qos-policy-in=add-class(target policy (class-list) qos-actions-list)
qos-policy-in=remove-class(target policy (class-list))
qos-policy-out=add-class(target policy (class-list) qos-actions-list)
qos-policy-out=remove-class(target policy (class-list))
Subscriber ACLs/ABFip access-group <in_acl_name> inip access-group <out_acl_name> out
ipv4:inacl=<in_acl_name>ipv4:outacl=<out_acl_name>
Завершение (разрыв) сессии
27
Только для PPP сессий Только для IP сессий
События протоколов PPP и PPPoX
ppp disconnect; ppp keepalives or L2TP hellos failure
RADIUS PoD
Policy
Manager
RADIUS PoD (Packet Of Disconnect)
DHCP
DHCP Release
или DHCP lease expiry
WebPortal
Web Logoff
RADIUS CoAAccount-Logoff
Универсальные механизмы – IP и PPP сессии
Idle-Timeouts/Timer ExpiryAbsolute или Idle-Timeouts/Timers
Expiry
Рестарт IPoE сессии посредством ”DHCP Lease Proxy”
28
IPoE сессии инициируются только при получении DHCP discover
Однако сессия может быть завершена до истечения DHCP Lease:
CoA Account-Logoff, PoD, CLI, перезагрузка шасси маршрутизатора …
Трафик абонента будет сбрасываться, пока не начнется процесс переполучения IP адреса (до
половины Lease Time)
Client DHCP Server
DHCP Response (Offer/ACK)
DHCP сервер работает с
короткими Lease Time;
повышенная нагрузка на
DHCP
Вариант 1
Уменьшить
Lease Time
на DHCP
сервере
Lease Time = 10 minutes (например)
DHCP renew
exchange(s)
Вариант 2
DHCP Lease
Proxy
DHCP Response (Offer/ACK)
Lease Time = 40 minutesLease Time = 10 minutes
DHCP сервер работает со
стандартными Lease Time
DHCP Proxy на BNG
конвертирует их в
короткие Lease Time для
абонента
DHCP renew
exchange(s)
Рестарт IPoE сессии посредством ”DHCP NAK”
29
IPoE сессии инициируются только при получении DHCP discover
Однако сессия может быть завершена до истечения DHCP Lease:
CoA Account-Logoff, PoD, CLI, перезагрузка шасси маршрутизатора …
Трафик абонента будет сбрасываться, пока не начнется процесс переполучения IP адреса (до
половины Lease Time)
Client
DHCP Server
DHCP NACK
DHCP Request(renew)
DHCP Discover
subscriber session previously removed
DHCP Release
subscriber session recreated
Offer,Request, Ack
RADIUS Server
Access-Request, Access Accept
Regular IPoE Session Bringup!
После получения DHCP renew
BNG отсылает DHCP NAK
заставляя тем самым
запустить процедуру
повторного получения IP
адреса абонентом
DHCP Discover
Функции QoS
Cisco Connect 2017 30
Абонент
Per Subscriber QoS
Policy
PQ2
Порт
Группа абонентов(Access-interface)
BW
H-QoS для абонентской сессии (4 уровня иерархии)
31
• Иерархический QoS для всех абонентов
• 8 очередей на абонента
• Strict Priority очереди
• WRED
• 2R3C policers, иерархический полисинг
• 4-х уровневый H-QOS
• Priority очереди с функцией priority propagation для качественной передачи голоса и видео с минимальными задержками и джиттером
BW
PQ1
Классы трафика абонента
Sub
scribe
r 2
Internet Premium
VoIP
Video
Internet – Best Effort
BW Internet – Best Effort
PQ1 VoIP
Sub
scribe
r 1
Параметризация QoS - pQoS
32
Динамическое создание и модификация MQC политик для абонентских сессий
Создание MQC политик
Добавление/удаление MQC классов и actions в политике
class-map должен быть преднастроен на BNG
Работает через RADIUS
RADIUS CoA Account Update
RADIUS Access-Accept
MQC policy
CoA requestAVPair:”command:account-updateAVPair:“ip:qos-policy-out=add-class(sub, (<class-list>), <qos-actions-list>)
Policy Manager
dynamic-template
type service QOS_GRP1_TPL
service-policy [ input | output ] QOS_GRP1_PM
shared-policy-index GRP1
dynamic-template
type { ppp | ipsubscriber | service } <tmpl_name>
service-policy [ input | output ] <MQC name>
shared-policy-index <spi_name>
Совместные QoS политики - Shared QoS Policy
33
Физический порт
Access-Interface
Сессии абонентов
Совместные QoS политики для разных групп абонентских сессий
• QOS_GRP1_PM политика будет совместной для
всех сессий, у которых активирован сервис
QOS_GRP1_TPL
• Поддерживается модификация политики «на лету»
• Не поддерживается одновременно с:
• pQoS
• Модификация SPI_name в dynamic-templateПолитика должна быть удалена и добавлена вновь
Пример:
Функции Dynamic MQC policy merge и Service Accounting
34
accounting servicepolicy-map VOICE
class VOICEpriority 1police 8k
accounting servicepolicy-map VIDEO
class VIDEOpriority 2police 256k
accounting servicepolicy-map HSI
class HSIshape 1M
+
policy-map MERGEDclass VOICE
priority 1police 8k
class VIDEOpriority 2police 256k
class HSIshape 1M
class-default
AAA
VOICE
VIDEO
HSI
Radius Accountingservice=VOICEbytes in/outpacket in/out
Radius Accounting service=VIDEObytes in/outpacket in/out
Radius Accountingservice=HSIbytes in/outpacket in/out
СервисVOICE
СервисVIDEO
СервисHSI
Активация сервисов по RADIUSRADIUS Access-Accept/CoA Request
AvPair:subscriber:sa=<service name>
Поддержка IPv6 и DS
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
IPv6 и Dual-Stack сессии
36
IPv4/v6 Dual Stack сессии
Одна сессия абонента
Аутентификация выполняется один раз
Единый Accounting
Счетчики для v4 и v6
Методы назначения v6 адресов
DHCPv6 Сервер
DHCPv6 Proxy
DHCPv6 RADIUS proxy
DHCP v6 NA и PD
Единый VRF для v4 и v6
Интеграция BNG и CGN функционала
VSM модуль для CGN функционала
NAT44 для v4 абонентов
NAT44 для v4 трафика Dual-Stack абонентов
Поддержка DS-Lite AFTR для абонентов DS-Lite
Поддержка функционала QoS, ACL, uRPF, …
Home
Сессия абонента IPv4/v6 Dual Stack
Сессия абонента IPv4
Сессия абонента IPv6
IPv4Internet
CGN
NAT44
IPv6Internet
Инициализация Dual Stack сессий
DS Client AAA
AF1 bring up starts
Access Request
Access Accept
AF1 bring up completes
IP address in AF1 assigned to clientAccounting Start
Accounting Interim (Periodic)
AF1 packet/byte count populatedAF2 bring up starts and completes
Accounting Interim (Triggered)
AF1 and AF2 framed addressesAF1 packet/byte count
AF1 framed-address
Accounting Interim (Periodic)
AF1 and AF2 packet/byte count
Partial call flow. Interaction with other servers such as DHCP are omitted
IP address in AF2 assigned to client
Аутентификация происходит один раз для обоихaddress families• AF1 инициируется первой
Сообщение accounting start посылается один раз после установления первой AF1• Содержит информацию об адресе установленной AF1
Периодические interim accounting сообщения содержат статистику по установленной AF1
Triggered interim accounting посылается в момент инициализации второй AF2• Содержит информацию об адресах обоих AF
Периодические interim accounting сообщения содержат статистику по обоим AF• Для каждой AF и агрегированную статистику
Инициализация Dual Stack сессийЗадержанный Accounting Start
DS Client AAA
AF1 bring up starts
Access Request
Access Accept
AF1 bring up completes
IP address in AF1 assigned to client
Accounting Start
AF1 and AF2 framed addresses
Accounting Interim (Periodic)
AF1 and AF2 packet/byte count
Partial call flow. Interaction with other servers such as DHCP are omitted
IP address in AF2 assigned to client
Accounting Start опционально может быть задержан на определенное время для консолидации информации об обоих AF в одном сообщении
Accounting Start delayedAF2 bring up starts and
completes
type ipsubscriber IPoE_TEMPLATE
vrf ipoe
timeout idle 60
accounting aaa list default type session dual-stack-delay 5
ipv4 unnumbered Loopback10070
ipv6 nd other-config-flag
ipv6 nd managed-config-flag
ipv6 enable
Функции безопасности
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39
Функции безопасности
40
• Unicast Reverse Path Forwarding (uRPF)
Необходимо контролировать IP Source Address при получении трафика от абонентов (входящий трафик)
Исходящий трафик относится к сессии на основе IP DA
IP SA трафика, полученного сессией, должен соответствовать назначенному для этой сессии IP адресу
PPPoE Sessions: MAC + PPP Session ID + IP
IP Sessions: MAC + IP
• Списки доступа (Secure ACL)
ACL могут быть применены к сессии в обоих направлениях
Только для L3 трафика
dynamic-template type { ppp | ipsubscriber |service } <tmpl_name>
ipv4|ipv6 verify unicast source reachable-via rx
Защита Control Plane
42
• Двухуровневая защита от dDOS атак
Первая ступень защиты: IOS XR Control Plane Protection (Local Packet Transport
Services - LPTS)
• Защита на уровне определенного сетевого протокола
Вторая ступень защиты: Адаптивный CoPP
• Интеллектуальная защита для протоколов установления/контроля абонентских сессий (DHCP,
ARP, PPPoE Control Packets) от наиболее агрессивных источников
• Ограничение максимального количества IPoE/PPPoE сессий
• Мониторинг ресурсов (SUBSCRIBER-SESSION-MIB)
• Дополнительно для PPPoE
Throttling неавторизованных сессий
PADO Delay (Задержка отправки ответа)
Control packet priority (CoS маркировка служебных PPPoE фреймов)
SPAN абонентских сессий
46
• SPAN индивидуальных абонентских сессий
• Поддержка всех типов абонентских сессий
• Описание monitor-session в dynamic-template
• Активация dynamic-template через CoA или CLI
• Масштабируемость:
• 800 source interfaces per system
• 100 Local SPAN sessions per system
• 100 source interfaces per session
• Поддерживаемые типы SPAN
• Local SPAN
•Remote SPAN
•PW SPAN
Radius or CoA
Network Analyzer
Subscriber Session
ASR 9000
Internet
SPAN Request via Access-
Accept or RADIUS CoA
CollectionFunction
Packet Data
Резервирование и отказоустойчивость
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47
Резервирование внутри устройства BNG
48
• Link Aggregation (Bundle-Ethernet)
• Выход из строя активного интерфейса – прозрачное переключение текущей сессии на оставшиеся интерфейсы
IP/MPS ядроСеть
доступа
L2 Интернет
VPN
AAA
DHCP
LAG
Stateless резервирование: два шасси
49
• Резервирование для PPPoE сессий в целом проще, чем для IPoE сессий
• Дизайн обязательно должен обеспечивать «симметрию» трафика – трафик от абонента и к абоненту должен проходить через один и тот же BNG
• Для переустановления сессии абонент должен отправить DHCP Discover
• Время переключения определяется величиной Lease Time
• Абонент (как правило) не имеет средств мониторинга состояния IPoEсессии (в отличие от PPPoE)
Истечение Lease Time
DHCP Release
DHCP NAK во время
Address Renew и
Rediscover
процедур
или или
DHCP сервер
Абонент
Home
• Гео-резервирование
• Dual Homing
• Работа как с одним шасси
• Stateful Failover
• Active/active LAG в сторону
доступа и ядра
Aggregation
(MPLS)
КластерFTTXGPONMSANVDSL
Core
BNG
BNG
ASR 9000BNGВиртуальныйКластер
Кластер ASR 9000 nV как единое резервированное BNG устройство
Множество географически разнесенных BNGs
Узлы Доступа (Access Node) (DSLAM/OLT/SW)
CPE
Географическое резервирование на базе XR
51
Transparent SwitchingС точки зрения CPE, BNG – это единое устройство
Различные технологии доступаУзлы доступа подключаются по схеме dual/multi-homingиспользуя различные технологии: MCLAG, Ring (G.8032),PW-HE, др.
Поддержка Stateful режима• Для взаимодействия и синхронизации BNG должны
быть связаны по L3• Поддерживаются режимы: 1:1, N:1 и M:N• Защита активируется в следующих случаях:
Отказ Access-линка Отказ линейной карты Отказ RP Выход из строя шасси Отказ всего сайта
MPLS aggregation Network
Примеры топологий
Core Network Core Network
DHCP server Radius server CoADHCP server Radius server CoA
Sync-up Sync-up
switch
Access node
switch
Access node
Core Network
DHCP server Radius server CoA
Sync-up
Access node
Ethernet access – hub-spoke Ethernet access – ring MPLS access – PW-HE
SRG (Subscriber Redundancy Group)
53
BNG-1
SRG-1(M)
SRG-2(M)
BNG-2
SRG-1(S)
SRG-2(S)Geo-Red
* Запланировано на конец 2017
SRG Redundancy model - 1:1
BNG-1
SRG-1(M)
SRG-3(S)
SRG-2(M)
SRG-4 (S)
BNG-2
SRG-1(S)
SRG-3(M)
SRG-2(S)
SRG-4(M)Geo-Red
TCP based BNG sync-up session
SRG Redundancy model – M:N
BNG-1
SRG-1(M)
SRG-3(S)
SRG-2(M)
SRG-4 (S)
BNG-2
SRG-1(S)
SRG-2(S) Geo-Red
TCP based BNG sync-up session
BNG-2
SRG-3(M)
SRG-4(M)
Geo-Red
Geo-Red
SRG Redundancy model - N:1
BNG-1
SRG-1(M)
SRG-2(M)
BNG-3
SRG-1(S)
SRG-3(M)
SRG-2(S)
SRG-4(M)
Geo-Red
BNG-2SRG-3
(S)SRG-4
(S)
Geo-Red
TCP based BNG sync-up session
Параметры масштабирования и требования к оборудованию, новая модель лицензирования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57
Требования к аппаратуре для поддержки BNG
58
Шасси: ASR 9001/9001S, 9901*, 9006, 9010ASR 9904, 9906*, 9910, 9912, 9922
RSP: A9K-RSP440-SE, A9K-RSP880-SE, RSP880-LT*, ASR-9900-RP-SE, RP2-SE
Access Facing карты (BNG) Typhoon Service Edge карты: A9K-24X10GE-SE, A9K-40GE-SE, A9K-36X10GE-SE, A9K-MOD80/160-SE
Tomahawk Service Edge карты: A99-8X100GE-SE, A9K-8X100G, A9K-4X100G, A9K-MOD400-SE, A9K-MOD200-SE, A9K-24X10GE-1G-SE, A9K-48X10GE-1G-SE. Поддержка 10G/40G/100G Breakout.
Core Facing карты (Uplink) Любая линейная карта
Поддержка технологии Geo Redundancy Да
Поддержка технологии nV (сателлит) Да
*Запланировано на 2017 год
Параметры масштабирования ASR9000 BNG
* Требуется RSP880/A99-RP/
Типы сессий СейчасВ ближайшей перспективе
IPv4 Only sessions (PPPoE + IPoE) 256k 512k
IPv6 Only sessions (PPPoE + IPoE) 128k 512k
Dual Stack sessions (PPPoE + IPoE) 128k 384k
Sessions/LC ( Min 2 x NPU) 64k128k (Tomahawk)
CPS (N: Number of LC) N x 200 600
Типы сессий 5.3.4 6.2.1В ближайшей перспективе
IPv4 Only sessions (PPPoE + IPoE) 128k 128k 192k
IPv6 Only sessions (PPPoE + IPoE) 64k 128k* 128k
Dual Stack sessions (PPPoE + IPoE) 64k 96k* 128k*
Sessions/LC (Min 2 x NPU) 64k 64k 128k (Tomahawk)
CPS 150 240* 300*
Без использования LAG (обслуживание сессий на LC)
С использованием LAG (обслуживание сессий на RP)
Типы сессий
IPv4 Only sessions (PPPoE + IPoE) 32k
IPv6 Only sessions (PPPoE + IPoE) 16k
Dual Stack sessions (PPPoE + IPoE) 16k
V4 Sessions/NPU/Port / 1 NPU Linecard 32k
CPS 100
ASR-9001 / 9001-S
512K сессий уже в
середине 2017 года!
Advanced SW Licenses
Новая модель лицензирования “Consumption Model”
Commons: Fans, Power, Chassis,Fabric, RP, IOS-XR RTU
Linecards: Reduced
Price
Same Price as
Today
Foundation Software
Metered Per 10G/100G Port
Hardware1 Foundation SW2 Advanced SW Licenses3
BNG License
Optional Advanced SW (also per port)
#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты: [email protected]
Тел.: +7 495 9611410www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia