Учет и управление ip-ресурсами сети

Андрей Манаковсистемный инженер

Учет и управление IP-ресурсами сети

25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Управление IP-адресацией. Почему?

25.11.2014 2

Число устройств, подключаемых по IP, и использование IP-адресов неуклонно растет, а с ними – размеры и сложность сетей

Новые сервисы: голосовые (VoIP), видео, облачные вычисления, виртуализация и т.д.

Необходимость снижать операционные расходы (OpEx)

«Ручные» методы управления IP- адресацией не соответствуют требуемым масштабам

DNS и DHCP - критично важные сервисы для провайдеров и корпоративных сетей

Миграции с IPv4 на IPv6

DDI – основа контроля сети

25.11.2014 3

(DNS, DHCP, IP Address Management)Управление IP-адресацией

Планирование и отслеживание использования блоков, подсетей и отдельных IP по приложениям или локации

Конфигурация DHCP сервераСоответствие адресных пулов плану адресацииНачальная конфигурация устройств

Конфигурация DNS сервераСоответствие адреса–имена

IP/DHCP/DNS – критичный слой сетиПредупреждение дублирования IP адресовАккуратное конфигурирование сервисов DHCP/DNSЦентрализованный реестр IPv4/IPv6

нет IP-плана ⇒ дублирование IPнет DHCP ⇒ нет назначения адресовнет DNS ⇒ нет навигации по именам

25.11.2014 4

IPv6: ручной учет?

RFC 2373 “IP Version 6 Addressing Architecture”:Examples:

IPv472.163.4.161

FEDC:BA98:7654:3210:FEDC:BA98:7654:32101080:0:0:0:8:800:200C:417A

For example the following addresses:

may be represented as:1080::8:800:200C:417A a unicast addressFF01::101 a multicast address::1 the loopback address:: the unspecified addresses

1080:0:0:0:8:800:200C:417A a unicast addressFF01:0:0:0:0:0:0:101 a multicast address0:0:0:0:0:0:0:1 the loopback address0:0:0:0:0:0:0:0 the unspecified addresses

Требования к решениям DDI(DNS, DHCP, IP Address Management)

• сокращения операционных затрат

• оптимизации рабочих процессов

• автоматизации

• упрощения управления

• соответствия требованиям безопасности и другим политикам

Интегрированное решение для

Операционныезадачи DDI

Управление абонентами

Отчетность

Поддержка бизнес-

процессов

Управление конфигура-

циями

Выполнение требований регуляторов

Управление доступом

25.11.2014

Cisco Prime Network Registrar

25.11.2014 6

Cisco Prime Network Registrar

25.11.2014 7

Масштабируемость. Надежность. Функциональность. Расширяемость. Интегрированное управление.

• Единый DHCP сервер с поддержкой IPv4 и IPv6

• Поддержка внутренних и внешних клиентов

• Соответствие стандартам

• Единый DNS сервер с поддержкой IPv4 и IPv6

• Соответствие стандартам

• Полнофункциональная система управления (IPAM)

• Интеграция с DNS и DHCP для конфигурирования и для получения данных об использовании адресации

• Кеширующий сервис• Высокая скорость• Поддержка DNSSEC• Поддержка DNS64 (доступ

из IPv4 к серверам IPv6)

DHCP DNS IPAM DNS Caching

Cisco Prime Network Registrar

25.11.2014 8

Масштабируемость. Скорость.

Распределенная архитектура. Обслуживает миллионы пользователей в одном из крупнейших внедрений в мире

CPNR DHCP-сервер – лидер отрасли по производительности

Выделенный DNS-кэш сервер значительно увеличивает число обрабатываемых запросов

Наиболее масштабируемый в отрасли DHCP-сервер может обслуживать более 50 млн устройств в рамках одной системы

Cisco Prime Network Registrar

25.11.2014 9

Производительность, не имеющая аналогов на рынке

Cisco Network Registrar Jumpstart – виртуальное устройство на сервере Cisco UCS

05000

100001500020000250003000035000400004500050000

CUCS with 8 CPU,8 GB RAM

CUCS with 4 CPU,4 GB RAM

CNR Jumpstart HP DL360 with 4CPU, 4 GB RAM

Leas

es /

Sec

Hardware Platform

Returning ClientsNew Clients

Cisco Prime Network Registrar

25.11.2014 10

Наивысшая скорость обработки рекурсивных запросов

0

20000

40000

60000

80000

100000

120000

140000

160000

180000

CNR DNS Unbound DNS

Запросов в секунду

CPNR DNS CPNR DNS cache

DNS

КэшDNS

Надежность

Несколько уровней отказоустойчивости

RequestDHCP-Induced Avalanche

Discover

Request

Request

Request

RequestRequest

Request Request

Request

Discover

Discover

Discover Discover

Discover

Поддержка отказоустойчивого DHCP и высоко доступного DNS

Опциональный фильтр «болтливых» клиентов

Патентованный дискриминационный ограничитель обработки

Сокращенное время восстановления после массового отказа сети

Лавина DHCP

Массовый сбой

Многие CPE отключены

Другие CPE остаются

подключенными

Попытки подключения

Сохранение подключения

Discover

Discover

Discover

Request

Discover Discover

Discover

Discover

Request

Discover

Discover

Поток запросов превышает скорость обработки!

ЧастьDiscover

обслужены

ЧастьRequest

потеряны

Часть CPEподключены

Часть CPEтеряют

подключение

DiscoverDiscover

Request

Discover

Предупреждение DHCP-лавиныДискриминационный регулятор обработки запросов

Discriminating Rate-Limiter

50% ограничение: DISCOVER не занимает более ½ очереди

Статическое ограничение: прием DISCOVER с более низкой скоростью

Ограничение очередности: DISCOVER помещаются в отдельную, медленнее обслуживаемую очередь

Подтвержденное превосходство над неконтролируемым доступом без дискриминационного регулятора

Расширяемость

Платформа чрезвычайно гибкая и настраиваемая под уникальные требования

Поддержка расширений позволяет операторам значительно изменять и настраивать функционал DHCP и для IPv4 и для IPv6

С помощью расширений легко создаются новые решения, например, для задач биллинга, безопасности, перехвата трафика

Обширный API и интерфейсы командной строки (CLIs) дают точки интеграции с любыми внешними системами, например для автоматизациизадач управления адресацией (IPAM)

«Облачная» готовность

Поддержка многопользовательской средыDHCP и DNS

Изоляция и безопасность облачной инфраструктуры Окружение арендатора Б

Окружение арендатора А

Безопасностьи изоляция

Виртуальные серверы Виртуальные серверы

Многопользовательская виртуализированная инфраструктура, управляемая через портал

самообслуживания

Безопасностьи изоляция

DNS кэш-сервер и расширение DNSSEC

DNS кэш-сервер значительно повышает скорость и объемы обработки рекурсивных запросов

Поддержка DNSSEC помогает защитить от уязвимостей DNS, таких как подделка ответов DNS

DNSSEC помогает предоставлять аутентичные данные конечным пользователям, проверяя подписанные ответы DNS

Полнофункциональная система управления адресацией (IPAM)

• Простое, централизованное, интегрированное управление сервисами DNS и DHCP, поддерживающие IPv4 и IPv6

• Конфигурирование DNS и DHCP серверов в соответствии с IP-планом• Автоматическое отслеживание использования IP-адресации с

помощью обследования сети и согласование конфигурации• Интуитивный интерфейс с отображением реальной ситуации и

развитой системой отчетов• Ролевая модель разделения полномочий администраторов• Поддержка основных популярных продуктов DHCP и DNS (BIND,

Microsoft, Cisco Prime™ Network Registrar и т.д.)

IPAM - критичный компонент управления сетью

Предпосылки к системе IPAM

• Нет IP, Нет DNS = нет сети

• Сложность логически согласованного управления разрозненными северами DNS и DHCP

• Постоянные изменения в распределении IP

• «Ручные» таблицы не масштабируются, аудит практически невозможен

• Внедрение IPv6

Подход Cisco к управлению адресацией

Сервисы

Реальная сеть

• Блоки и подсети IPv4/IPv6• Конфигурации DNS/DHCP• Соответствие адресного

пространства бизнес-процессам

Распределение

Сравнение

• Согласование реальной и запланированной конфигураций

• Отчеты

• Применение настроек DNS/DHCP

• Динамический DNS

IPAM – продолжающийся циклический процесс с обратной связью об использовании адресации

• Simple Network Management Protocol (SNMP) v2 и v3

• Обнаружение IP-устройств• Проверка портов коммутаторов• Использование пулов DHCP

Планирование

Согласование

Обследование

Внедрение

ЦиклIPAM

Способы установки

Внедрение

Cisco Prime Network Registrar

?21

Сниженные риски и стоимость запускаВариант виртуального устройства

Разворачивание Cisco Prime™ Network Registrar в виде предконфигурированного виртуального устройства упрощает инсталляцию, снижает риски внедрения и стоимость

Идеально для организаций уже имеющих виртуализированную инфраструктуру

Дает все преимущества Cisco Prime Network Registrar без необходимости инвестиций в «железо»

Позволяет оперативно перемещать сервисы DNS, DHCP, IPAM (DDI)между серверами для быстрого восстановления или адаптации под изменяющуюся нагрузку

Cisco Prime Network Registrar JumpstartГотовое устройство DDI

Cisco® Network Registrar Jumpstart – готовое устройство с функциями DNS, DHCP и управления адресацией (IPAM) (DDI) для провайдеров и организаций требующих быстрого внедрения решения

Cisco Network Registrar

– Интегрированное, масштабируемое, надежное предустановленное решение DDI

Cisco UCS™ C200 M3

– Сервер высокой плотности, 2х CPU, 1RU

VMware ESXi v5

– Предустановленное окружение виртуализации VMware

Cisco Network Registrar

• Fast• Scalable• Reliable

• Extensible• IPV4 /IPv6• Cloud-

ready

DHCP DNS IPAM

Cisco Prime Network Registrar Решение готового устройства Jumpstart

24

Архитектура Prime Network RegistrarРегиональный сервер и Локальный кластер

Central Management

Central IP HistorySubnet

Utilization

Smart Allocation

RIC Server

License Management

DatabaseServer

Telnet/SSH

HTTP/SCP

Local Web UI

DHCP

DNS

TFTP

DatabaseServer

Local Web UI

DHCP

DNS

TFTP

DatabaseServer

Региональный сервер

Локальный кластер Локальный кластер

Архитектура Prime Network RegistrarSDK / API

Central Management

Central IP HistorySubnet

Utilization

Smart Allocation

RIC Server

License Management

DatabaseServer

Telnet/SSH

HTTP/SCP

Local Web UI

DHCP

DNS

TFTP

DatabaseServer

Local Web UI

DHCP

DNS

TFTP

DatabaseServer

Региональный сервер

Локальный кластер Локальный кластер

Ваше приложение

SDK

Архитектура IPAM

IPAM Executive

IPAM Agents

Администраторы

DNS-сервер

DHCP-сервер

Сетевое оборудование

База данных

Поддерживаемые ОС

Windows 2008 server (32-bit or 64-bit English versions)

Windows 2008 R2 server (64-bit)

RedHat Enterprise Linux v5 (32-bit)

Centos 6.4 (64-bit)

VMware: VM с установленной одной из перечисленных ОС

Solaris 10 (Sparc)

Требования к аппаратному обеспечению

Xeon – 1.2 GHz или более быстрый

2 GB RAM или более

2 GB дискового пространства для базовой инсталляции

Системные требования

Cisco Prime Network Registrar Вариант внедрения: DHCP

29

Cisco Prime Network Registrar Вариант внедрения: DNS

30

Cisco Prime Network Registrar Вариант внедрения: DNS-HA

31

Cisco Prime Network Registrar Вариант внедрения: DNS-кэш

32

Cisco Prime Network Registrar Вариант внедрения: DNS-кэш на отдельных серверах

33

Cisco Prime Network Registrar Вариант внедрения: IPAM

34

Cisco Prime Network Registrar Вариант внедрения: IPAM

35

Взаимодействие компонент

Cisco Prime Network Registrar

Взаимодействие компонент

DHCP Main

Regional

Клиент

Клиент

37

Взаимодействие компонент

DHCP Main

DNS PrimaryMain

Regional

Клиент

Клиент

38

Взаимодействие компонент

DHCP Main

DNS PrimaryBackup

DHCP Back-up

DNS PrimaryMain

Regional

Клиент

Клиент

DNS HAZone Transfer

DHCPFailover

39

IPAM

Клиент

Клиент

RA

RA

RA

RA

EA

Взаимодействие компонент

DHCP Main

DNS PrimaryBackup

DHCP Back-up

DNS PrimaryMain

40

IPAM

Клиент

Клиент

RA

RA

RA

RA

EA

Взаимодействие компонент

DHCP Main

DNS PrimaryBackup

DHCP Back-up

DNS PrimaryMain

• Порт коммутатора (IP and MAC)• Подсети на маршрутизаторах• ARP-таблицы

41

Отказоустойчивость DHCP

DHCP Failover (RFC 2131)

Сервис DHCP предоставляется несколькими серверами

DHCP серверы строят отношения отказоустойчивости

Существующие клиенты DHCP могут продлять аренду адресов без привязки к конкретному серверу

Резервный DHCP сервер может выполнять функционал основного сервера в случае его недоступности по какой-либо причине

42

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

Основной сервер передает резервному все данные о выданных адресах

43

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент 172.16.1.5

172.16.3.5

Клиент широковещательно передает запросМаршрутизатор одноадресно передает DiscoverDHCP серверам

IP Helpers172.16.1.5172.16.3.5

44

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент 172.16.1.5

172.16.3.5

Основной DHCP сервер предлагает доступный адрес

IP Helpers172.16.1.5172.16.3.5

45

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент 172.16.1.5

172.16.3.5

Клиент широковещательно запрашивает предложенный адрес

IP Helpers172.16.1.5172.16.3.5

46

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент 172.16.1.5

172.16.3.5

Основной DHCP сервер подтверждает выделение адреса

IP Helpers172.16.1.5172.16.3.5

47

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

Основной сервер сообщает резервному о изменениях

48

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

Основной сервер вышел из строя

49

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

Резервный сервер обнаруживает аварию

50

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

Клиент запрашивает адресМаршрутизатор передает запрос на оба сервера

51

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

Резервный сервер предлагает адрес из собственного пула

52

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

Клиент широковещательно запрашивает предложенный адрес

53

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

Резервный сервер подтверждает выделение адреса

54

DHCP FailoverОтказоустойчивая пара

DHCP Main

DHCP Back-up

Региональный сервер

Клиент

Клиент

IP Helpers172.16.1.5172.16.3.5

172.16.1.5

172.16.3.5

После восстановления основного сервера, резервный передает данные обо всех выданных адресах, и основной сервер возвращается в работу

55

Высокодоступный DNS

В каждой зоне должен быть только один первичный (primary) DNS сервер

Динамический ДНС обновляет данные только на первичном сервере

В случае выхода из строя первичного серверастатические записи доступны через вторичные (secondary) DNS серверыдинамические записи - теряются

Для решения проблемы нужен второй первичный сервер, дублирующий функционал основного первичного сервера

56

Взаимодействие компонент

Основной и резервный первичные серверы обмениваются информацией

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client

HeartbeatAnd

RR Updates

57

Взаимодействие компонент

Оба сервера отвечают на запросы

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client

58

Взаимодействие компонент

DHCP-сервер может быть сконфигурирован динамически обновлять DNS после выделения адреса

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

ClientDDNS update

59

Взаимодействие компонент

Основной первичный сервер обновляет данные на резервном первичном сервере

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

ClientRR Update

60

Взаимодействие компонент

В случае выхода из строя основного первичного сервера, его функции выполняет резервный первичный сервер.

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client

DDNS update

61

Взаимодействие компонент

После восстановления основного первичного сервера, происходит синхронизация данных с резервным сервером

DNS Main

DHCP Server

DNS Backup

DNS Secondary

Regional

Client

Client

Synchronization

62

Cisco Prime Network RegistrarРезюме

Превосходная управляемостьОтражение текущей (real-time) ситуации в IPv4 и IPv6

адресациях Лучшая прозрачность за счет детализированных отчетов и

тонкого регулирования доступаОблегчает переход от IPv4 на IPv6

– Обследование и инвентаризация ресурсов IPv4 и IPv6

– Планирование и моделирование способов перехода на IPv6

– Построение соответствия адресации IPv4 в пространстве IPv6

МасштабируемостьПоддержка достоверного DNSSECПростое внедрение

Дополнительная информация

Cisco Prime™ Network Registrar on Cisco.com:www.cisco.com/go/networkregistrar

64

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом#CiscoConnectRu

Пожалуйста, используйте код для оценки доклада

2732

Ваше мнение очень важно для нас

Спасибо за внимание!

25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.