Построение автономных и управляемых сетей

Построение автономных и управляемых сетей.

Сергей Великанов

01.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.

О чем пойдет речь

•  Segment Routing •  Автономные сети

MPLS – простой или сложный?

Простой Data plane Label/Label stack + 3 операции (push/pop/swap)

Сложный Control Plane

•  IGP + LDP + RSVP + Service Plane (LDP/BGP) •  Требуется синхронизация протоколов •  Легко сделать ошибку •  Сложно отлаживать •  Большая нагрузка на Control Plane

Что хочется сделать?

Сохранить и использовать MPLS Data Plane Сохранить и использовать все MPLS-сервисы

  VPLS, VPNv4/v6, VPLS, FRR, L2VPN и другие Создать более удобный Control Plane для forwarding

  Меньше протоколов   Меньше настроек   Меньше нагрузки на CPU

Сохранить возможность совместной работы с LDP и RSVP

Что изменяется?

IPv4 IPv6 IPv4 VPN

IPv6 VPN VPWS VPLS Ничего не меняем

MPLS-сервисы (Control Plane и Forwarding)

MPLS – forwarding plane

LDP

MPLS Forwarding Label / Label Stack + Push/Pop/Swap

RSVP BGP Static IS-IS OSPF

Ничего не меняем

Все изменения здесь

MPLS – control plane

Что такое Segment routing?

Source Routing – источник описывает передачу трафика по сети, с помощью последовательности сегментов в заголовке пакета

Сегмент = Инструкция (например, «доставить трафик до узла N кратчайшим путем«)

MPLS forwarding plane Сегмент = label IPv6 forwarding plane Сегмент = extension header

Тема нашего разговора

Segment routing и IGP

Node A lo0: 172.16.12.1/32

Node-SID: 64

Node-SID (глобальный) Доставить пакет до узла по SPT

Adj-SID (локальный) Передать пакет через интерфейс

Prefix-SID (глобальный) Доставить пакет до префикса по SPT

Anycast-SID (глобальный) Передать пакет по подмножеству узлов

Adj-SID: 1100

Node A lo0: 172.16.12.1/32

1.1.1.1/32

Prefix-SID: 1111

Segment routing и IGP стандартизация

Простое расширение ISIS/OSPF Cisco/Juniper/ALU/Ericson

Node segment (пример)

Узел Z анонсирует node-SID 65   IGP sub-TLV extension

Все узлы инсталлируют node-SID в MPLS Data plane

A B C

Z

D

65

FEC Z push 65

swap 65 to 65

swap 65 to 65

pop 65 Пакет с label 65 передается к узлу “Z” по кратчайшему пути

Packet to Z

Packet to Z

65 Packet

to Z

65 Packet

to Z

65 Packet

to Z

Adjacency segment

B

C

Pop 9003 9001 передать через 1ый интерфейс

9002 передать через 2ой интерфейс

9003 балансировать по группе

интерфейсов

Pop 9001

Pop 9002

Pop 9003

Adjacency Segment (пример)

Узел “C” анонсирует adj-SID по IGP Только узел “C” инсталлирует adj-SID в MPLS Data plane

A B C

M N O

Z

D

P

Pop 9003

На узле “C” пакет с лейблом 9003 должен быть

передан по каналу “C-O”

65

Описываем путь с помощью ADJ-SID

Каждый ADJ-SID запрограммирован только на одном узле Возможность описать любой путь по сети

B C

N O

Z

D

P

A

9101

9105 9107

9103 9105

9101

9105

9107

9103

9105

9105

9107

9103

9105

9107

9103

9105

9103

9105

9105

Комбинируем сегменты

Возможность совмещать TE и ECMP Всего один протокол (IGP + extension)

A B C

M N O

Z

D

P

Pop 9003

Packet to Z

65

9003

Packet to Z

65

Packet to Z

Packet to Z

65

Packet to Z

65

9003

72

Packet to Z

65

9003

72

72 72

65

65

Anycast segment для Dual Core

Используем Node-SID [65] Передаем трафик до узла “Z” используя ECMP в обеих плоскостях

Используем Anycast-SID + Node-SID [111, 65] Передаем трафик до узла “Z” используя ECMP только в одной плоскости

IGP automatically installs segments

Simple extension Excellent Scale: a node installs N+A FIB entries

  N node segments and A adjacency segments

A B C

M N O

Z

D

P

Nodal segment to C

Nodal segment to Z

Adj Segment

Nodal segment to C

SR и управление внешней связностью

Определяем точку выхода из AS на ingress router

A

B

D

ZAS1

AS2

AS3

AS4 E

C

http://tools.ietf.org/html/draft-filsfils-spring-segment-routing-central-epe-01 Cisco, Facebook, Yandex

PeerNode SID - Передать пакет через заданный пирам

PeerAdj SID - Передать пакет через заданный интерфейс

PeerSet SID - Балансировать трафик по группе пиров

Application controls – network delivers

Нужно 2G от A до Z

Канал между C и D загружен Я не могу использовать короткий

путь

65 98%

65

Путь ABCOPZ вполне подходит.

98% 66

65 68

Используй путь {66, 68, 65}

Туннели на базе CoS

Нужно передать данные из Токио в Брюссель   данные : через США: дешевый канал   голос: через Россию: низкие задержки

CoS-based TE with SR   IGP метрики настроены след. образом

—  Из Токио в Россию: Через Россию —  Из Токио в Брюссель: Через США —  Россия в Брюссель: Через Европу

В Токио настраивается следующая политика   Data and Brussels: push the node segment to Brussels

  VoIP and Brussels: push the anycast node to Russia, push Brussels

Node segment to Brussels Node segment to Russia

Пример проверки работы сети

B C

N O

A

9101 9105

9107

9104

9101 9105 9107 9108 9104 9105

Nanog57, Feb 2013

9108 9105 9108

9102

9108 9102

Основные отличия SR от существующей модели MPLS

Простой Control Plane (не требуется LDP и RSVP)   Если требуется Segment routing может работать параллельно с LDP/

RSVP —  draft-filsfils-spring-segment-routing-ldp-interop-00

Per-tunnel forwarding state только на ingress узле.   Нет per-tunnel states на mid-point (как в RSVP MPLS TE)

Возможность сочетать ECMP и explicit-routing

Простой Control Plane (только IGP + extension)

Поддержка ECMP Помогает масштабироваться

Масштабируемость SR-TE

Размер forwarding-таблиц зависит только от Nodes + Adj и не зависит от количества TE-тоннелей

  N+A vs N^2 N: # количество узлов A: # количество интерфейсов

Centralized Traffic Engineering

FULL 66

65 68

Нет per-tunnel state на mid-point можно перейти к tunnel per-application ECMP + Explicit routing позволяет уменьшить количество TE tunnels

Не нужно программировать mid-point проще контролировать сеть

Tunnel AZ onto {66, 68, 65}

Cisco WAVE

App App App

API

BGP-LS, Netconf, SNMP

Критика Segment Routing

Проблема: HW ограничения глубины стека В большинстве случаев для TE достаточно 2-3 сегмента Для NG NPU глубина стека >10 лейблов

Проблема: Segment routing TE не учитывает ресурсы Это так, но для этого есть контроллер

Активная работа в IETF –  Работа в рамках SPRING WG –  15 IETF drafts released

Развитие технологии

www.segment-routing.net Полный перечень материалов

Orange, Deutche Telecom, British Telecom, Comcast,

Google, Facebook, Yandex, Alcatel-Lucent, Ericson,

Juniper, Huawei

Edge Configuration (Node Segment Id)

Core Configuration (Node Segment Id)

IS-IS Database Verification for Edge Node (Node Segment Id)

IS-IS Database Verification for Core Node (Node Segment Id)

Edge Forwarding Plane Verification (Node Segment Id)

Core Forwarding Plane Verification (Node Segment Id)

L3VPN Configuration (Node Segment Id)

L3VPN Control and Forwarding Plane Verification (Node Segment Id)

Cisco Autonomic Network

0

500

1000

1500

2000

2500

2003 2004 2005 2006 2007 2008 2009 2010

routers

lines/router

Проблемы современных сетей

Функционал Auto-IP

•  Plug-n-Play режим для добавления/удаления маршрутизаторов в кольце

•  Простой механизм взаимодействия маршрутизаторов в колце на основе расширения LLDP

•  Маршрутизаторы в кольце автоматически согласовывают IP-адреса /31 на линках связи друг с другом

R1

R3

R2

PE2

PE1

LLDP Auto-IP negotiation

R1

R2

R3

Non-owner, P=0

1.1.1.2/31 Non-owner, P=0 Owner, P=2

Owner, P=2

1.1.1.3/31 1.1.1.0/31

1.1.1.1/31

Процесс развертывания сети

Заказ  оборудования  

Предконфигурация  

Доставка  и  установка  

Исправление  ошибок  

Активация  сервисов  

Управление/мониторинг  

Оптимизация процесса

Заказ  оборудования  

Доставка  и  установка   Активация  

сервисов  

Управление/мониторинг  

Исправление  ошибок  и  предконфигурация  

Security Discovery

*without* servers or configuration

Экономия ресурсов

Zero-Touch Deployment Solutions

Идеальная модель Zero Touch

Registrar Dark Layer 2 Cloud

Ну вот, я подключился!!! Эмм, наверное мне нужен первоначальный конфиг ?

Необязательно! Я помогу тебе, у тебя есть твой идентификатор?

Все что у меня есть это SUDI! Отлично,

Этого достаточно!

Петя

Обнаружение линка связи

Registrar Dark Layer 2 Cloud

Incremental VLAN probes

Acceptable VLAN ACK

AN Hello

AN Hello

Ух ты! Я знаю свой

VLAN

Теперь я знаю твой VLAN, а заодно и

Link Local IPv6 address

Петя

Установка сертификата домена

Registrar Dark Layer 2 Cloud

Domain Certificate

SUDI / UDI

Проверка по локальному списку UDI

Петя

Мне нужно тебя идентифицировать

Доступ разрешен! Вот твой сертификат

Здорово! Теперь я в комманде!!!

Autonomic Control Plane (ACP)

Registrar Dark Layer 2 Cloud

Router # show autonomic device UDI <UDI> Device ID Router-1 Domain ID cisco.com Domain Certificate (sub:) cn=Router-1:cisco.com Device Address FD08:2EEF:C2EE::D253:5185:5472

Routing Protocol

IPSEC

Tunnel

Петя

Что делаем дальше, Шеф? Жду указаний!

Поднимай тунель и запускаем

маршрутизацию

Функционал Proxy Bootstrap

Registrar Dark Layer 2 Cloud

Channel Discovery

SUDI / UDI

У нас новенький! SUDI / UDI

А вот и я! Как мне подключиться к

вам???

Не волнуйся! Я буду твоим помошником и подскажу что делать!

Петя Вася

Автономные сети в действии

Registrar Dark Layer 2 Cloud

Петя

Вася

Обнаружение и распространение сервисов

Registrar Dark Layer 2 Cloud

AAA Server

Петя

Вася

Автоматическое обнаружение и распространение базовых сервисов –

AAA, DNS, TFTP etc. over the ACP

Ко мне подключен AAA server. Используйте его в

нашем домене

Экосистема Autonomic Network Какае сервера и приложения необходимы для работы? (Каждое приложение, кроме СА-сервера должно быть IPv6 capable)

Обязательно Централизация сервисов

Развитиe в будущем

Zero Touch Deployment Server

SDN Controller / NMS Applications

•  Topology app* •  Intent interpreter* •  Autonomic Domain Manager* •  Registrar functionality*

Certificate Authority (CA)

AAA Server

* Future Releases

Создания списка разрешенных устройств

  Устройства подключаемые к домены должны быть идентифицированы   Создание списка разрешенных устройств возможно несколькими способама

  Автоматически получено от Cisco при заказе нового оборудования   Загружено пользователем при наличии работающего оборудования

  Список загружается вручную

Закупка Спецификация Пользовательские обновления

существующего списка

Registrar

Cisco создает список для новых

устройств

Конфигурация Registrar-маршрутизатора

Router#configure terminal Router(config)#autonomic registrar Router(config-registrar)#domain-id cisco.com Router(config-registrar)#whitelist disk:whitelist.txt Router(config-registrar)#external-CA url <> Router(config-registrar)#no shut

Registrar

CA

Enter Autonomic Registrar Config mode

Configure domain-id – any name will do

Specify a local whitelist (Optional)

Specify an external CA’s url (Optional)

Unshut the Registrar – You’re done!

•  If external-CA url is not specified, Registrar runs an IOS CA locally

Автоматическая конфигурация устройств

Third–Party Metro Ethernet

Cloud

Registrar Registrar

  Конфиг устанавливается при помощи PnP server* или же TFTP серверов

  Активация сервисов!

TFTP

Virtualizing the Registrar: CSR1000v integration

49

CSR1000v

AAA Server

PnP

CA

Network Operations Center (NOC) with CSR1000v VM

acting as the Registrar

IOIOS XE-3.15

Поддержка на устройствах

Поддерживается сегодня: ASR 901, ASR 901s, ASR 903, ASR 920, ME 3600, ME 3800 Catalyst 2000, 3000, 4000, NG3k, IE 2000 Open Source: Secure Network Bootstrap Infrastructure (SNBI; part of OpenDayLight) Планируется поддержка* ASR 9000 ASR 1000, CSR 1000, ISR-G2, ISR-4000

Что дальше

Registrar Michael

Steve

SDN Controllers

NMS Systems •  Intent = Business policy for the

entire network or subset of the network

•  Automatic distribution of intent using the intent distribution protocol (IDP)

•  Loads of plausible use cases : Auto-IP, Routing-protocol Authentication, ACM etc.

•  Future releases

AUTONOMIC NETWORK

Авто-конфигурация

Безопасность

Самоорганизация

Самовосстановление

Что такое автономные сети?

Самоуправление

Ждем ваших сообщений с хештегом #CiscoConnectKZ

© 2015 Cisco and/or its affiliates. All rights reserved.

Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.