3. Современная
сетевая
инфраструктура
Типовой
пример
Подсистема сторонних организаций
Подсистема управления технологическим процессом
Подсистема электронного документооборота
Подсистема контроля доступа
Подсистема видеонаблюдения
4. Возможные
пути
развития
Выделенная
сетевая
инфраструктура
Достоинства
решения
Для
каждой
подсистемы
строится
выделенная
сеть
Абсолютное
разделение
подсистем
различного
назначения
Недостатки
решения
Увеличение
расходов
за
счет
необходимости
создания
нескольких
подсистем
Трудности
с
масштабированием
и
управлением
подсистемами
5. Возможные
пути
развития
Разделяемая
сетевая
инфраструктура
Достоинства
решения
Единая
физическая
инфраструктура
для
всех
подсистем
Эффективное
разделение
разнородных
сервисов
Готовность
к
внедрению
новых
сервисов
Снижение
затрат
на
администрирование
Недостатки
решения
Требуются
аккуратные
настройки
политик
ИБ
6. Постановка
задачи
Что
такое
виртуализация?
Логическое
разделение
сетевой
инфраструктуры
между
несколькими
подсистемами
Одна
физическая
инфраструктура
обеспечивает
работу
нескольких
логических
подсистем
Консолидация
всех
типов
данных
(голос,
данные,
видео)
внутри
одной
сетевой
инфраструктуры
Основные
преимущества
виртуализации:
Гибкость
управления
Сокращение
затрат
на
создание
и
сопровождение
8. Компоненты решения
Контроль доступа Виртуализация каналов Сервисная граница
Data
GRE
GRE MPLS
MPLS Center
Сервис
VRFs
802.1q
Internet
• Авторизация устройств при • Разделение потоков данных на • Изолированные и
подключении сетевом уровне разделяемые сервисы
• Назначение виртуального • Доставка потоков данных внутри • Обмен данными между
контекста виртуальных контекстов виртуальными
Назначение контекстами
• Блокирование • Организация связи между
неавторизованного контекстами на уровне доступа и • Уникальный набор правил
подключения контекстами на сервисной границе для каждого контекста
Использование технологии виртуализации в ЛВС 8
9. Определение прав доступа
Аутентификация
пользователя
При
помощи
встроенного
клиента
Использование
802.1X
клиента
Cisco
NAC
Без
использования
клиента
Web
аутентификация
Аутентификация
на
основе
MAC
адреса
Статический
контроль
Статические
настройки
порта
(VLAN,
ACL,
MAC)
Авторизация
пользователя
Назначен
номер
VLAN
Применена
политика
(ACLs,
QoS,
и
др.)
10. Виртуализация устройств
Одно
физическое
устройство
Коммутатор
Маршрутизатор
Межсетевой
экран
Несколько
виртуальных
устройств
Создание
нескольких
виртуальных
устройств
Распределение
интерфейсов
между
виртуальными
устройствами
VRF
VRF
VRF
11. Виртуализация каналов
Виртуализация
каналов
между
смежными
устройствами
VRF-Lite на каждом устройстве
Для виртуализации используются 802.1q тэги
Использование технологии EVN
Для виртуализации используются 802.1q тэги
802.1q
12. Виртуализация каналов
Виртуализация
каналов
между
удаленными
устройствами
Использование
VRF-‐Lite
и
GRE
туннелей
Для
виртуализации
используются
GRE
туннели
Использование
технологии
MPLS
L3VPN
Для
виртуализации
используются
MPLS
метки
13. Сервисная граница
Выделенный
ресурс
Только
один
контекст
имеет
доступ
к
ресурсу
Разделяемый
ресурс
Несколько
контекстов
имеют
доступ
к
ресурсу
Повышение
экономической
эффективности
Централизованная
политика
информационной
безопасности
Разделяемый
ресурс
Выделенный
Виртуальный ресурс
контекст ЦОД Выделенный
Виртуальный ресурс
ЛВС
контекст Выделенный
ресурс
Виртуальный
контекст
Интернет
16. Технология VRF-lite и GRE-туннели
На
коммутаторах
распределения
создаются
VRF
Для
виртуализации
каналов
используются
GRE
туннели
Ядро
сети
не
участвует
в
виртуализации
IP заголовок 20 GRE
заголовок Исходный пакет
байт
17. Технология VRF-lite и GRE-туннели
На
коммутаторах
распределения
создаются
VRF
Для
виртуализации
каналов
используются
GRE
туннели
Ядро
сети
не
участвует
в
виртуализации
DATA
GRE
IP заголовок 20 GRE
заголовок Исходный пакет
байт
18. Технология VRF-lite и GRE-туннели
Пример
настройки
!
!! Создание виртуальных
ip vrf RED! контекстов VRF
rd 1:1!
! !
interface Loopback101!
Создание Loopback
ip address 192.168.101.8 255.255.255.255! интерфейсов
!!
interface Tunnel1!
vrf forwarding RED! Создание туннельных
ip address 172.16.87.8 255.255.255.0!
tunnel source Loopback101!
интерфейсов
tunnel destination 192.168.101.7!
!!
interface Ethernet0/3!
Настройка
vrf forwarding RED! пользовательских
ip address 172.16.8.8 255.255.255.0! интерфейсов
!!
router eigrp LAB!
!!
address-family ipv4 unicast vrf RED autonomous-system 16!
Настройка протоколов
network 172.16.0.0! маршрутизации
!!
!
19. Технология VRF-lite и GRE-туннели
Особенности
использования:
Идеален
для
использования
в
топологиях
типа
«звезда»
Ограниченные
возможности
по
масштабированию
Аппаратная
поддержка
GRE
только
на
Catalyst6500
и
N7K
Все
компоненты
хорошо
знакомы
и
давно
используются
Основные
компоненты
решения:
Intern
Протоколы
маршрутизации
-‐
OSPF/EIGRP
WAN
Data
Center
Internet
et
Виртуализация
каналов
–
GRE
21. VRF-Lite на всех устройствах
VRF
контексты
создаются
на
всех
устройствах
в
сети
Для
виртуализации
каналов
используется
dot1Q
Используется
уникальная
нумерация
VLAN
в
магистрали
Все
настройки
производятся
в
ручную
802.1q
22. VRF-Lite на всех устройствах
Пример
настройки
!! Создание виртуальных
ip vrf RED! контекстов VRF
rd 1:1!
!! Настройка
interface Vlan16! пользовательских
vrf forwarding RED! интерфейсов
ip address 172.16.8.8 255.255.255.0!
!!
interface Ethernet0/0.16!
vrf forwarding RED!
encapsulation dot1Q 16! Настройка
ip address 172.16.85.8 255.255.255.0! магистральных
!!
interface Ethernet0/1.116! интерфейсов
vrf forwarding RED!
encapsulation dot1Q 116!
ip address 172.16.86.8 255.255.255.0!
!!
router eigrp LAB!
!! Настройка протоколов
address-family ipv4 unicast vrf RED autonomous-system 16! маршрутизации
network 172.16.0.0!
!
23. VRF-Lite на всех устройствах
Особенности
использования:
Идеален
для
небольшого
количества
VRF
(менее
8)
Ограниченные
возможности
по
масштабированию
Поддерживается
на
всех
моделях
коммутаторах
Все
технологии
хорошо
знакомы
и
давно
используются
Возможна
легкая
миграция
Основные
компоненты
решения:
Intern
WAN Internet
Протоколы
маршрутизации
-‐
OSPF/EIGRP
et
Data
Center
Виртуализация
каналов
–
dot1Q
24. Технология
EVN
Easy
Virtual
Network
Использование технологии виртуализации в ЛВС 24
25. Технология EVN
VRF
контексты
создаются
на
всех
устройствах
в
сети
Для
виртуализации
каналов
используется
dot1Q
За
каждым
VRF
закреплен
уникальный
номер
VLAN
Автоматическая
нумерация
VLAN
в
магистрали
802.1q
26. Использование технологии EVN
Пример
настройки
!!
vrf definition RED! Создание виртуальных
vnet tag 101!
!! контекстов VRF
address-family ipv4!
!!
interface Ethernet0/0!
vnet trunk!
ip address 192.168.74.7 255.255.255.0!
Настройка
!! магистральных
interface Ethernet0/1! интерфейсов
vnet trunk!
ip address 192.168.73.7 255.255.255.0!
!!
interface Vlan16! Настройка
vrf forwarding RED! пользовательских
ip address 172.16.7.7 255.255.255.0! интерфейсов
! !
router eigrp LAB!
!!
address-family ipv4 unicast vrf RED autonomous-system 16! Настройка протоколов
network 172.16.0.0! маршрутизации
network 192.168.0.0 0.0.255.255!
!!
!
!
27. Использование технологии EVN
Результат
работы
макроса
#show derived-config !
!
interface Ethernet0/0! Магистральный
vnet trunk! интерфейс
ip address 192.168.74.7 255.255.255.0!
!!
interface Ethernet0/0.101!
description Subinterface for VNET RED! Автоматически созданные
vrf forwarding RED! логические интерфейсы
encapsulation dot1Q 101!
ip address 192.168.74.7 255.255.255.0!
!! Все логические интерфейсы
interface Ethernet0/0.102! используют одинаковый IP
description Subinterface for VNET GRN! адрес
vrf forwarding GRN!
encapsulation dot1Q 102!
ip address 192.168.74.7 255.255.255.0!
!
!
28. Технология EVN
Особенности
использования:
Полностью
совместима
с
технологией
VRF-‐lite
Ограниченная
поддержка
на
существующих
коммутаторах
Встроенные
средства
по
обмену
маршрутами
между
контекстами
Возможна
легкая
миграция
Основные
компоненты
решения:
Протоколы
маршрутизации
-‐
OSPF/EIGRP
Intern
Виртуализация
каналов
–
dot1Q
WAN
Data
Center
Internet
et
30. Технология
MPLS
L3VPN
На
коммутаторах
распределения
создаются
VRF
Для
виртуализации
каналов
используются
MPLS
метки
Требуется
поддержка
технологии
MPLS
в
ядре
сети
и
на
коммутаторах
уровня
распределения
4 байта 4 байта
Исходный пакет
IGP метка VPN метка
31. Технология
MPLS
L3VPN
На
коммутаторах
распределения
создаются
VRF
Для
виртуализации
каналов
используются
MPLS
метки
Требуется
поддержка
технологии
MPLS
в
ядре
сети
и
на
коммутаторах
уровня
распределения
4 байта 4 байта
Исходный пакет
IGP метка VPN метка
34. MPLS-VPN
Особенности
использования:
Хороший
запас
по
масштабированию
Рекомендуется
использовать
BGP
Route-‐Reflector
Требуется
использование
дополнительных
протоколов
Поддерживается
только
на
коммутаторах
Catalyst6500
и
N7K
Основные
компоненты
решения:
WAN
Data
Internet
Internet
Center
Протоколы
маршрутизации
-‐
MPBGP
Виртуализация
каналов
–
MPLS
Route-Reflector Route-Reflector
36. Доступ к разделяемому ресурсу
Основные
характеристики
решения:
Свободный
доступ
к
ресурсам
Нет
межсетевого
экранирования
Используется
для
общих
сервисов
(DNS,
DHCP)
Используется
BGP
route-‐target
Требуется
уникальный
план
IP-‐адресации
Обмен
маршрутами
37. Доступ к разделяемому ресурсу
Пример
настройки
SVCS 10.0.0.0/24
VRF
172.16.8.0/24 172.17.8.0/24
39. Доступ к разделяемому ресурсу
Пример
настройки
Использование
технологии
EVN
vrf definition GRN!
vnet tag 102! Создание
!!
address-family ipv4!
виртуальных
route-replicate from vrf SVCS unicast all! контекстов VRF и
!! настройка
vrf definition SVCS!
vnet tag 100!
репликации
!! маршрутов
address-family ipv4!
route-replicate from vrf RED unicast all route-map RED-IMPORT!
route-replicate from vrf GRN unicast all route-map GRN-IMPORT!
!!
route-map GRN-IMPORT permit 10!
match ip address GRN-ACL! Настройка
! правил
ip access-list standard GRN-ACL! фильтрации
permit 172.17.0.0 0.0.255.255!
маршрутов
40. Доступ к разделяемому ресурсу
Пример
настройки
Использование
технологии
EVN
router eigrp LAB!
!!
address-family ipv4 unicast vrf GRN autonomous-system 17!
!!
topology base!
redistribute vrf SVCS eigrp 100!
exit-af-topology!
network 172.17.0.0! Редистрибуция
network 192.168.0.0 0.0.255.255! маршрутной
!! информации
address-family ipv4 unicast vrf SVCS autonomous-system 100!
!!
topology base!
redistribute vrf GRN eigrp 16!
exit-af-topology!
network 10.0.0.0!
41. Доступ к разделяемому ресурсу
Пример
настройки
S7#routing-context vrf SVCS!
S7%SVCS#sh ip route!
!
Routing Table: SVCS!
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP!
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area !
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2!
E1 - OSPF external type 1, E2 - OSPF external type 2!
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2!
ia - IS-IS inter area, * - candidate default, U - per-user static route!
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP!
+ - replicated route, % - next hop override!
!
Gateway of last resort is not set!
!
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks!
C 10.0.0.0/24 is directly connected, Ethernet1/0!
L 10.0.0.7/32 is directly connected, Ethernet1/0!
D 10.15.15.0/24 [90/409600] via 10.0.0.15, 01:19:53, Ethernet1/0!
172.17.0.0/16 is variably subnetted, 3 subnets, 2 masks!
C + 172.17.7.0/24 is directly connected (GRN), Ethernet0/2!
L + 172.17.7.7/32 is directly connected (GRN), Ethernet0/2!
D + 172.17.8.0/24 !
[90/384000] via 192.168.74.4 (GRN), 02:00:55, Ethernet0/0.102!
[90/384000] via 192.168.73.3 (GRN), 02:00:55, Ethernet0/1.102!
42. Контролируемый доступ к ресурсу
Fusion-‐router
используется
для:
Разделяемый
Обмена
данными
между
VRF
ресурс
Защищенного
доступа
к
разделяемому
ресурсу
Межсетевой
экран
используется
для:
Изоляции
виртуальных
контекстов
Контроля
над
потоками
данных
Режим
работы
МЭ
определяет
схему
маршрутизации
:
Transparent
-‐>
EIGRP/OSPF/eBGP
Routed
-‐>
Stazc/eBGP
Все
компоненты
на
схеме
могут
быть
построены
на
основе:
Отдельного
физического
устройства
Выделенного
виртуального
контекста
43. Контролируемый доступ к ресурсу
Использование
межсетевого
экрана
в
L3
режиме
Межсетевой
экран
работает
в
Разделяемый
мультиконтекстном
режиме
сервис
Динамическая
маршрутизация
не
поддерживаются
на
МЭ
На
МЭ
используются
статические
маршруты
Рекомендованное
решение
–
eBGP
между
контекстами
L3 L3
маршрутизаторов
FR
может
анонсировать
маршрут
по
умолчанию
44. Контролируемый доступ к ресурсу
Использование
межсетевого
экрана
в
L2
режиме
FR
имеет
информацию
о
префиксах
во
всех
виртуальных
контекстах
Разделяемый
Возможно
использование
различных
сервис
протоколов
маршрутизации:
Для
VRF-‐lite
решений
рекомендуется
использование
EIGRP
или
OSPF
Для
решений
на
основе
MPLS
L3VPN
рекомендуется
eBGP
FR
может
анонсировать
только
L2 L2
маршрут
по
умолчанию
Fusion
Router
может
быть
построен
на
основе
виртуального
контекста
или
физического
устройства
45. Контролируемый доступ к ресурсу
Пример
настройки
vrf definition GRN!
rd 1:2!
!!
vrf definition RED! Создание виртуальных
rd 1:1! контекстов
!!
vrf definition SVCS!
rd 1:100!
!!
interface Ethernet1/0!
vrf forwarding SVCS!
ip address 10.0.0.3 255.255.255.0!
!!
interface Ethernet1/1! Настройка
vrf forwarding GRN! пользовательских
ip address 172.17.2.2 255.255.255.0!
!!
интерфейсов
interface Ethernet1/2!
vrf forwarding RED!
ip address 172.16.2.2 255.255.255.0!
46. Контролируемый доступ к ресурсу
Пример
настройки
interface Ethernet0/0!
vrf forwarding SVCS!
ip address 172.17.0.1 255.255.255.0!
!!
interface Ethernet0/1!
vrf forwarding GRN!
ip address 172.17.0.2 255.255.255.0!
!! Настройка интерфейсов для
interface Ethernet0/2! протокола eBGP
vrf forwarding RED!
ip address 172.16.0.2 255.255.255.0!
!!
interface Ethernet0/3!
vrf forwarding SVCS!
ip address 172.16.0.1 255.255.255.0!
!!
48. Настройка качества обслуживания
Агрегатная
модель
Трафик
классифицируется
и
маркируется
на
границе
сети
WAN
Data
Internet
Internet
Center
Потоки
данных
обрабатываются
на
основе
DSCP/MPLS
EXP
маркировки
Каждый
тип
трафика
получает
свой
класс
обслуживания:
• Доступ
к
интернету
–
Best
effort
• Голос
–
Priority
• Бизнес
приложения
–
по
выбору
Приоритет/качество
обслуживания
не
зависят
от
принадлежности
к
VRF
49. Настройка качества обслуживания
Система
приоритезации
VRF
Трафик
классифицируется
и
маркируется
на
границе
сети
WAN Internet
Internet
Потоки
данных
обрабатываются
на
Data
Center
основе
DSCP/MPLS
EXP
маркировки
Класс
обслуживания
определяется
принадлежностью
к
VRF:
• Гостевой
доступ
–
Best
effort
• Голос
–
Priority
• Бизнес
приложения
–
по
выбору
Приоритет/качество
обслуживания
не
зависят
от
принадлежности
к
VRF
50. Заключение
Использование технологии виртуализации в ЛВС 50
51. Заключение
Принадлежность к VRF Корпоративная Интернет
может быть сохранена сеть Internet
в WAN ЦОД
Некоторые сервисы
поддерживают
виртуализацию
VRF-Lite + GRE
VRF-Lite End-to-End
EVN
MPLS VPN
L3 граница на уровне
распределения
Авторизация
пользователей и
назначение VRF
Использование технологии виртуализации в ЛВС 51
52. Спасибо!
Просим Вас заполнить анкеты.
Ваше мнение очень важно для нас.
Использование технологии виртуализации в ЛВС 52