2. Учет и управление IP-ресурсами сети
Андрей Манаков
системный инженер
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.

3. Управление IP-адресацией. Почему?
Число устройств, подключаемых по IP, и использование IP-адресов неуклонно растет,
а с ними – размеры и сложность сетей
DNS и DHCP - критично важные
сервисы для провайдеров и
корпоративных сетей
Новые сервисы:
голосовые (VoIP), видео,
облачные вычисления,
виртуализация и т.д.
Миграции с IPv4 на IPv6
Необходимость снижать
операционные расходы
(OpEx)
«Ручные» методы
управления IP- адресацией
не соответствуют
требуемым масштабам
© 2013 Cisco and/or its affiliates. All rights reserved.
04.12.2013
3

4. DDI – основа контроля сети
(DNS, DHCP, IP Address Management)
Управление IP-адресацией
Планирование и отслеживание использования
блоков, подсетей и отдельных IP по приложениям или
локации
Конфигурация DHCP сервера
Соответствие адресных пулов плану адресации
Начальная конфигурация устройств
Конфигурация DNS сервера
Соответствие адреса–имена
IP/DHCP/DNS – критичный слой сети
Предупреждение дублирования IP адресов
Аккуратное конфигурирование сервисов DHCP/DNS
Централизованный реестр IPv4/IPv6
нет IP-плана  дублирование IP
нет DHCP
 нет назначения адресов
нет DNS
 нет навигации по именам
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.
4

5. IPv6: ручной учет?
IPv4
72.163.4.161
RFC 2373 “P Version 6 Addressing Architecture”:
Examples:
FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
1080:0:0:0:8:800:200C:417A
For example the following addresses:
1080:0:0:0:8:800:200C:417A
FF01:0:0:0:0:0:0:101
0:0:0:0:0:0:0:1
0:0:0:0:0:0:0:0
may be represented as:
1080::8:800:200C:417A
FF01::101
::1
::
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.
a unicast address
a multicast address
the loopback address
the unspecified addresses
a unicast address
a multicast address
the loopback address
the unspecified addresses
5

6. Требования к решениям DDI
(DNS, DHCP, IP Address Management)
Управление
абонентами
Интегрированное решение для
• сокращения операционных затрат
• оптимизации рабочих процессов
• автоматизации
Операционные
задачи DDI
• упрощения управления
• соответствия требованиям
безопасности и другим политикам
Выполнение
требований
регуляторов
Управление
доступом
Поддержка
бизнеспроцессов
Управление
конфигурациями
Отчетность
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.

7. Cisco Prime Network Registrar
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.
7

8. Cisco Prime Network Registrar
Масштабируемость. Надежность. Функциональность. Расширяемость. Интегрированное управление.
DHCP
• Единый DHCP сервер с
поддержкой
IPv4 и IPv6
DNS
• Единый DNS сервер с
поддержкой IPv4 и IPv6
• Соответствие стандартам
• Поддержка внутренних и
внешних клиентов
IPAM
DNS Caching
• Полнофункциональная
система управления (IPAM)
• Интеграция с DNS и DHCP
для конфигурирования и
для получения данных об
использовании адресации
•
•
•
•
• Соответствие стандартам
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.
8
Кеширующий сервис
Высокая скорость
Поддержка DNSSEC
Поддержка DNS64 (доступ
из IPv4 к серверам IPv6)

9. Cisco Prime Network Registrar
Масштабируемость. Скорость.
Распределенная архитектура. Обслуживает
миллионы пользователей в одном из крупнейших
внедрений в мире
CPNR DHCP-сервер – лидер отрасли по
производительности
Выделенный DNS-кэш сервер значительно
увеличивает число обрабатываемых запросов
Наиболее масштабируемый в отрасли DHCPсервер может обслуживать более 50 млн устройств
в рамках одной системы
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.
9

10. Cisco Prime Network Registrar
Производительность, не имеющая аналогов на рынке
Cisco Network Registrar Jumpstart – виртуальное устройство на сервере Cisco UCS
50000
45000
Leases / Sec
40000
35000
30000
25000
Returning Clients
20000
New Clients
15000
10000
5000
0
CUCS with 8 CPU,
8 GB RAM
CUCS with 4 CPU,
4 GB RAM
CNR Jumpstart
HP DL360 with 4
CPU, 4 GB RAM
Hardware Platform
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.
10

11. Cisco Prime Network Registrar
Наивысшая скорость обработки рекурсивных запросов
Запросов в секунду
180000
160000
140000
120000
100000
Кэш
DNS
80000
60000
40000
DNS
20000
0
CPNR DNS
CNR DNS
04.12.2013
© 2013 Cisco and/or its affiliates. All rights reserved.
CPNR DNS cache
Unbound DNS
11

12. Надежность
Multiple levels of redundancy:
Поддержка отказоустойчивого DHCP и
высоко доступного DNS
DHCP-Induced Avalanche
Request
Request
Патентуемый дискриминационный
ограничитель обработки
Discover
Discover
Request
Discover
Request
Request
Сокращенное время восстановления
после массового отказа сети
Request
Request
Request
Request
Discover
Опциональный фильтр «болтливых»
клиентов
Discover
Discover

13. Лавина DHCP
Массовый
сбой
Часть CPE
подключены
Часть CPE
теряют
подключение
Многие CPE
отключены
Другие CPE
остаются
подключенными
Часть
Discover
обслужены
Часть
Request
потеряны
Попытки
подключения
Сохранение
подключения
Discover
Discover
Request
Discover
Discover
Discover
Discover
Discover
Request
Discover
Discover
Discover
Discover
Discover
Request
Поток запросов превышает скорость обработки!

14. Предупреждение DHCP-лавины
Дискриминационный регулятор обработки запросов
Discriminating Rate-Limiter
50% ограничение:
DISCOVER не занимает более ½ очереди
Статическое ограничение:
прием DISCOVER с более низкой
скоростью
Ограничение очередности:
DISCOVER помещаются в отдельную,
медленнее обслуживаемую очередь
Подтвержденное превосходство над
неконтролируемым доступом без
дискриминационного регулятора

15. Расширяемость
Платформа чрезвычайно гибкая и настраиваемая под уникальные
требования
Поддержка расширений позволяет операторам значительно изменять и
настраивать функционал DHCP и для IPv4 и для IPv6
С помощью расширений легко создаются новые решения, например, для
задач биллинга, безопасности, перехвата трафика
Обширный API и интерфейсы командной строки (CLIs) дают точки
интеграции с любыми внешними системами, например для автоматизации
задач управления адресацией (IPAM)

16. «Облачная» готовность
Поддержка многопользовательской среды
DHCP и DNS
Окружение
арендатора А
Изоляция и безопасность облачной инфраструктуры
Безопасность
и изоляция
Окружение
арендатора Б
Безопасность
и изоляция
Виртуальные серверы
Виртуальные серверы
Многопользовательская виртуализированная
инфраструктура, управляемая через портал
самообслуживания

17. DNS кэш-сервер и расширение DNSSEC
DNS кэш-сервер значительно повышает скорость и
объемы обработки рекурсивных запросов
Поддержка DNSSEC помогает защитить от уязвимостей
DNS, таких как подделка ответов DNS
DNSSEC помогает предоставлять аутентичные данные
конечным пользователям, проверяя подписанные
ответы DNS

18. Полнофункциональная система управления адресацией
(IPAM)
• Простое, централизованное, интегрированное управление сервисами
DNS и DHCP, поддерживающие IPv4 и IPv6
• Конфигурирование DNS и DHCP серверов в соответствии с IP-планом
• Автоматическое отслеживание использования IP-адресации с
помощью обследования сети и согласование конфигурации
• Интуитивный интерфейс с отображением реальной ситуации и
развитой системой отчетов
• Ролевая модель разделения полномочий администраторов
• Поддержка основных популярных продуктов DHCP и DNS (BIND,
Microsoft, Cisco Prime™ Network Registrar и т.д.)
IPAM - критичный компонент управления сетью

19. Предпосылки к системе IPAM
•
Нет IP, Нет DNS = нет сети
•
Сложность логически согласованного управления
разрозненными северами DNS и DHCP
•
Постоянные изменения в распределении IP
•
«Ручные» таблицы не масштабируются, аудит
практически невозможен
•
Внедрение IPv6

20. Подход Cisco к управлению адресацией
IPAM – продолжающийся циклический процесс с обратной связью об использовании адресации
Распределение
• Блоки и подсети IPv4/IPv6
• Конфигурации DNS/DHCP
Сервисы
Планирование
Внедрение
• Соответствие адресного
пространства бизнеспроцессам
Цикл
IPAM
• Применение настроек
DNS/DHCP
• Динамический DNS
Согласование
Обследование
Сравнение
• Согласование реальной и
запланированной конфигураций
• Отчеты
Реальная сеть
• Simple Network Management Protocol
(SNMP) v2 и v3
• Обнаружение IP-устройств
• Проверка портов коммутаторов
• Использование пулов DHC

21. Внедрение
Способы установки

22. Cisco Prime Network Registrar
?
22

23. Сниженные риски и стоимость запуска
Вариант виртуального устройства
Разворачивание Cisco Prime™ Network Registrar в виде
предконфигурированного виртуального устройства упрощает
инсталляцию, снижает риски внедрения и стоимость
Идеально для организаций уже имеющих виртуализированную
инфраструктуру
Дает все преимущества Cisco Prime Network Registrar без необходимости
инвестиций в «железо»
Позволяет оперативно перемещать сервисы DNS, DHCP, IPAM (DDI)
между серверами для быстрого восстановления или адаптации под
изменяющуюся нагрузку

24. Cisco Prime Network Registrar Jumpstart
Готовое устройство DDI
Cisco® Network Registrar Jumpstart – готовое устройство с функциями
DNS, DHCP и управления адресацией (IPAM) (DDI) для провайдеров
и организаций требующих быстрого внедрения решения
Cisco Network Registrar
– Интегрированное, масштабируемое, надежное предустановленное
решение DDI
DHCP
DNS
IPAM
Cisco UCS™ C200 M2
– Сервер высокой плотности, 2х CPU, 1RU
Cisco Network Registrar
• Fast
VMware ESXi v4.1
– Предустановленное окружение виртуализации VMware
• Extensible
• Scalable
• IPV4 /IPv6
• Reliable
• Cloudready

25. Cisco Prime Network Registrar
Решение готового устройства Jumpstart
25

26. Архитектура Prime Network Registrar
Региональный сервер и Локальный кластер
Региональный сервер
Central
Management
HTTP/SCP
Central IP
History
Subnet
Utilization
Smart Allocation
Telnet/SSH
Database
Server
RIC Server
License
Management
Локальный кластер
Локальный кластер
Local Web UI
Local Web UI
DHCP
DNS
TFTP
DHCP
Database
Server
DNS
TFTP
Database
Server

27. Архитектура Prime Network Registrar
SDK / API
Региональный сервер
Ваше
приложение
Central
Management
HTTP/SCP
SDK
Central IP
History
Subnet
Utilization
Smart Allocation
Telnet/SSH
Database
Server
RIC Server
License
Management
Локальный кластер
Локальный кластер
Local Web UI
Local Web UI
DHCP
DNS
TFTP
DHCP
Database
Server
DNS
TFTP
Database
Server

28. Архитектура IPAM
IPAM Executive
Администраторы
База данных
IPAM Agents
Сетевое оборудование
DNS-сервер
DHCP-сервер

29. Системные требования
Поддерживаемые ОС
Требования к аппаратному обеспечению
Windows 2008 server (32-bit or 64-bit English
versions)
Xeon – 1.2 GHz или более быстрый
Windows 2008R2 server (64-bit)
RedHat Enterprise Linux v5 (32-bit)
VMware: VM с установленной одной из
перечисленных ОС
Solaris 10 (Sparc)
1 GB RAM или более
1 GB дискового пространства для базовой
инсталляции

30. Cisco Prime Network Registrar
Вариант внедрения: DHCP
30

31. Cisco Prime Network Registrar
Вариант внедрения: DNS
31

32. Cisco Prime Network Registrar
Вариант внедрения: DNS-HA
32

33. Cisco Prime Network Registrar
Вариант внедрения: DNS-кэш
33

34. Cisco Prime Network Registrar
Вариант внедрения: DNS-кэш на отдельных серверах
34

35. Cisco Prime Network Registrar
Вариант внедрения: IPAM
35

36. Cisco Prime Network Registrar
Вариант внедрения: IPAM
36

37. Cisco Prime Network Registrar
Взаимодействие компонент

38. Взаимодействие компонент
Regional
DHCP Main
Клиент
Клиент
38

39. Взаимодействие компонент
Regional
DHCP Main
Клиент
DNS Primary
Main
Клиент
39

40. Взаимодействие компонент
Regional
DHCP Main
DNS Primary
Main
Клиент
DHCP
Failover
Клиент
DNS HA
Zone Transfer
DNS Primary
Backup
DHCP Back-up
40

41. Взаимодействие компонент
E
A
Клиент
Клиент
R
A
R
A
R
A
R
A
IPAM
DHCP Main
DNS Primary
Main
DNS Primary
Backup
DHCP Back-up
41

42. Взаимодействие компонент
•
•
•
Клиент
Клиент
Порт коммутатора (IP and MAC)
Подсети на маршрутизаторах
ARP-таблицы
E
A
R
A
R
A
R
A
R
A
IPAM
DHCP Main
DNS Primary
Main
DNS Primary
Backup
DHCP Back-up
42

43. Отказоустойчивость DHCP
DHCP Failover (RFC 2131)
Сервис DHCP предоставляется несколькими серверами
DHCP серверы строят отношения отказоустойчивости
Существующие клиенты DHCP могут продлять аренду адресов без привязки к
конкретному серверу
Резервный DHCP сервер может выполнять функционал основного сервера в
случае его недоступности по какой-либо причине
43

44. DHCP Failover
Отказоустойчивая пара
Основной сервер передает резервному все
данные о выданных адресах
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
44

45. DHCP Failover
Отказоустойчивая пара
Клиент широковещательно передает запрос
Маршрутизатор одноадресно передает Discover
DHCP серверам
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
45

46. DHCP Failover
Отказоустойчивая пара
Основной DHCP сервер предлагает доступный
адрес
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
46

47. DHCP Failover
Отказоустойчивая пара
Клиент широковещательно запрашивает
предложенный адрес
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
47

48. DHCP Failover
Отказоустойчивая пара
Основной DHCP сервер подтверждает выделение
адреса
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
48

49. DHCP Failover
Отказоустойчивая пара
Основной сервер сообщает резервному о
изменениях
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
49

50. DHCP Failover
Отказоустойчивая пара
Основной сервер вышел из строя
Региональный
сервер
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
50

51. DHCP Failover
Отказоустойчивая пара
Резервный сервер обнаруживает аварию
Региональный
сервер
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
51

52. DHCP Failover
Отказоустойчивая пара
Клиент запрашивает адрес
Маршрутизатор передает запрос на оба сервера
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
52

53. DHCP Failover
Отказоустойчивая пара
Резервный сервер предлагает адрес из
собственного пула
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
53

54. DHCP Failover
Отказоустойчивая пара
Клиент широковещательно запрашивает
предложенный адрес
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
54

55. DHCP Failover
Отказоустойчивая пара
Резервный сервер подтверждает выделение
адреса
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
55

56. DHCP Failover
Отказоустойчивая пара
После восстановления основного сервера,
резервный передает данные обо всех
выданных адресах, и основной сервер
возвращается в работу
IP Helpers
172.16.1.5
172.16.3.5
Клиент
Клиент
Региональный
сервер
DHCP Main
172.16.1.5
172.16.3.5
DHCP Back-up
56

57. Высокодоступный DNS
В каждой зоне должен быть только один первичный (primary) DNS сервер
Динамический ДНС обновляет данные только на первичном сервере
В случае выхода из строя первичного сервера
статические записи доступны через вторичные (secondary) DNS серверы
динамические записи - теряются
Для решения проблемы нужен второй первичный сервер, дублирующий функционал основного первичного
сервера
57

58. Взаимодействие компонент
Основной и резервный первичные серверы
обмениваются информацией
Regional
DNS Main
Client
DNS Secondary
Heartbeat
And
RR Updates
Client
DHCP Server
DNS Backup
58

59. Взаимодействие компонент
Оба сервера отвечают на запросы
Regional
DNS Main
Client
DNS Secondary
DHCP Server
Client
DNS Backup
59

60. Взаимодействие компонент
DHCP-сервер может быть сконфигурирован
динамически обновлять DNS после выделения
адреса
Regional
DNS Main
Client
DDNS
update
DNS Secondary
DHCP Server
Client
DNS Backup
60

61. Взаимодействие компонент
Основной первичный сервер обновляет данные
на резервном первичном сервере
Regional
DNS Main
Client
RR Update
DNS Secondary
DHCP Server
Client
DNS Backup
61

62. Взаимодействие компонент
В случае выхода из строя основного первичного
сервера, его функции выполняет резервный
первичный сервер.
Regional
DNS Main
Client
DNS Secondary
DHCP Server
DNS Backup
Client
DDNS
update
62

63. Взаимодействие компонент
После восстановления основного первичного
сервера, происходит синхронизация данных с
резервным сервером
Regional
DNS Main
Client
DNS Secondary
Synchronization
DHCP Server
Client
DNS Backup
63

64. Cisco Prime Network Registrar
Резюме
Превосходная управляемость
Отражение текущей (real-time) ситуации в IPv4 и IPv6
адресациях
Лучшая прозрачность за счет детализированных отчетов и
тонкого регулирования доступа
Облегчает переход от IPv4 на IPv6
– Обследование и инвентаризация ресурсов IPv4 и IPv6
– Планирование и моделирование способов перехода на IPv6
– Построение соответствия адресации IPv4 в пространстве IPv6
Масштабируемость
Поддержка достоверного DNSSEC
Простое внедрение

65. Дополнительные ресурсы
Cisco Prime™ Network Registrar on Cisco.com:
www.cisco.com/go/networkregistrar
Cisco® Network Registrar Tech Center developer support:
http://developer.cisco.com/web/cnr/home
65

66. Демонстрационные стенды
Системы сетевого управления
Решения для операторов связи
Решения для корпоративных
заказчиков
Cisco Prime Carrier Management
Cisco Prime Infrastructure
Оперативный контроль и управления сетью MPLS
Управление инфраструктурой корпоративной сети
Cisco WAN Orchestration
Cisco Prime Collaboration
Оптимизация и проектирование сети MPLS
Управление видео и голосовыми услугами
Cisco Prime Home
Управление подключенным домом
Cisco Prime Network Registrar
Управление адресным пространством IP.
DHCP и DNS серверы

67. #CiscoConnectRu
Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Контакты
Андрей Манаков
amanakov@cisco.com
CiscoRu
04.12.2013
Cisco
© 2013 Cisco and/or its affiliates. All rights reserved.
CiscoRussia