Использование технологии виртуализации в локальных...

Использование  технологии  виртуализации  в  локальных  вычислительных  сетях    

Денисов  Павел,  Системный  инженер  

Использование  технологии  виртуализации  ЛВС  

Использование технологии виртуализации в ЛВС 2

Подсистема видеонаблюдения

Подсистема контроля доступа

Подсистема электронного документооборота

Современная  сетевая  инфраструктура  Типовой  пример  

Подсистема управления технологическим процессом

Подсистема сторонних организаций

Возможные  пути  развития  Выделенная  сетевая  инфраструктура  Достоинства  решения  

Для  каждой  подсистемы  строится  выделенная  сеть  Абсолютное  разделение  подсистем  различного  назначения  

Недостатки  решения  Увеличение  расходов  за  счет  необходимости  создания  нескольких  подсистем  

Трудности  с  масштабированием  и  управлением  подсистемами  

Возможные  пути  развития  Разделяемая  сетевая  инфраструктура  Достоинства  решения  

Единая  физическая  инфраструктура  для  всех  подсистем  Эффективное  разделение  разнородных  сервисов  Готовность  к  внедрению  новых  сервисов  Снижение  затрат  на  администрирование    

Недостатки  решения  Требуются  аккуратные  настройки  политик  ИБ  

Постановка  задачи    

Что  такое  виртуализация?  Логическое  разделение  сетевой  инфраструктуры  между  несколькими  подсистемами  Одна  физическая  инфраструктура  обеспечивает  работу  нескольких  логических  подсистем  Консолидация  всех  типов  данных  (голос,  данные,  видео)  внутри  одной  сетевой  инфраструктуры    

Основные  преимущества  виртуализации:  Гибкость  управления  Сокращение  затрат  на  создание  и  сопровождение    

Основные  компоненты  решения  

Использование технологии виртуализации в ЛВС 7

Компоненты решения

Использование технологии виртуализации в ЛВС 8

Контроль доступа Виртуализация каналов Сервисная граница

Назначение

VRFs

GRE MPLS

Сервис

GRE MPLS

802.1q

Internet

Data Center

•  Разделение потоков данных на сетевом уровне

•  Доставка потоков данных внутри виртуальных контекстов

•  Организация связи между контекстами на уровне доступа и контекстами на сервисной границе

•  Авторизация устройств при подключении

•  Назначение виртуального контекста

•  Блокирование неавторизованного подключения

•  Изолированные и разделяемые сервисы

•  Обмен данными между виртуальными контекстами

•  Уникальный набор правил для каждого контекста

Определение прав доступа

Аутентификация  пользователя  При  помощи  встроенного  клиента  

Использование  802.1X  клиента  Cisco  NAC  

Без  использования  клиента  Web  аутентификация  Аутентификация  на  основе  MAC  адреса  

Статический  контроль  Статические  настройки  порта  (VLAN,  ACL,  MAC)  

Авторизация  пользователя  

Назначен  номер  VLAN  

Применена  политика  (ACLs,  QoS,  и  др.)    

Виртуализация устройств

Одно  физическое  устройство  Коммутатор  Маршрутизатор  Межсетевой  экран  

Несколько  виртуальных  устройств  Создание  нескольких  виртуальных  устройств  Распределение  интерфейсов  между    виртуальными  устройствами      

VRF

VRF

VRF

Виртуализация каналов

Виртуализация  каналов  между  смежными  устройствами  VRF-Lite на каждом устройстве

Для виртуализации используются 802.1q тэги Использование технологии EVN

Для виртуализации используются 802.1q тэги

802.1q

Использование  технологии  MPLS  L3VPN  Для  виртуализации  используются  MPLS  метки  

Виртуализация каналов

Виртуализация  каналов  между  удаленными  устройствами    Использование  VRF-­‐Lite  и  GRE  туннелей  

Для  виртуализации  используются  GRE  туннели    

Сервисная граница

ЛВС

Интернет

ЦОД

Разделяемый ресурс

Выделенный ресурс

Выделенный ресурс

Выделенный ресурс

Виртуальный контекст

Виртуальный контекст

Виртуальный контекст

Выделенный  ресурс  Только  один  контекст  имеет  доступ  к  ресурсу  

Разделяемый  ресурс  Несколько  контекстов  имеют  доступ  к  ресурсу  

Повышение  экономической  эффективности  Централизованная  политика  информационной  безопасности  

Сравнение  различных  технологий  виртуализации  

Использование технологии виртуализации в ЛВС 14

Использование  VRF-­‐Lite  и    GRE-­‐туннелей  

Использование технологии виртуализации в ЛВС 15

Технология VRF-lite и GRE-туннели На  коммутаторах  распределения  создаются  VRF  Для  виртуализации  каналов  используются  GRE  туннели  Ядро  сети  не  участвует  в  виртуализации      

IP заголовок 20 байт

GRE заголовок Исходный пакет

DATA

GRE

Технология VRF-lite и GRE-туннели

IP заголовок 20 байт

GRE заголовок Исходный пакет

На  коммутаторах  распределения  создаются  VRF  Для  виртуализации  каналов  используются  GRE  туннели  Ядро  сети  не  участвует  в  виртуализации      

Технология VRF-lite и GRE-туннели

Пример  настройки  

!!!ip vrf RED! rd 1:1!! !interface Loopback101! ip address 192.168.101.8 255.255.255.255!!!interface Tunnel1! vrf forwarding RED! ip address 172.16.87.8 255.255.255.0!tunnel source Loopback101! tunnel destination 192.168.101.7!!!interface Ethernet0/3! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!router eigrp LAB!!! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0!!! !

Создание виртуальных контекстов VRF

Создание Loopback интерфейсов

Создание туннельных интерфейсов

Настройка пользовательских интерфейсов

Настройка протоколов маршрутизации

Технология VRF-lite и GRE-туннели

Особенности  использования:  Идеален  для  использования  в  топологиях  типа  «звезда»  Ограниченные  возможности  по  масштабированию  Аппаратная  поддержка  GRE  только  на  Catalyst6500  и  N7K  Все  компоненты  хорошо  знакомы  и  давно  используются  

 Основные  компоненты  решения:  

Протоколы  маршрутизации  -­‐  OSPF/EIGRP  Виртуализация  каналов  –  GRE  

Data Center

Internet

Internet WAN

Использование  VRF-­‐lite  на  всех  устройствах  

Использование технологии виртуализации в ЛВС 20

VRF-Lite на всех устройствах VRF  контексты  создаются  на  всех  устройствах  в  сети  Для  виртуализации  каналов  используется  dot1Q  Используется  уникальная  нумерация  VLAN  в  магистрали  Все  настройки  производятся  в  ручную      

802.1q

!!ip vrf RED! rd 1:1!!!interface Vlan16! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!interface Ethernet0/0.16! vrf forwarding RED! encapsulation dot1Q 16! ip address 172.16.85.8 255.255.255.0!!!interface Ethernet0/1.116! vrf forwarding RED! encapsulation dot1Q 116! ip address 172.16.86.8 255.255.255.0!!!router eigrp LAB! !! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0!!

VRF-Lite на всех устройствах Пример  настройки  

Создание виртуальных контекстов VRF Настройка пользовательских интерфейсов

Настройка протоколов маршрутизации

Настройка магистральных интерфейсов

VRF-Lite на всех устройствах

Особенности  использования:  Идеален  для  небольшого  количества  VRF  (менее  8)  Ограниченные  возможности  по  масштабированию  Поддерживается  на  всех  моделях  коммутаторах  Все  технологии  хорошо  знакомы  и  давно  используются  Возможна  легкая  миграция    

 Основные  компоненты  решения:  

Протоколы  маршрутизации  -­‐  OSPF/EIGRP  Виртуализация  каналов  –  dot1Q        

WAN Data

Center

Internet

Internet

Технология  EVN  Easy  Virtual  Network  

Использование технологии виртуализации в ЛВС 24

Технология EVN

802.1q

VRF  контексты  создаются  на  всех  устройствах  в  сети  Для  виртуализации  каналов  используется  dot1Q  За  каждым  VRF  закреплен  уникальный  номер  VLAN  Автоматическая  нумерация  VLAN  в  магистрали      

Использование технологии EVN

!!vrf definition RED! vnet tag 101! !! address-family ipv4!!!interface Ethernet0/0! vnet trunk! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/1! vnet trunk! ip address 192.168.73.7 255.255.255.0!!!interface Vlan16! vrf forwarding RED! ip address 172.16.7.7 255.255.255.0!! !router eigrp LAB!!! address-family ipv4 unicast vrf RED autonomous-system 16! network 172.16.0.0! network 192.168.0.0 0.0.255.255!!!!!

Пример  настройки  

Создание виртуальных контекстов VRF

Настройка пользовательских интерфейсов

Настройка протоколов маршрутизации

Настройка магистральных интерфейсов

Использование технологии EVN

#show derived-config !!interface Ethernet0/0! vnet trunk! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/0.101! description Subinterface for VNET RED! vrf forwarding RED! encapsulation dot1Q 101! ip address 192.168.74.7 255.255.255.0!!!interface Ethernet0/0.102! description Subinterface for VNET GRN! vrf forwarding GRN! encapsulation dot1Q 102! ip address 192.168.74.7 255.255.255.0!!!

Результат  работы  макроса  

Автоматически созданные логические интерфейсы Все логические интерфейсы используют одинаковый IP адрес

Магистральный интерфейс

Технология EVN

Особенности  использования:  Полностью  совместима  с  технологией  VRF-­‐lite  Ограниченная  поддержка  на  существующих  коммутаторах  Встроенные  средства  по  обмену  маршрутами  между  контекстами  Возможна  легкая  миграция    

Основные  компоненты  решения:  Протоколы  маршрутизации  -­‐  OSPF/EIGRP  Виртуализация  каналов  –  dot1Q      

WAN Data

Center

Internet

Internet

Технология  MPLS  L3VPN  

Использование технологии виртуализации в ЛВС 29

4 байта IGP метка Исходный пакет 4 байта

VPN метка

Технология  MPLS  L3VPN  

На  коммутаторах  распределения  создаются  VRF  Для  виртуализации  каналов  используются  MPLS  метки  Требуется  поддержка  технологии  MPLS  в  ядре  сети  и  на  коммутаторах  уровня  распределения  

Технология  MPLS  L3VPN  

На  коммутаторах  распределения  создаются  VRF  Для  виртуализации  каналов  используются  MPLS  метки  Требуется  поддержка  технологии  MPLS  в  ядре  сети  и  на  коммутаторах  уровня  распределения  

4 байта IGP метка Исходный пакет 4 байта

VPN метка

Пример  настройки  

Технология MPLS L3VPN

!!vrf definition RED! rd 1:1! route-target export 1:1! route-target import 1:1!!!vrf definition GRN! rd 1:2! route-target export 1:2! route-target import 1:2!!!interface Ethernet0/1! vrf forwarding RED! ip address 172.16.8.8 255.255.255.0!!!interface Ethernet0/2! vrf forwarding GRN! ip address 172.17.8.8 255.255.255.0!!!router bgp 65000!!! address-family ipv4 vrf GRN! redistribute connected!! ! address-family ipv4 vrf RED! redistribute connected!!

Создание виртуальных контекстов VRF

Настройка пользовательских интерфейсов

Настройка протоколов маршрутизации

Технология MPLS L3VPN Пример  настройки  

!!interface Loopback0! ip address 192.168.0.8 255.255.255.255!!!interface Ethernet0/0! ip address 192.168.85.8 255.255.255.0! mpls ip!!!interface Ethernet0/1! ip address 192.168.86.8 255.255.255.0! mpls ip!!!router eigrp 1! network 192.168.0.0 0.0.255.255!!!router bgp 65000!neighbor 192.168.0.13 remote-as 65000! neighbor 192.168.0.13 update-source Loopback0!!! address-family vpnv4! neighbor 192.168.0.13 activate! neighbor 192.168.0.13 send-community extended! !

Настройка магистральных интерфейсов

Настройка MPBGP

Настройка протокола маршрутизации в ядре

MPLS-VPN

Route-Reflector Route-Reflector

Data Center

Internet Internet WAN

Особенности  использования:  Хороший  запас  по  масштабированию  Рекомендуется  использовать  BGP  Route-­‐Reflector  Требуется  использование  дополнительных  протоколов  Поддерживается  только    на  коммутаторах  Catalyst6500  и  N7K  

 Основные  компоненты  решения:  

Протоколы  маршрутизации  -­‐  MPBGP  Виртуализация  каналов  –  MPLS        

Построение  сервисной  границы  

Использование технологии виртуализации в ЛВС 35

Доступ к разделяемому ресурсу Основные  характеристики  решения:  

Свободный  доступ  к  ресурсам  Нет  межсетевого  экранирования  Используется  для  общих  сервисов  (DNS,  DHCP)  Используется  BGP  route-­‐target  Требуется  уникальный  план  IP-­‐адресации  

Обмен маршрутами  

Доступ к разделяемому ресурсу

Пример  настройки  

SVCS VRF

10.0.0.0/24

172.17.8.0/24 172.16.8.0/24

!vrf definition SVCS! rd 1:100! !! address-family ipv4! route-target export 1:100! route-target export 1:1! route-target export 1:2! route-target import 1:100! route-target import 1:1! route-target import 1:2!!!router bgp 65000! bgp log-neighbor-changes! neighbor 192.168.0.13 remote-as 65000! neighbor 192.168.0.13 update-source Loopback0! neighbor 192.168.0.14 remote-as 65000! neighbor 192.168.0.14 update-source Loopback0! !! address-family vpnv4! neighbor 192.168.0.13 activate! neighbor 192.168.0.13 send-community extended! neighbor 192.168.0.14 activate! neighbor 192.168.0.14 send-community extended!!!address-family ipv4 vrf SVCS! redistribute connected!!

Доступ к разделяемому ресурсу Пример  настройки  

Создание виртуальных контекстов VRF

Настройка политики по импорту и экспорту маршрутов

Настройка протокола MPBGP

vrf definition GRN! vnet tag 102! !! address-family ipv4! route-replicate from vrf SVCS unicast all!!!vrf definition SVCS! vnet tag 100! !! address-family ipv4! route-replicate from vrf RED unicast all route-map RED-IMPORT! route-replicate from vrf GRN unicast all route-map GRN-IMPORT!!!route-map GRN-IMPORT permit 10! match ip address GRN-ACL!!ip access-list standard GRN-ACL! permit 172.17.0.0 0.0.255.255!

Доступ к разделяемому ресурсу

Пример  настройки  Использование  технологии  EVN  

Настройка правил фильтрации маршрутов

Создание виртуальных контекстов VRF и настройка репликации маршрутов

router eigrp LAB!!! address-family ipv4 unicast vrf GRN autonomous-system 17! !! topology base! redistribute vrf SVCS eigrp 100! exit-af-topology! network 172.17.0.0! network 192.168.0.0 0.0.255.255!!!address-family ipv4 unicast vrf SVCS autonomous-system 100! !! topology base! redistribute vrf GRN eigrp 16! exit-af-topology! network 10.0.0.0!

Редистрибуция маршрутной информации

Доступ к разделяемому ресурсу

Пример  настройки  Использование  технологии  EVN  

S7#routing-context vrf SVCS!S7%SVCS#sh ip route!!Routing Table: SVCS!Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP! D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ! N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2! E1 - OSPF external type 1, E2 - OSPF external type 2! i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2! ia - IS-IS inter area, * - candidate default, U - per-user static route! o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP! + - replicated route, % - next hop override!!Gateway of last resort is not set!! 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks!C 10.0.0.0/24 is directly connected, Ethernet1/0!L 10.0.0.7/32 is directly connected, Ethernet1/0!D 10.15.15.0/24 [90/409600] via 10.0.0.15, 01:19:53, Ethernet1/0! 172.17.0.0/16 is variably subnetted, 3 subnets, 2 masks!C + 172.17.7.0/24 is directly connected (GRN), Ethernet0/2!L + 172.17.7.7/32 is directly connected (GRN), Ethernet0/2!D + 172.17.8.0/24 ! [90/384000] via 192.168.74.4 (GRN), 02:00:55, Ethernet0/0.102! [90/384000] via 192.168.73.3 (GRN), 02:00:55, Ethernet0/1.102!

Доступ к разделяемому ресурсу

Пример  настройки  

Fusion-­‐router  используется  для:  Обмена  данными  между  VRF  Защищенного  доступа  к  разделяемому  ресурсу  

 Межсетевой  экран  используется  для:  

Изоляции  виртуальных  контекстов  Контроля  над  потоками  данных  

 Режим  работы  МЭ  определяет  схему  маршрутизации  :  

Transparent  -­‐>  EIGRP/OSPF/eBGP  Routed  -­‐>  Stazc/eBGP  

 Все  компоненты  на  схеме  могут  быть  построены  на  основе:  

Отдельного  физического  устройства  Выделенного  виртуального  контекста      

Контролируемый доступ к ресурсу

Разделяемый ресурс

Контролируемый доступ к ресурсу  Использование  межсетевого  экрана  в  L3  режиме  

Разделяемый сервис

L3 L3

Межсетевой  экран  работает  в  мультиконтекстном  режиме  Динамическая  маршрутизация  не  поддерживаются  на  МЭ  На  МЭ  используются  статические  маршруты  Рекомендованное  решение  –  eBGP  между  контекстами  маршрутизаторов  FR  может  анонсировать  маршрут  по  умолчанию  

Разделяемый  сервис  

L2 L2

Контролируемый доступ к ресурсу  Использование  межсетевого  экрана  в  L2  режиме  

FR  имеет  информацию  о  префиксах  во  всех  виртуальных  контекстах    Возможно  использование  различных  протоколов  маршрутизации:  Для  VRF-­‐lite  решений  рекомендуется  использование  EIGRP  или  OSPF  Для  решений  на  основе  MPLS  L3VPN  рекомендуется  eBGP  FR  может  анонсировать  только  маршрут  по  умолчанию  

Fusion  Router  может  быть  построен  на  основе  виртуального  контекста  или  физического  устройства  

Контролируемый доступ к ресурсу

vrf definition GRN! rd 1:2!!!vrf definition RED! rd 1:1!!!vrf definition SVCS! rd 1:100!!!interface Ethernet1/0! vrf forwarding SVCS! ip address 10.0.0.3 255.255.255.0!!!interface Ethernet1/1! vrf forwarding GRN! ip address 172.17.2.2 255.255.255.0!!!interface Ethernet1/2! vrf forwarding RED! ip address 172.16.2.2 255.255.255.0!

Пример  настройки    

Создание виртуальных контекстов

Настройка пользовательских интерфейсов

interface Ethernet0/0! vrf forwarding SVCS! ip address 172.17.0.1 255.255.255.0!!!interface Ethernet0/1! vrf forwarding GRN! ip address 172.17.0.2 255.255.255.0!!!interface Ethernet0/2! vrf forwarding RED! ip address 172.16.0.2 255.255.255.0!!!interface Ethernet0/3! vrf forwarding SVCS! ip address 172.16.0.1 255.255.255.0!!!

Контролируемый доступ к ресурсу Пример  настройки    

Настройка интерфейсов для протокола eBGP

router bgp 65000! bgp router-id vrf auto-assign!!! address-family ipv4 vrf GRN! redistribute connected! neighbor 172.17.0.1 remote-as 65100! neighbor 172.17.0.1 local-as 65002 no-prepend replace-as! neighbor 172.17.0.1 activate!!! address-family ipv4 vrf RED! redistribute connected! neighbor 172.16.0.1 remote-as 65100! neighbor 172.16.0.1 local-as 65001 no-prepend replace-as! neighbor 172.16.0.1 activate!!! address-family ipv4 vrf SVCS! redistribute connected! neighbor 172.16.0.2 remote-as 65001! neighbor 172.16.0.2 local-as 65100 no-prepend replace-as! neighbor 172.16.0.2 activate! neighbor 172.17.0.2 remote-as 65002! neighbor 172.17.0.2 local-as 65100 no-prepend replace-as! neighbor 172.17.0.2 activate!

Контролируемый доступ к ресурсу Пример  настройки    

Настройка протокола eBGP

Настройка качества обслуживания

Data Center

Internet Internet WAN

Трафик  классифицируется  и  маркируется  на  границе  сети  

Потоки  данных  обрабатываются  на  основе  DSCP/MPLS  EXP  маркировки  

Каждый  тип  трафика  получает  свой  класс  обслуживания:  

•  Доступ  к  интернету  –  Best  effort  

•  Голос  –  Priority    

•  Бизнес  приложения  –  по  выбору    

Приоритет/качество  обслуживания  не  зависят  от  принадлежности  к  VRF  

Агрегатная  модель  

Data Center

Internet Internet WAN

Настройка качества обслуживания Система  приоритезации  VRF    

Трафик  классифицируется  и  маркируется  на  границе  сети  

Потоки  данных  обрабатываются  на  основе  DSCP/MPLS  EXP  маркировки  

Класс  обслуживания  определяется  принадлежностью  к  VRF:  

•  Гостевой  доступ  –  Best  effort  

•  Голос  –  Priority    

•  Бизнес  приложения  –  по  выбору    

Приоритет/качество  обслуживания  не  зависят  от  принадлежности  к  VRF  

Заключение  

Использование технологии виртуализации в ЛВС 50

Заключение  

Использование технологии виртуализации в ЛВС 51

VRF-Lite + GRE VRF-Lite End-to-End EVN MPLS VPN

L3 граница на уровне распределения

Принадлежность к VRF может быть сохранена в WAN

Некоторые сервисы поддерживают виртуализацию

Авторизация пользователей и назначение VRF

ЦОД Internet Интернет Корпоративная

сеть

Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.

Использование технологии виртуализации в ЛВС 52