7. Эволюция сервисной границы ШПД
Основные тренды отрасли
Появление новых услуг
в целях сохранения ARPU. Нужен низкий Time- to-Market
Рост количества абонентов
Масштабирование с сохранением инвестиций
Рост трафика
К 2017 году ожидается трёхкратный рост трафика
Повышение требований к качеству
Операторы конкурируют не только ценой, но и качеством
IPv6 эра
Необходимы как IPv6, так и IPv4 сетевые стэки
7
ASR9000
8. Эволюция сервисной границы ШПД
ASR9000 – BNG устройство нового поколения
Быстрый
36x10G
24x10G
Mod 80/ Mod160
Масштабируемый
Распределённая
архитектура
Кластеризация,
сателлиты
Масштабирование - PAYG
до 512K сессий на
шасси*
ASR 9000
RP
LC BNG
LC BNG
LC BNG
Надёжный
Защита на всех уровнях:
Process / Link / Line card / Сhassis
Cluster and Geo-Redundancy
ISSU
.....
8
! f
11. Функционал BNG на ASR9000 и его развитие
Инициация динамических сессий
PPP сессии
PPPoE Call Request
(PADx)
Получение PADR сообщения
Session-start event
Трафик абонента идентифицируется по
MAC + PPP session ID
IP сессии
Получение DHCP Discover сообщения
Session-start event
Трафик абонента идентифицируется по MAC адресу
BNG должен являться DHCP Proxy (или DHCP server)
DHCP proxy = DHCP relay который:
1. создает и поддерживает DHCP bindings
2. «Притворяется» DHCP сервером для абонента
DHCP Discover
Data Traffic
Unclassified MAC
Трафик абонента идентифицируется по MAC адресу
Нет средств мониторинга состояния сессии (нет DHCP обмена),
завершение сессии должно быть через RADIUS CoA, из CLI или
по idle-timeout
11
С XR 5.1.1 (дек 13) сессии стали разделяться на
статические (interface-based) и динамические.
С XR 5.1.1 (дек 13) появилась поддержка L3-connected
(routed) Subscribers. FSoL: unclassified IP, DHCP
11
+dynamic +routed sub amb vlan
12. Функционал BNG на ASR9000 и его развитие
Динамическое создание VLAN (Ambigous Vlan)
Поддержка функционала Ambiguous VLANs
Динамическое создание множества абонентских VLAN для 1:1 (C-VLAN) модели агрегации
Поддержка сценариев PPPoE и IPoE
VLAN создается при проявлении активности абонента
LACP Bundle интерфейс
Родительский интерфейс S-VLAN
C-VLAN
S-VLAN
Пример 1:
interface Bundle-Ether100.10
encapsulation ambiguous dot1q 100 second-dot1q 1-1200
Пример 2:
interface Bundle-Ether100.10
encapsulation ambiguous dot1q 1-100,103-200 second-dot1q any
outer vlan range поддерживаются
начиная с XR 5.2.0 (июнь 14)
BNG на физ. [саб-]интерфейсе – с XR 5.1.1 (дек 13) BNG на MPLS psewdowire – c XR 5.2.0 (июль 14)
12
+ BNG on PWHE; + outer range AAA
13. Функционал BNG на ASR9000 и его развитие
Механизмы аутентификации и авторизации сессий
Способы аутентификации:
Механизмы аутентификации, обеспечиваемые
протоколом доступа:
PPP: CHAP/PAP
Transparent Auto Logon (TAL):
Аутентификация на основе идентификаторов,
извлекаемых непосредственно из абонентского трафика,
например: MAC/IP address, DHCP Option 82, DHCP Option
60, C-VLAN/S-VLAN, PPPoE Tags ...
Web Logon
Аутентификация не является обязательной процедурой, но используется в
подавляющем большинстве случаев
13
WebLogon, TAL
14. Функционал BNG на ASR9000 и его развитие
Способы входа в сеть – TAL и WebLogon
• Аутентификация – соотнесение
трафика с соответствующим
договором на оказание услуг
• Авторизация – определение
правил доступа к услугам
(скорость, ACL)
• Logon возможен на основании
сведений, которыми уже обладает
сеть – без вовлечения
пользователя (Transparent
Autologon по PPPoE IA, DHCP
options, интерфейсу и т.д.)
• Возможен вход по реквизитам,
запрашиваемым у абонента на
сервере (Web Logon)
• Политика (policy) описывает
логику операций для жизненного
цикла сессий (условия и
соответствующие события).
RADIUS Access-Accept
RADIUS Access-Request
DHCP Discover
DHCP Discover (DHCP classname)
DHCP offer
DHCP Offer
UserProfile includes
DHCP classname
DHCP Request/ACK
CoA account-logon
RADIUS Access-Request
TCP SYN
HTTP (ввод логина и пароля) на портале
TCP SYN/ACK, ACK, HTTP get, HTTP loc
RADIUS Access-Accept
14
семант
15. Функционал BNG на ASR9000 и его развитие
Семантика BNG в IOS XR позволяет гибко настраивать правила
policy-map type control subscriber <name>
Событие 1
event <event type> <match policy>
Действие 1
События и условия
Control
policy-map
Действия
Применяется на интерфейсе доступа (в сторону абонентов)
Управляет всем жизненным циклом сессии
.......
Событие 2 + Условия
Действие 2
.......
Возможные типы событий:
Session-start: старт новой сессии (PPPoE или IPoE)
Session-activate: стартовал LCP (PPPoE)
Authentication/Authorization failure: отказ авторизации
Authentication/Authorization no-response: нет ответа от Radius сервера
Service-start/stop: CoA запрос на подключение/ отключение сервиса
Account-Logon: CoA запрос Account Logon
Account-Logoff: CoA запрос Account Logoff
Timer-expiry: Истечение ранее установленного таймера
Idle-timeout: Истечение idle-timeout
следующие события
Действия, привязанные к этому событию и этим условиям
Набор действий для данного {события и условий} Упорядоченный список действий:
do-all
do-until-failure
do-until-success Варианты действий:
Activate: Применить сервис для сессии
Deactivate: Отменить сервис для сессии
Authenticate/Authorize : Аутентифицировать сессию (PPP CHAP/TAL)
Set-timer/Stop-timer: старт/стоп таймера
Disconnect: Разорвать сессию
Условие 1
class type control <name> <action execution policy>
.......
еще условия
начиная с XR 5.1.0 (август 13)
15
+idle; параметры сес
16. Функционал BNG на ASR9000 и его развитие
Сервисные компоненты абонентской сессии
Установление сессии
Associated unnumbered interface
MTU
Параметры PPP протокола (параметры NCP/LCP, методы аутентификации)
Управление сессией
Keepalives: PPP Keepalives
Timeouts: Idle
Absolute (только для PPP)
Service Activation/Deactivation
Traffic Conditioning
QoS: MQC: HQoS, pQoS, shaper/policer parameterization
IGMP/QoS correlation (только для PPP)
Access Loop overhead (только для PPP)
Security: Per User ACLs
uRPF
Traffic Forwarding Control
Назначение IP адресов (PPP addr-pool, DHCP class)
Dynamic Route Insertion
HTTP Redirection
ACL Based Forwarding (ABF)
VRF mapping
L2TP mapping (PPP only)
Multicast replication in session (PPP only)
Traffic Accounting
PostPaid
AAA list
Service Accounting
Interim
Функции
16
начиная с XR 5.2.0 (июнь 14) – добавлена новая семантика pQoS
начиная с XR 5.1.0 (август 13)
начиная с XR 5.1.1 (декабрь 13)
16
+pshaper +route +interim NBI
17. Функционал BNG на ASR9000 и его развитие
Интерфейсы к внешним системам
Протокол RADIUS для аутентификации абонентов и загрузки абонентских
профилей.
Расширение протокола RADIUS (Change of Authorization, RFC 3576).
Открытый интерфейс для динамического изменения политик и сервисов
Open Garden Walled Garden
Internet/Core
Guest
Portal
AAA
Server
Policy
Server
Web
Portal
DHCP
Server
Subscriber Policy Layer
Video
Audio
Servers
Протокол SNMP для мониторинга загрузки и ресурсов BNG
SESSION-MIB с XR 5.1.0 (август 13)
В будущих релизах будет добавлена поддержка DIAMETER
(DCCA Gx,Gy-интерфейсы; NASREQ Gz-интерфейс)
17
+DIAM; RADIUS call flow
18. Функционал BNG на ASR9000 и его развитие
Способы назначения политик
18
AAA
Server
DHCP
Server
Subscriber Policy Layer
Subscriber
DHCP
Server
Subscriber Policy Layer
Web Portal /
Policy Server
Subscriber
Policy
plane
Control
plane
Data
plane
actions
events
from
external PM
from
data
plane
RADIUS
Acc-req
AAA
Server
RADIUS
Acc-accept
Administrator
RADIUS CoA
Service Activate
Account Update
Web Portal /
Policy Server
Через внешний Policy
Manager или Web Portal
При аутентификации/
авторизации абонента
Посредством встроенных
Control Policy
Абонент успешно
аутентифицирован
RADIUS Response включает
список атрибутов абонентского
профиля (включая сервисы)
Применяется индивидуально
(сервис – как часть шаблона)
Service Activation или Account Update
запрос отправляется внешним Policy
Managers через RADIUS CoA
Service-Activate: применяется как
часть шаблона
Account-Update: применяется
индивидуально
Policy Plane при наступления
события применяет шаблон
Control Plane исполняет
действия в шаблоне
Data Plane выполняет
обработку трафика сессии
согласно политике
Multi-Action CoA с
XR 5.2.0 (июнь 14)
18
+MA CoA; RAD vs Tmpl attrib
19. Функционал BNG на ASR9000 и его развитие
Параметры сессии и способы назначения (через RADIUS или шаблон)
Dynamic Template command
RADIUS Attribute
Keepalives
keepalive <sec>
subscriber:keepalive=interval<sec>
Absolute Timeout
ppp timeout absolute <sec>
session-timeout=<sec>
Idle Timeout
timeout idle value [threshold duration] [traffic {both | inbound | outbound}]
idle-timeout=<sec>
idlethreshold=<mins/pkt>
idle-timeout-direction=<inbound | outbound | both>
Service Activation
N/A
subscriber:sa=<service-name>
IP address source if
ipv4 unnumbered <interface>
ipv4:ipv4-unnumbered=<interface>
VRF
vrf <vrf name>
subscriber:vrf-id=<vrf name>
DHCP class
N/A
subscriber:dhcp-class=<dhcpv4-class-name>
subscriber:dhcpv6=<dhcpv6-class-name>
Accounting
accounting aaa list <method list> type session
subscriber:accounting-list=<method list>
HQoS
service-policy input <in_mqc_name>
service-policy output <out_mqc_name>
ip:sub-qos-policy-in=<in_mqc_name>
ip:sub-qos-policy-out=<out_mqc_name>
pQoS
N/A
qos-policy-in=add-class(target policy (class-list) qos-actions-list)
qos-policy-in=remove-class(target policy (class-list))
qos-policy-out=add-class(target policy (class-list) qos-actions-list)
qos-policy-out=remove-class(target policy (class-list))
Subscriber ACLs/ABF
ip access-group <in_acl_name> in
ip access-group <out_acl_name> out
ipv4:inacl=<in_acl_name>
ipv4:outacl=<out_acl_name>
начиная с XR 5.1.0 (август 13)
Альтернативный синтаксис RADIUS- based policing/shaping
19
+idletmout +rabapol; HQos
20. Функционал BNG на ASR9000 и его развитие
Поддержка H-QoS - ключевое требование для BNG
Абонент
Per Subscriber QoS Policy
PQ2
Порт
Группа абонентов (Access- interface)
BW
•Иерархический QoS для всех абонентов
•8 очередей на абонента
•Strict Priority очереди
•WRED
•2R3C policers, иерархический полисинг
•4-х уровневый H-QOS
•Priority очереди с функцией priority propagation для качественной передачи голоса и видео с минимальными задержками и джиттером
BW
PQ1
Классы трафика абонента
Subscriber 2
Internet Premium
VoIP
Video
Internet – Best Effort
BW
Internet – Best Effort
PQ1
VoIP
Subscriber 1
QoS на PWHE с 5.2.0 (июнь 14)
+Qos PWHE; SPI
21. Функционал BNG на ASR9000 и его развитие
Общие QoS-политики для группы абонентов
dynamic-template
type service QOS_GRP1_TPL
service-policy [ input | output ] QOS_GRP1_PM
shared-policy-index GRP1
dynamic-template
type { ppp | ipsubscriber | service } <tmpl_name>
service-policy [ input | output ] <MQC name>
shared-policy-index <spi_name>
Физический порт
Access-Interface
Сессии абонентов
Совместные QoS политики
для разных групп
абонентских сессий
• QOS_GRP1_PM политика будет совместной для
всех сессий, у которых активирован сервис
QOS_GRP1_TPL
• Поддерживается модификация политики «на лету»
• Не поддерживается одновременно с:
• pQoS
• Модификация SPI_name в dynamic-template
Политика должна быть удалена и добавлена вновь
Пример: SPI w/CoA
начиная с XR
5.2.0 (июнь 14)
21
+CoA; policy merge
22. Функционал BNG на ASR9000 и его развитие
Динамическое слияние QoS-политик
policy-map VOICE
class VOICE
priority 1
police 8k
policy-map VIDEO
class VIDEO
priority 2
police 256k
policy-map HSI
class HSI
shape 1M
Сервис
VOICE
Сервис
VIDEO
Сервис
HSI
+
policy-map MERGED
class VOICE
priority 1
police 8k
class VIDEO
priority 2
police 256k
class HSI
shape 1M
class-default
AAA
RADIUS Access-Accept
или
RADIUS CoA Request
Активация сервисов по RADIUS
один или несколько классов
в каждом сервисе
AvPair:subscriber:sa=VOICE
Пример
VOICE
VIDEO
HSI
22
ServiceAcct
23. Функционал BNG на ASR9000 и его развитие
Аккаунтинг сервиса
accounting service
policy-map VOICE
class VOICE
priority 1
police 8k
accounting service
policy-map VIDEO
class VIDEO
priority 2
police 256k
accounting service
policy-map HSI
class HSI
shape 1M
+
policy-map MERGED
class VOICE
priority 1
police 8k
class VIDEO
priority 2
police 256k
class HSI
shape 1M
class-default
AAA
VOICE
VIDEO
HSI
Radius Accounting
service=VOICE
bytes in/out
packet in/out
Radius Accounting
service=VIDEO
bytes in/out
packet in/out
Radius Accounting
service=HSI
bytes in/out
packet in/out
Сервис
VOICE
Сервис
VIDEO
Сервис
HSI
23
ACL, uRPF
24. Функционал BNG на ASR9000 и его развитие
Безопасность – списки контроля доступа и uRPF
•Unicast Reverse Path Forwarding (uRPF)
Необходимо контролировать IP Source Address при получении трафика от абонентов
IP SA трафика, полученного сессией, должен соответствовать назначенному для этой сессии IP адресу
—PPPoE Sessions: MAC + PPP Session ID + IP
—IP Sessions: MAC + IP
•Списки доступа (Secure ACL)
ACL могут быть применены к сессии в обоих направлениях
Только для L3 трафика
dynamic-template type { ppp | ipsubscriber |service } <tmpl_name>
ipv4|ipv6 verify unicast source reachable-via rx
24
CoPP, LPTS
25. Функционал BNG на ASR9000 и его развитие
Защита плоскости управления
•Ограничение максимального количества IPoE/PPPoE сессий
•Мониторинг ресурсов (SUBSCRIBER-SESSION-MIB)
•Throttling неавторизованных сессий
•Двухуровневая защита от dDOS атак
Первая ступень защиты: IOS XR Control Plane Protection (LPTS)
аппаратный фаервол на линейной карте с настройками pps per protocol. Подстраивается динамически на основании настроек сетевых протоколов.
Вторая ступень защиты: Excessive Punt Flow Trap –
динамическая защита от наиболее агрессивных источников сигнального трафика (DHCP, ARP, PPPoE Control Packets) путём вычисления по счётчикам и их «бана» средствами LPTS.
25
LI, SPAN
26. Функционал BNG на ASR9000 и его развитие
Перехват трафика абонентских сессий
•SPAN индивидуальных абонентских сессий
•Поддержка всех типов абонентских сессий
•Описание monitor-session в dynamic-template
•Активация dynamic-template через CoA или CLI
•Масштабируемость:
•800 source interfaces per system
•100 Local SPAN sessions per system
•100 source interfaces per session
•Поддерживаемые типы SPAN
•Local SPAN
•Remote SPAN
•PW SPAN
Radius or CoA tool)
Network Analyzer
Subscriber Session
ASR 9000
Internet
SPAN
Request via Access-Accept or RADIUS CoA
Collection
Function
Packet Data
Доступно с XR 5.1.0 (авг 13)
26
IPv6, CGv6
27. Функционал BNG на ASR9000 и его развитие
Совмещение BNG и IPv6 функционала
Outside
Private IPv4 VRF
Public IPv4
Inside
VRF
SApp VSM/
ISM
Interface
Входная
карта
VSM
Выходная
карта
• Интеграция BNG функционала с CGN функционалом VSM модуля
• Carrier Grade NAT в соответствии со стандартами (RFC4787, RFC5382, RFC5508)
• Производительность VSM модуля
60M трансляций, >1M трансляций/сек, ~60Gbps трафика
• Также доступны следующие приложения: DS-Lite, 6RD, NAT64, security GW
Private IPv4
IPv6
SApp
IPv6
Dualstack
с XR 5.2.2 – dualstack с
единым аккаунтингом
с XR 5.1.0 – новый
сервисный модуль
VSM для CGv6
27
roadmap,
28. Функционал BNG на ASR9000 и его развитие
в разрезе уже вышедших релизов IOS XR
2012
2013
RADAR
2014
XR 4.2.0/ 4.2.1/ 4.3.0/ 4.3.1
• PPPoE/LAC/IPoE
• v4/v6/Dual-Stack
• DHCPv4 Relay/Proxy
• DHCPv6 Relay/Proxy/Server
• Satellite/Cluster Integration
• CGN Integration
• Lawful Intercept
• Service Accounting
• H-QoS, Multicast, ABF, ACL , pQoS, Shared Policy
• Per Subscriber CoPP
• IGMP/H-QoS Synch
• RADIUS AAA, CoA
• Prepaid (Offbox)
• PADO Delay
XR 5.1.0 (Август 13)
• DHCPv4 Server
• DHCPv4 Radius Proxy
• SPAN (Session Mirroring)
• Routing over PPPoE
• Session MIBs
• Idle-Timeouts
XR 5.1.1 (Декабрь 13)
• Linecard Based Subscribers (distributed)
• L3-connected Session (v4)
• Static Session (Interface as session)
• Per Service interim interval update
• DHCP session persistence
XR 5.2.0 (Июнь 14)
• PW-HE integration
• Shaper Parameterization
• Multi-Action CoA
• Outer vlan range
• Per-Prefix BGP forwarding over PTA
• SPI w/COA XR 5.2.2 (Октябрь 14)
• PW-HE with QoS
• DHCP server/Proxy selection at Interface level
• Geo Redundancy FCS with IPoE
• Packet Trigger v4/v6 session
28
! масштабир
30. Производительность и масштабируемость BNG
зависит от аппаратной платформы
120 Гбит/с
11 Тбит/с
3,52 Тбит/с
1,76 Тбит/с
5,5 Тбит/с
880 Гбит/с
ASR 9001
ASR 9904
ASR 9006
ASR 9010
ASR 9912
ASR 9922
Полоса на слот
120 Гбит/с на систему
440 Гбит/с
440 Гбит/с
440 Гбит/с
550 Гбит/с
550 Гбит/с
LC слоты
2 MPA
2 LC
4 LC
8 LC
10 LC
20 LC
Матрица
Встроенная
Встроенная на RSP
Встроенная на RSP
Встроенная на RSP
Выделенные карты
Выделенные карты
Высота
2 RU
6 RU
10 RU
21 RU
30 RU
44 RU
30
Факторы RP/LC mem cpu
31. Производительность и масштабируемость BNG
Другие определяющие факторы
FIC
CPU
BITS/DTI
CPU/Mem RP/RSP
Управление жизненным циклом сессий
AAA – авторизация, аутентификация, аккаунтинг
IPAM, управление пулами
CPU/Mem линейной карты
L2 протоколы, BFD, Netflow
Линейная карта
Фабрика коммутации
FIA
CPU
RSP
Сетевой процессор NP
TM: queueing, scheduling
пакетный буфер
с XR 5.1.1 – терминация сессий может выполняться на ресурсах линейной карты - увеличено количество сессий на систему
31
+LC-based; табл sess, cps RP/LC
34. Отказоустойчивость и резервирование BNG
Традиционный подход
• Для PPPoE – PADI/PADO handshake
• Для connected IPoE через
MSTP/MSTAG/REP/8032
• Для routed subscribers – средствами
протокола маршрутизации
• В принципе, во всех случаях
возможен Active/Active режим
• Все варианты Stateless, требуется
переустановка сессий.
Длительность восстановления сервиса:
512000 subs/ 600 cps = 853 sec = 14 min
Недопустимо долго!
Home
MSAN
VDSL
34
Nv Edge
35. Отказоустойчивость и резервирование BNG
Средствами nV Edge
• Два шасси ASR9000 соединяются сигнальными
и dataplane-линками работают в качестве
единой системы (nV Edge)
• Общий Control Plane, сессии синхронизируются
средствами IOS XR (checkpoint DB).
• При выходе из строя шасси происходит
событие, аналогичное традиционному RP
switchover.
• Резервирование с помощью Bundle линков к
обоим физическим nV-хостам. Справедливо
как для сателлитов, так и для других устройств.
• Однако оба nv хоста должны быть размещены
на одном узле, работоспособность которого
определяет работу всего сегмента.
Home
MSAN
VDSL ASR 9000
BNG nV
nxGE
Satellite
Satellite
35
GEO-redundancy
36. Отказоустойчивость и резервирование BNG
Stateful ГЕО-резервирование для BNG
• Физическое соединение не обязательно –
достаточно L3 пиринга между шасси
• ICCP протокол реплицирует состояние BNG
(BNG sync), подобно MC-LAG
• BNG-интерфейсы группируются в SRG –
Shared Redundancy Group для определённого
множества абонентов (сегмента).
• Heartbeat сигнализация отслеживает
работоспособность партнёра.
• Hot (для критичных сервисов) и Warm режимы
готовности.
Home
MSAN
VDSL ASR 9000
BNG GEO
SRG
nxGE
Готово для IPoE сессий с XR 5.2.2
для PPPoE планируется с 5.3.1
BNG Sync
36
! END