Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco.

Принимайте активное участие в Cisco Expo и получите в
подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco

• посещать демонстрации, включенные в основную программу

• пройти тесты на проверку знаний

Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября

www.ceq.com.ua
© 2012 Cisco and/or its affiliates. All rights reserved. 1

Cisco Expo
2012

Лучшие практики и рекомендуемые
дизайны по построению WAN-сетей
на базе возможностей оборудования
Сisco
Максим Порицкий
cистемный инженер, CCIE R&S
mporitsk@cisco.com


 Введение в WAN
 Общий дизайн удаленных сайтов
 Общий дизайн центрального сайта
 Качество обслуживания (QoS)
 Позиционирование оборудования
 Удаленные сайты – тонкости настройки и лучшие практики
 Центральный сайт – тонкости настройки и лучшие практики
 Шифрование в WAN


Транспорт, безопасность

 Multiprotocol Label Switching (MPLS) Layer 3 VPN + GET VPN
 Надежность + гарантия качества
 Peer-to-peer VPN-модель (нет выделенных VC, ISP принимает активное
участие в маршрутизации трафика)
 Для Ent – облако - PE-CE
 BGP – распространение маршрутов
 VRF – логическая изоляция подсетей
 Шифрование трафика
 Основной канал

 Internet VPN + Dynamic Multipoint VPN (DMVPN)
 Надежность + Best-effort
 Множество ISP-interconnect
 Шифрование трафика
 Резервный канал


Отказоустойчивость, безопасность
 Обеспечение отказоустойчивости на уровне каналов и/или
 Обеспечение отказоустойчивости на уровне устройств
 Обеспечение шифрования данных

Сервисы
 Все сервисы централизованы в ЦОД-е
 Централизованный доступ в Интернет (для web-browsing)
 Поддержка IP Multicast
 Обеспечение QoS

Топология
 Поддержка Hub and spoke и Spoke-to-spoke

SBA (Design Zone for Smart Business Architecture)
 Customer access: http://www.cisco.com/go/sba
 Partner access: http://www.cisco.com/go/sbachanne

Резервирование
Без Резервирование каналов связи и
резервирования каналов связи устройств

MPLS MPLS-A MPLS-B MPLS-A MPLS-B

MPLS WAN

Internet Internet
MPLS DMVPN MPLS DMVPN

MPLS + Internet
WAN

Internet Internet Internet Internet
Internet (DMVPN-2)
(DMVPN-1) (DMVPN-2) (DMVPN-1)
DMVPN

Internet WAN


Без резервирования
маршрутизаторов С резервированием
Добавили маршрутизаторов
устройство,
транзитный канал,
FHRP (HSRP)
EIGRP

Vlan99 - transit

HSRP Vlans
No HSRP
Vlan64 - data Active Vlan64 - data
Required HSRP Router
Vlan69 - voice Vlan69 - voice

802.1q Vlan trunk (64, 69) 802.1q Vlan trunk (64, 69, 99)

 1 Service = 1 VLAN; 1 VLAN = /24; R-SwTrunk; R – sub int  Def GW

 FHRP = HSRP, VRRP, GLBP; R1 - R2  EIGRP


R1—Master, пересылает трафик;
R2—Backup
IP: 10.0.0.254 IP: 10.0.0.253
 Стандарт IETF RFC 2338 (Апрель 1998) MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc
vIP: 10.0.0.10 vIP:
 Группа маршрутизаторов работает как vMAC: 0000.5e00.0101 vMAC:
один виртуальный с одним виртуальным
IP адресом и MAC адресом VRRP VRRP
ACTIVE BACKUP
 Один (master) маршрутизатор R2
R1
пересылает пакеты для/из локальной
сети
 Остальные маршрутизаторы работают
как резервные
 Используйте VRRP, если требуется
поддержка оборудования других Доступ
производителей

IP: 10.0.0.1 IP: 10.0.0.2
MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02
GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0000.5e00.0101 ARP: 0000.5e00.0101


R1—Master, пересылает трафик;
R2—Backup
 Группа маршрутизаторов работает
как один виртуальный с одним IP: 10.0.0.254
MAC: 0000.0c12.3456
IP: 10.0.0.253
MAC: 0000.0C78.9abc
виртуальным IP адресом и MAC vIP: 10.0.0.10 vIP:
адресом vMAC: 0000.5e00.0101 vMAC:

 Один (active) маршрутизатор HSRP HSRP
пересылает пакеты для/из ACTIVE BACKUP
локальной сети R1 R2
 Остальные маршрутизаторы
работают как горячий резерв
 Используйте HSRP, если только
Cisco-сеть и интересуют
дополнительные возможности
Доступ
 HSRP preemption (standby 1
preempt) позволит standby снова
стать active в случае high priority

IP: 10.0.0.1 IP: 10.0.0.2
GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0000.5e00.0101 ARP: 0000.5e00.0101


R1- AVG; R1, R2 – оба пересылают трафик;

IP: 10.0.0.254 IP: 10.0.0.253
MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc
vIP: 10.0.0.10 vIP: 10.0.0.10
vMAC: 0000.5e00.0101 vMAC: 0000.5e00.0102
 Все преимущества HSRP
+ балансировка нагрузки между GLBP AVG/AVF, GLBP AVF,
шлюзами  использует всю SVF SVF
доступную полосу R1 R2
 Группа маршрутизаторов
работают как один виртуальный,
разделяют один виртуальный IP
адрес, но используют несколько
виртуальных MAC адресов
Доступ
 Позволяют трафику из одной
подсети использовать несколько
шлюзов по умолчанию с одним
виртуальным IP адресом
IP: 10.0.0.1 IP: 10.0.0.2
GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0000.5e00.0101 ARP: 0000.5e00.0102


Без резервирования Добавили уровень С резервированием
маршрутизаторов агрегации, транзитный маршрутизаторов
канал (для сайта с
резервированием
устройств)

802.1q trunk (50,99) 802.1q trunk (54,99)
802.1q trunk (50)

Vlan50 – router 1 link
Vlan99 – transit

802.1q trunk (xx-xx) 802.1q trunk (xx-xx)
802.1q trunk (xx-xx) 802.1q trunk (xx-xx)

data data data data

voice voice voice voice

 R-Distr Sw Etherchannel; Distr Sw – L3/L2 demarcation point
 R1 – R1 – Dist SW  EIGRP; Dist SW - SVI  Def GW

 Варианты дизайна (основной-резервный канал): MPLS1+MPLS2, Internet1+Internet2,
MPLS+Internet (основной-резервный канал)
 MPLS
 PE-CE = BGP (OSPF, EIGRP)
 Private AS
 iBGP – между CE для корректной маршрутизацииВзаимная редистрибьюция

WAN Distribution Layer / Core

MPLS CE Routers DMVPN Hub Routers

EIGRP EIGRP EIGRP Internet Edge

BGP iBGP BGP EIGRP
default
BGP AS = 65511

eBGP eBGP

EIGRP EIGRP
(200) (201)

MPLS A MPLS B
AS 65401 AS 65402

ISP A / ISP B
DMVPN 1 DMVPN 2

 Internet
 Шифрование – DMVPN-туннели
 VPN HUB – внутри туннеля – EIGRP (каждый EIGRP имеет свой уникальный №
процесса)
 EIGRP в центре - № процесса = 100
 Взаимная редистрибьюция
 DMVPN Backup Shared или DMVPN Backup Dedicated  DMZ  Internet
WAN Distribution Layer / Core

MPLS CE Routers DMVPN Hub Routers

EIGRP EIGRP EIGRP Internet Edge

BGP iBGP BGP EIGRP
default
BGP AS = 65511

eBGP eBGP

EIGRP EIGRP
(200) (201)

MPLS A MPLS B
AS 65401 AS 65402

ISP A / ISP B
DMVPN 1 DMVPN 2

Traffic Profiles and Requirements
 QoS для “management и network
control” MUST !!!

Voice SD Video Conf Telepresence Data

 Bursty  Bursty
 Smooth  Smooth/bursty
 Greedy  Drop sensitive
 Benign  Benign/greedy
 Drop sensitive  Delay
 Drop sensitive  Drop insensitive
 Delay sensitive
 Delay sensitive  Delay insensitive
sensitive  Jitter sensitive
 UDP priority  TCP retransmits
 UDP priority  UDP priority

Bandwidth per Call SD/VC has the Same HD/VC has Tighter Traffic patterns for
Depends on Requirements as Requirements than Data Vary Among
Codec, VoIP, but Has VoIP in terms of Applications
Sampling-Rate, Radically Different jitter, and BW varies
and Layer 2 Media Traffic Patterns based on the
(BW Varies Greatly) resolutions
 Data Classes:
• Latency ≤ 150 ms  Latency ≤ 150 ms Latency ≤ 200 ms  Mission-Critical Apps
Jitter ≤ 20 ms  Transactional/Interactiv
• Jitter ≤ 30 ms  Jitter ≤ 30 ms e Apps
• Loss ≤ 1%  Loss ≤ 0.05% Loss ≤ 0.10%
 Bulk Data Apps
• Bandwidth (30-128Kbps)  Bandwidth (1Mbps) Bandwidth (5.5-  Best Effort Apps
One-Way Requirements One-Way Requirements 16Mbps) (Default)
One-Way Requirements

 Type of service (ToS) Field – 8 бит (RFC 791) в заголовке IP

 Precedence – 3 бита - важность и приоритет пакета
 TOS - 3 бита индикация запроса - throughput, delay, reliability
 MBZ – 2 бита (0 – не используется)


 Differentiated Services (DS) Field – 8 бит (RFC 2474) в заголовке IP

 Differentiated Services Code Point (DSCP) – 6 бит (важность и приоритет пакета)
 Explicit Congestion Notification (ECN) - 2 бита (RFC 3168) – индикация о перегрузке
сети – редко используется

 На границе сети осуществляется анализ
значения DSCP и обеспечение соответствующего
сервиса


IOS QoS Mechanisms and Operation
Tx-Ring Operation

IOS Interface Buffers

Packets Packets
Tx-Ring
In Out

If the Tx-Ring is filled to capacity,
then the IOS software knows that the interface
is congested and it should activate any
LLQ/CBWFQ policies that have been
applied to the interface

The default value of the Tx-Ring varies according to platform and link type
and speed

 CBWFQ (class-map) – создание классов сервисов + ассоциация специфического
трафика
 Маркировка осуществляется как можно ближе к источнику (на оборудовании LAN)
 match = DSCP или protocol


 policy-map – комбинация различных классов сервисов с определением их
характеристик:
 Назначение приоритетной очереди для класса (LLQ - priority)
 Определение BW для класса
 Механизм уведомления о перегрузке (random-detect)


(Single) LLQ Operation

IOS Interface Buffers

1 Mbps
VoIP policy-map LLQ
Policer class VOIP
LLQ priority 1000
…

Packets Packets
In Out
CBWFQ
Scheduler
Tx-Ring

FQ CBWFQ
Pre-Sorters


DSCP-Based WRED Operation
policy-map BULK-WRED
class BULK
Tail bandwidth percent 10 Front
of of
random-detect dscp-based Queue
Queue Bulk Data CBWFQ
Fair-
Direction
Queue
Pre- of
Sorter Packet
Flow

AF13 Minimum WRED Threshold:
Begin randomly dropping AF13 Packets



Maximum WRED Thresholds for AF11, AF12 and AF13 are set to the tail of the queue in this example


 BW физического интерфейса ≠ BW заказчика
 ISP выделает (продает) часть BW физического интерфейса
 Policers (на стороне ISP) обычно удаляет пакеты
 Shapers (на стороне заказчика )обычно пытается сгладить всплески за счет
буферизации излишнего трафика

 Иерархия  в рамках доступной BW (родительская policy), ссылка на дочернюю policy
(hierarchical policy )


Without Traffic Shaping
Line
Rate
With Traffic Shaping
Shaped
Rate

Traffic Shaping Limits the Transmit Rate to a Value Lower Than Line
Rate


DSCP is copied to the

DSCP
new IP Header IP HDR IP Payload

GRE Tunnel
DSCP

DSCP
GRE
IP HDR HDR
IP HDR IP Payload

IPSec Tunnel mode
DSCP

DSCP

ESP ESP
IP HDR ESP HDR IP HDR IP Payload Trailer Auth

 QoS classification/marking must occur before encryption !
 QOS pre-classify is needed only if QOS classification requires Layer 3 and 4
information is needed for packet classification. This is need because original
header fields for port numbers are encrypted.


 Классифицировать и маркировать – ближе к источнику
 Не доверять пользовательским маркировкам
 Использовать DSCP вместо IP Precedence– 64 vs 8
 1-8 классов трафика
 Ограничивать (police) нежелательный трафик ближе к источнику vs FW
 Внедрять QoS где возможны скопления – oversubscription speed vs WAN Edge
 Strict Priority – не более 33% от общей BW
 Best Effort class – default class - не более 25% от общей BW
 Использовать WRED для всех TCP-потоков для раннего предотвращения
скоплений (DSCP-based WRED)


* При обработки Internet mix (IMIX) трафика с
включенными сервисами (Sec, QoS,
3945E
маршрутизация) и загрузкой CPU не более 75
процентов
WAN Access Speed With Services

3925E

3945

3925

2951

2921

2911

1941/2901

1921

8XX

2- 15 Mb 15 Mb 25 Mb 35 Mb 50 Mb 75 Mb 100 Mb 150 Mb 250 Mb 350 Mb


 Поддержка RPS
 Поддержка 3G модема
 WAN/LAN интерфейсные карты – 16-48 FE/GE, SFP, PoE
 Сервисные модули: Wireless Controller, WAAS, CUME, SRST, CUE, NAM
 DSP-ресурсы для локальной обработки голоса и видео  конференции
 Поддержка SRE-модулей, блейд-серверов  пользовательские приложения
 Поддержка шифрования на базе ДСТУ 28147:2009 (конфіденційна, що не є
власністю держави)


 Помимо BW (производительность)
 Кол-во подключаемых сайтов
 Максимальная отказоустойчивость


 2 маршрутизатора, 2 канала связи, только Access Layer
 Задействовано 2 протокола маршрутизации (в сторону WAN)
 Необходим протокол маршрутизации (в сторону клиентов) 
Active HSRP – всегда имеет информацию о всех маршрутах
 Необходима “One Way Route Redistribution”
DMVPN
MPLS VPN
Internet

One Way Route Redistribution BGP
Summary EIGRP
EIGRP Summary
(200)
eBGP

Summary Routes Make Two- BGP EIGRP
Way Redistribution Unnecessary EIGRP EIGRP

EIGRP
(100)

 Анонсирование всех необходимых подсетей (network)
 Минимизация соседских интерфейсов (passive-interface)
 Суммаризация подсетей (ip summary-address, aggregate-address)


Remote Site
D EX 10.5.192.0/21 [170/xxxx] via 10.5.52.3 MPLS B
AS 65402
10.5.192.0/21
MPLS A MPLS B
AS 65401 AS 65402

1. Узел посылает пакет к HSRP
R1 R2
active (10.5.52.1)
Gig0/1.64 (.2) (.3) Gig0/1.64 2. Пакет принимается R1 на Gig 0/1.64
(.1)
Active HSRP Router
10.5.52.0/24
3. R1 выполняет route lookup,
Vlan64 - data определяет next hop 10.5.52.3
4. R1 посылает пакет к 10.5.52.3,
10.5.52.10/24
через Gig0/1.64 (hairpin out same
intf)
Узел посылает данные 5. Пакет принимается R2 на Gig 0/1.64
удаленному узлу
(10.5.52.10 → 10.5.192.10) 6. Пакет перенаправляется в WAN
к конечному удаленному узлу


Remote Site
D EX 10.5.192.0/21 [170/xxxx] via 10.5.48.2 MPLS B
AS 65402
10.5.192.0/21
MPLS A MPLS B
AS 65401 AS 65402

Vlan99 - transit 1. Узел посылает пакет к HSRP
R1 10.5.48.0/30 R2
active (10.5.52.1)
Gig0/1.99 (.1) (.2)
Gig0/1.99
2. Пакет принимается R1 на Gig 0/1.64
Gig0/1.64 (.2) (.3) Gig0/1.64

(.1)
3. R1 выполняет route lookup,
Active HSRP Router
10.5.52.0/24
определяет next hop 10.5.48.2
4. R1 посылает пакет к 10.5.48.2,
Vlan64 - data

10.5.52.10/24
через Gig 0/1.99

5. Пакет принимается R2 на Gig 0/1.99
Узел посылает данные
удаленному узлу
6. Пакет перенаправляется в WAN
(10.5.52.10 → 10.5.192.10) к конечному удаленному узлу


 IP SLA (IP service-level agreement) – генерация трафика и посылка его удаленному
узлу
 Обычное IP устройство (ICMP reply) - доступность
 Cisco устройство (IP SLA responder) – доступность, delay, jitter и т.д.

 EOT (Enhanced Object Tracking) – отслеживание состояния объектов (interface line
protocol, IP route reachability, IP SLA и т.д.) и выполнение запланированных
действий

 IP SLA + EOT + HSRP – оптимизация времени сходимости в случае сбоя на WAN


R1#
ip sla 100
icmp-echo 192.168.3.26 source-interface
B* 10.4.0.0/20 [20/0] via 192.168.3.26 GigabitEthernet0/0
timeout 1000
threshold 1000
frequency 15
ip sla schedule 100 life forever start-
Vlan99 - transit
192.168.3.26 R1 R2 time now
10.5.48.0/30

(.1) (.2) track 50 ip sla 100 reachability

Gig0/1.64 (.2) (.3) Gig0/1.64 interface GigabitEthernet0/1.64
encapsulation dot1Q 64
(.1)
ip address 10.5.52.2 255.255.255.0
Active HSRP Router
standby 1 ip 10.5.52.1
Vlan64 - data
standby 1 priority 110
standby 1 preempt
standby 1 track 50 decrement 10

R2#
удаленному узлу interface GigabitEthernet0/1.64
(10.5.52.10 → 10.4.0.X) encapsulation dot1Q 64
ip address 10.5.52.3 255.255.255.0
standby 1 preempt

R1#
ip sla 100
B* 10.4.0.0/20 [20/0] via 192.168.3.26 GigabitEthernet0/0
timeout 1000
threshold 1000
frequency 15
ip sla schedule 100 life forever start-
time now

track 50 ip sla 100 reachability
IP SLA 192.168.3.26
Probe interface GigabitEthernet0/1.64
encapsulation dot1Q 64
Gig0/0
ip address 10.5.52.2 255.255.255.0
R1
standby 1 preempt
standby 1 track 50 decrement 10

R2#
удаленному узлу interface GigabitEthernet0/1.64
(10.5.52.10 → 10.4.0.X) encapsulation dot1Q 64
ip address 10.5.52.3 255.255.255.0
standby 1 preempt

D EX 10.4.0.0/20 [170/xxxx] via 10.4.34.1

Vlan99 - transit
R1 R2 10.4.34.1
10.5.48.0/30

(.1) (.2)

Gig0/1.64 (.2) (.3) Gig0/1.64

IP SLA 192.168.3.26
Probe (.1)
Active HSRP Router

Vlan64 - data
Gig0/0
R1

R2# show standby brief
Interface Grp Pri P State Active Standby Virtual IP
Gi0/1.64 1 105 P Active local 10.5.52.2 10.5.52.1
R1#
08:59:00.117: %TRACKING-5-STATE: 50 ip sla 100 reachability Up->Down
08:59:01.321: %HSRP-5-STATECHANGE: GigabitEthernet0/1.64 Grp 1 state Active->Speak
08:59:12.569: %HSRP-5-STATECHANGE: GigabitEthernet0/1.64 Grp 1 state Speak->Standby


R1#
ip sla 100
GigabitEthernet0/0
timeout 1000
threshold 1000
IP SLA
frequency 15
Probe ip sla schedule 100 life forever start-time now
3G Wireless
WAN track 60 ip sla 100 reachability

Ce0/0/0 event manager applet ACTIVATE-3G
event track 60 state down
R1 action 1 cli command "enable"
action 2 cli command "configure terminal"
action 3 cli command "interface cellular0/0/0"
No HSRP action 4 cli command "no shutdown"
Required
Vlan64 - Data
action 5 cli command "end"
action 99 syslog msg "Activating 3G interface"

R1#
14:22:14: %TRACKING-5-STATE: 60 ip sla 100 reachability Up->Down
14:22:14: %SYS-5-CONFIG_I: Configured from console by on vty0(EEM:ACTIVATE-3G)
14:22:14: %HA_EM-6-LOG: ACTIVATE-3G: Activating 3G interface
14:22:34: %LINK-3-UPDOWN: Interface Cellular0/0/0, changed state to up
14:22:34: %DIALER-6-BIND: Interface Ce0/0/0 bound to profile Di1
14:22:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface Cellular0/0/0, changed state to up
14:22:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel10, changed state to up
14:22:40: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
14:22:42: %DUAL-5-NBRCHANGE: EIGRP-IPv4 200: Neighbor 10.4.34.1 (Tunnel11) is up: new adjacency

R1#
event manager applet TIME-OF-DAY-ACTIVATE-3G
event timer cron cron-entry "45 4 * * 1-5"
action 1 cli command "enable"
action 4 cli command "no shutdown"
VPN Tunnel

3G Wireless
WAN action 99 syslog msg "M-F @ 4:45AM Activating 3G int“

event manager applet TIME-OF-DAY-DEACTIVATE-3G
Ce0/0/0
event timer cron cron-entry "15 18 * * 1-5"
R1 action 1 cli command "enable"
No HSRP action 4 cli command "shutdown"
Required
Vlan64 - Data
action 99 syslog msg "M-F @ 6:15PM Deactivating 3G int"


Удаленные сайты не должны быть транзитными для трафика

 По умолчанию BGP переанонсирует изученные Campus
маршруты  dual-MPLS design MPLS-A  MPLS-B
 Dual-carrier сайты  сбой у ISP  Site 1 транзитный
для узлов MPLS B
 транзитные потоки  перегрузка каналов
 AS-Path фильтрация  только локальные маршруты
анонсируются
iBGP
router bgp 65511
neighbor 192.168.4.10 route-map NO-TRANSIT-AS out
!
ip as-path access-list 10 permit ^$ MPLS A MPLS B
!
route-map NO-TRANSIT-AS permit 10
match as-path 10

R1 R2 R1

iBGP

Site 1 Site 2

Stub Routing – улучшение стабильности сети и предотвращение транзита

Campus

 Dual-carrier сайты  Stub routing 
стабильность, меньше ресурсов, проще
конфигурация
 Stub routing  только локальные и суммарные
маршруты анонсируются  предотвращается
транзит через spoke сайт iBGP

DMVPN DMVPN

router eigrp 200 EIGRP EIGRP
eigrp stub connected summary

R1 R1


 Логический интерфейс  /32  всегда UP
DMVPN

 Используйте loopback интерфейсы как:
EIGRP
 router-id MPLS VPN (200) Internet
 snmp-server trap-source Loopback0
 ip ssh source-interface Loopback0
 ip pim register-source Loopback0
 ip tacacs source-interface Loopback0
 ntp source Loopback0
 Не забыть анонсировать Loopback !

interface Loopback0
ip address 10.255.251.201 255.255.255.255

router bgp 65511
bgp router-id 10.255.251.201
network 10.255.251.201 mask 255.255.255.255 Loopback
neighbor 192.168.3.22 remote-as 65401

router eigrp 200
network 10.255.0.0 0.0.255.255 All Loopbacks
eigrp router-id 10.255.251.201


DMVPN

MPLS VPN
 Анонсировать loopback-интерфейсы при Internet
суммаризации BGP EIGRP
 Суммарные анонсы одинаковые на R1 и R2 summary summary
EIGRP
 Основной канал рабочий  оба loopback- eBGP
(200)

интерфейса достижимы через основной канал
 Анонс суммарных маршрутов через оба R1 R2
EIGRP
канала  лучший путь через основной канал (100)

interface Loopback0 interface Loopback0
ip address 10.5.48.254 255.255.255.255 ip address 10.5.48.253 255.255.255.255
router bgp 65511 router eigrp 200
bgp router-id 10.5.48.254 network 10.4.34.0 0.0.1.255
network 10.5.52.0 mask 255.255.255.0 network 10.5.0.0 0.0.255.255
network 10.5.53.0 mask 255.255.255.0 passive-interface default
network 192.168.3.20 mask 255.255.255.252 no passive-interface Tunnel10
aggregate-address 10.5.48.0 255.255.248.0 summary-only eigrp router-id 10.5.48.253
neighbor 192.168.3.22 remote-as 65401 eigrp stub connected summary
no auto-summary interface Tunnel10
ip summary-address eigrp 200 10.5.48.0
255.255.248.0

DMVPN

MPLS VPN
 Сбой основного канала  резервный канал Internet
рабочий  оба loopback-интерфейса EIGRP
достижимы через резервный канал summary
EIGRP
(200)
eBGP

R1 EIGRP R2
(100)

255.255.248.0

DMVPN

 Сбой канала между R1 и R2 MPLS VPN
Internet
 Основной канал рабочий  оба loopback- BGP
EIGRP
интерфейса достижимы через основной канал summary
summary
EIGRP
 Анонс суммарных маршрутов через оба (200)
eBGP
канала  лучший путь через основной канал
 Однако! R2 loopback будет недостижим 
трафик от HQ сайта через основной канал на R1 EIGRP R2
R1 не достигнет loopback R2 (100)

255.255.248.0

Взаимная информированность о Loopback-интерфейсах
DMVPN

MPLS VPN
Internet
EIGRP
BGP
 Используйте “LAN” протокол summary
summary

маршрутизации для анонса R2 EIGRP
(200)
loopback к R1 (и R1 loopback к R2) eBGP

R1 EIGRP R2
(100)

router eigrp 100 router eigrp 100
network 10.255.251.203 0.0.0.0 network 10.255.253.203 0.0.0.0
eigrp router-id 10.255.251.203 eigrp router-id 10.5.253.203


Решение проблемы доступности loopback R2 при аварии на канале R1-R2
 Оба loopback интерфейса должны DMVPN
быть явно указаны в BGP
конфигурации
 Правили синхронизации в BGP  MPLS VPN
Internet
анонс через R1 loopback R2 только EIGRP
BGP
если он подтвержден EIGRP summary
summary

 Если канал между R1 и R2 нарушен EIGRP
(200)
eBGP
loopback R1 доступен через R1,
loopback R2 доступен через R2 BGP EIGRP

 Двусторонняя редистрибьюция
R1 EIGRP EIGRP EIGRP
R2
требуется на R2, но только loopback
(100)

интерфейсы должны
редистрибьютится от LAN в WAN
router bgp 65511
router eigrp 200
bgp router-id 10.255.251.203
network 10.255.0.0 0.0.255.255
network 10.255.251.203 mask 255.255.255.255
redistribute eigrp 100 route-map LOOPBACK-ONLY
network 10.255.253.203 mask 255.255.255.255
eigrp router-id 10.255.253.203
eigrp stub connected summary redistributed

ip access-list standard R1-LOOPBACK
Summary Routes Make Two- permit 10.255.251.203

Way Redistribution Unnecessary route-map LOOPBACK-ONLY permit 10
match ip address R1-LOOPBACK


 Управление устройством через шифрованные средства
 SSH and HTTPS – использовать безопасные (шифрование)
протоколы
 Небезопасные средства выключить – Telnet, HTTP

ip domain-name cisco.local
ip ssh version 2
no ip http server
ip http secure-server
line vty 0 15
transport input ssh

 Для управления устройством NMS
 SNMP(v2c) should be configured for both a read-only and a read-write
community string
snmp-server community cisco*7^%# RO
snmp-server community cisco123^&*% RW


 Управление устройством (SSH and HTTPS) контролируется
централизованной системой AAA
 Основная система TACACS+ , резервная – локальная база на устройстве
enable secret c1sco123
service password-encryption
!
username admin password c1sco123
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa authorization console
ip http authentication aaa
tacacs-server host 10.4.48.15 key SecretKey123$#@%


NTP Server
IP Addr: 10.4.48.17

 Troubleshooting a network event требует
корреляции между разными устройствами
(switches and routers)
 Обеспечьте синхронизацию времени и
Si Si

временной зоны с NTP сервером
Si Si

 Configure console messages, logs, and debug
Si Si

output to provide time stamps
Si Si

ntp server 10.4.48.17
!
clock timezone PST -8
clock summer-time PDT recurring
!
!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime


Campus/ Summary
Data Center (10.5.0.0/16)
 Важно осуществлять суммаризацию на уровне
распределения/ядра центрального сайта в
сторону “Edge WAN” и в сторону “campus & data
center”
 В сторону “Edge WAN” анонсировать также
default
 Суммаризация уменьшает потребление BW, Summaries
CPU, memory; ускоряет сходимость (10.4.0.0/16)
+
Default
 10.4.0.0/16 – подсеть центрального сайта (0.0.0.0/0.0.0.0)

 10.5.0.0/16 – подсеть удаленных сайтов

MPLS A MPLS B


 Administrative distance – выбор лучшего
маршрута для одинаковых подсетей
(маршрутов) Default
 Разные протоколы маршрутизации – разные AD Протокол маршрутизации Distance
 Выбор лучшего маршрута для разных Connected Interface 0
протоколов маршрутизации
Static Route 1
 Диапазон administrative distance 1 – 255
Приоритет у минимального значения EIGRP Summary Route 5
 Метрики – выбор между одинаковыми
BGP external (eBGP) 20
протоколами маршрутизации
EIGRP internal 90
OSPF 110
IS-IS 115
RIP 120
EIGRP External 170

BGP Internal (iBGP) 200

Unknown 255


OSPF EIGRP OSPF
 Как происходит
определение лучшего
маршрута ?
10.0.14.0/24 10.0.14.0/24 10.0.14.0/25
 Сравниваются только
идентичные маршруты (с
одинаковой длиной маски) 2 идентичных
 Одинаковые маршруты с
маршрута
разной длиной маски - EIGRP Internal = 90
неидентичные маршруты OSPF = 110
 Маршруты с минимальным
значением AD находятся в
1 неидентичный
таблице маршрутизации
маршрут

router#show ip route 10.0.14.0 255.255.255.0 longer-prefixes
10.0.0.0/8 is variably subnetted, 16 subnets, 3 masks
O IA 10.0.14.0/25 [110/40] via 10.0.67.6, 00:02:02, Ethernet0/1
D 10.0.14.0/24 [90/358400] via 10.0.37.3, 2d12h, Ethernet0/0


BGP Prefers Path with:
 Highest Weight (default value of weight is 0 and the range is from 0 to 65535)
 Highest Local PREF
 Locally originated via network or aggregate BGP
 Shortest AS_PATH
 Lowest Origin type
IGP>EGP>INCOMPLETE
 Lowest MED
 eBGP over iBGP paths
 Lowest IGP metric to BGP next hop

weight parameter should always be used to influence BGP routing decision !


 EIGRP использует композитную метрику

 EIGRP Metric = 256*([K1*Bw + K2*Bw/(256-Load) + K3*Delay]*[K5/(Reliability + K4)])
 Bandwidth [Bw] – минимальная BW на всем пути
 Delay – суммарная задержка на всем пути
 Load (1-255)
 Reliability (1-255)
 MTU (minimum along path)

 По умолчанию: (K1=K3=1; K2=K4=K5=0) 
EIGRP Metric = 256 * (bandwidth + delay)

Delay parameter should always be used to influence EIGRP routing decision !


Вариант неправильного выбора основного маршрута (через DMVPN) при Dual-Path дизайне

D 10.5.48.0/21 [90/xxxxx] via 10.4.32.18
 eBGP маршруты редистр. в EIGRP
100 как внешние маршруты с AD =
170
WAN Distribution  Если EIGRP AS для центрального
Layer сайта = EIGRP AS DMVPN сети 
путь через DMVPN (Internet)
приоритетнее (AD = 90) чем через
10.4.32.18
WAN (MPLS)

DMVPN Hub
MPLS CE Router
Router

EIGRP EIGRP

eBGP EIGRP

BGP AS = 65511
Mutual Route Redistribution
eBGP

EIGRP
(100)

MPLS A
AS 65401
DMVPN 1

Remote Site

10.5.48.0/21


Вариант правильного выбора основного маршрута (через MPLS) при Dual-Path дизайне

 Разные EIGRP AS процессы для
D EX 10.5.48.0/21 [170/34304] via 10.4.32.2
контроля над маршрутной
информацией:
- EIGRP AS100 – HQ,
WAN Distribution
- EIGRP AS200 – DMVPN туннель Layer
 Маршруты EIGRP 200 редистр. в
EIGRP 100  D EX (AD = 170)
10.4.32.2

DMVPN hub router# DMVPN Hub
router eigrp 100 Router
MPLS CE Router
redistribute eigrp 200
EIGRP EIGRP
 EIGRP исп. bandwidth и delay метрики в
BGP
случае идентичности prefix и AD EIGRP
BGP AS = 65511
 Если маршруты от обоих WAN
источников = equal-cost paths исп. eBGP

EIGRP delay для правильного выбора EIGRP
пути (через MPLS) (200)

MPLS A
AS 65401 DMVPN 1
MPLS CE router#
Remote Site
router eigrp 100
default-metric 1000000 10 255 1 1500 10.5.48.0/21


Нужно ли контролировать маршрутную информацию при Dual-Path дизайне ?

D EX 10.5.48.0/21 [170/xxxx] via 10.4.32.18
WAN Distribution Layer

10.4.32.1 10.4.32.18

D EX 10.5.48.0/21 [170/xxxx] via 10.4.32.1
DMVPN Hub
MPLS CE Router
Router

EIGRP
 В случае сбоя WAN-канала, MPLS CE EIGRP

использует альтернативный путь к remote BGP EIGRP
сайту через distribution layer (EIGRP route)
 Маршрут удаленного сайта редистр. в eBGP BGP AS = 65511

BGP с weight = 32768 EIGRP
(200)

MPLS A
AS 65401 DMVPN 1

Remote Site

10.5.48.0/21



D EX 10.5.48.0/21 [170/xxxx] via 10.4.32.18

WAN Distribution
Layer

D EX 10.5.48.0/21 [170/xxxx] via 10.4.32.1
10.4.32.1 10.4.32.18

 MPLS CE Router
DMVPN Hub
Router
 После восстановления WAN-канала, EIGRP
MPLS CE получает BGP уведомления о EIGRP

маршрутах удаленного сайта BGP EIGRP
BGP AS = 65511
 Какой из 2-х BGP-маршрутов окажется в
таблице маршрутизации ? eBGP 192.168.3.2

EIGRP
(200)

MPLS A
AS 65401 DMVPN 1

X B 10.5.48.0/21 [20/0] via 192.168.3.2
Remote Site

10.5.48.0/21
Маршрут через WAN Distribution !

CE-1#show ip bgp 10.5.48.0 255.255.248.0
BGP routing table entry for 10.5.48.0/21, version 1293
Paths: (3 available, best #3, table default)
Advertised to update-groups:
4 5 WAN Distribution
65401 65401, (aggregated by 65511 10.5.48.254) Layer eBGP route
192.168.3.2 from 192.168.3.2 (192.168.100.3) (no weight
Origin IGP, localpref 100, valid, external, atomic-aggregate defined)
Local 10.4.32.1
10.4.32.1 from 0.0.0.0 (10.4.32.1)
Origin incomplete, metric 3584, localpref 100, weight 32768, valid, sourced, best
DMVPN Hub
MPLS CE Router
Router

EIGRP EIGRP

 После восстановления WAN-канала, BGP EIGRP
distribution layer маршрут останется в
таблице из-за BGP weight 32768 > 0 BGP AS = 65511
eBGP

EIGRP
(200)

MPLS A
AS 65401 DMVPN 1

Remote Site

10.5.48.0/21


Варианты решения

 Проводить настройку атрибутов (weight)
Campus/
 neighbor 10.4.142.2 weight 35000
Data Center
 Использовать iBGP
 При редистр. BGPEIGRP маршруты содержат
Route tag самой последней AS
 Использовать route-map для блокировки WAN
маршрутов при редистрибьюции BGPEIGRP
(MPLS маршруты всегда известны через iBGP)

EIGRP routes
router eigrp 100
distribute-list route-map BLOCK-TAGGED-ROUTES in from
default-metric [BW] 100 255 1 1500 distribution
redistribute bgp 65511
layer
route-map BLOCK-TAGGED-ROUTES deny 10
iBGP
match tag 65401 65402

route-map BLOCK-TAGGED-ROUTES permit 20

MPLS A MPLS B
AS 65401 AS 65402


 Трафик данных + критические приложения
 Централизация ресурсов  Cloud-based IT services и cloud computing
 Безопасность  целостность, конфиденциальность, доступность
 Internet + crypto  MPLS + crypto
 Голос + видео: one-to-many (i.e., Internet broadcast) and many-to-many (i.e., conferencing)


Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco.

Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco.

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco.

Ähnlich wie Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco. (20)

Mehr von Cisco Russia

Mehr von Cisco Russia (20)

Лучшие практики и рекомендуемые дизайны по построению WAN-сетей на базе возможностей оборудования Сisco.