Настройка маршрутизаторов Juniper серии MX

April 5, 2018 | Author: Anonymous | Category: Technology
Share
Report this link


Description

1. Настройка маршрутизаторов Juniper серии MX ведущий: Андрей Пинаев 23 октября 2013 [email protected] 2. MX – УНИВЕРСАЛЬНАЯ ПЛАТФОРМА Пинаев Андрей [email protected] 3. ПОВЕСТКА ОБЗОР MX СЕРИИ ОБНОВЛЕНИЯ СЕРВИСЫ CGNAT/BRAS ПРИМЕР НАСТРОЙКИ BRAS ПРИМЕР НАСТРОЙКИ CGNAT 3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 4. ПОВЕСТКА ОБЗОР MX СЕРИИ ОБНОВЛЕНИЯ СЕРВИСЫ CGNAT/BRAS ПРИМЕР НАСТРОЙКИ BRAS ПРИМЕР НАСТРОЙКИ CGNAT 4 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 5. MX-СЕРИЯ ПРОИЗВОДИТЕЛЬНОСТЬ ОТ 20ГБИТ/C ДО 80ТБИТ/С 80Тбит/с 34Тбит/с 40Тбит/с Единая операционная система Junos Микросхемы собственной разработки 3D TRIO Концепция универсальной границы 17Тбит/c 4.8Тбит/с 2.8Тбит/c 1.6Тбит/с 8.8Тбит/c 5.3Тбит/c 2.6Тбит/с 1.4Тбит/c MX104 20Гбит/с MX 5 40Гбит/с MX 10 60Гбит/с MX 40 80Гбит/с MX 80 ∧ MX 240 MX 480 Защита инвестиций 5 Copyright © 2013 Juniper Networks, Inc. www.juniper.net MX 960 MX 2010 MX 2020 6. MX-СЕРИЯ: MX960/480/240   MX-СЕРИЯ §  MX960 §  MX480 §  MX240 Компоненты системы §  §  MPC/DPC §  Switch Control Board (SCB) §  Power §  6 Routing Engine (RE) Fans Copyright © 2013 Juniper Networks, Inc. www.juniper.net 7. MX960: АППАРТНЫЕ ХАРАКТЕРИСТИКИ           7 14-и слотовое шасси Габариты §  Высота: 16RU (примерно 1/3 стойки) §  Глубина: 800mm Компоненты §  Пассивный Mid-Plane §  Резервируемые Routing Engines §  Резервируемые фабрики коммутации (2+1) §  Распределенная архитектура коммутации пакетов §  Резервируемая вентиляторы и блоки питания Особености системы охлаждения и питания §  Обдув спереди назад §  Два блока вентиляторов (1+1 резервирование) §  4 блока питания (2+2 DC, 2+2 AC) Емкость §  2 слота для фабрик коммутации и RE §  1 слот двойного назначения( SCB/MPC) §  12 слотов для линейных карт §  Производительность 8.8Тбит/с Copyright © 2013 Juniper Networks, Inc. SCB + RE www.juniper.net SCB or DPC 8. MX480 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ           8 8-и слотовое шасси Габариты §  Высота: 8RU (примерно 1/6 стойки) §  Глубина: 800mm Компоненты §  Пассивный Mid-Plane §  Резервируемые Routing Engines §  Резервируемые фабрики коммутации (1+1) §  Распределенная архитектура коммутации пакетов §  Резервируемая вентиляторы и блоки питания Особености системы охлаждения и питания §  Обдув боковой §  1 блока вентиляторов §  4 блока питания (2+2 DC, 2+2 AC) SCB + RE Емкость §  2 слота для фабрик коммутации и RE §  6 слотов для линейных карт §  Производительность 4.8Тбит/с Copyright © 2013 Juniper Networks, Inc. www.juniper.net 9. MX240 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ           9 4-и слотовое шасси Габариты §  Высота: 5RU (примерно 1/6 стойки) §  Глубина: 800mm Компоненты §  Пассивный Mid-Plane §  Резервируемые Routing Engines §  Резервируемые фабрики коммутации (1+1) §  Распределенная архитектура коммутации пакетов §  Резервируемая вентиляторы и блоки питания Особености системы охлаждения и питания §  Обдув боковой §  1 блока вентиляторов §  4 блока питания (2+2 DC, 2+2 AC) SCB + RE Емкость §  2/1 слота для фабрик коммутации и RE §  2/3 слотов для линейных карт §  Производительность 1.6Тбит/с Copyright © 2013 Juniper Networks, Inc. SCB or DPC www.juniper.net 10. MX2020 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ §  Производительность системы до 80Тбит/с §  20 слотов под линейные карты §  2Тбит/c на слот §  Высота: 45RU §  Поддержка всех существующих MPCs §  Производительность фабрики – 860Гбит/c на слот §  Компоненты системы §  Резервируемая система питания §  Резервируемые Routing Engines §  Резервируемые фабрики коммутации §  Распределенная архитектура коммутации пакетов 10 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 11. MX2010 : АППАРТНЫЕ ХАРАКТЕРИСТИКИ §  Производительность системы до 40Тбит/с §  10 слотов под линейные карты §  2Тбит/c на слот §  Высота: 34RU §  Поддержка всех существующих MPCs §  Производительность фабрики – 860Гбит/c на слот §  Компоненты системы §  Резервируемая система питания §  Резервируемые Routing Engines §  Резервируемые фабрики коммутации §  Распределенная архитектура коммутации пакетов 11 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 12. MX2020: CХЕМА ОХЛАЖДЕНИЯ Exhaust Plenum Fan Tray 3/4 §  Две зоны охлаждения §  Power Supply Cooling Обдув спереди назад Card Cage Middle Inlet Plenum Card Cage Bottom Exhaust Plenum Airflow divider Card Cage Fan Tray 1/2 Bottom Inlet Plenum 12 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 13. MX2000 CB-RE “RE-1800” as used in MX240/480/960 n  Quad-­‐core  1.73Ghz  Intel   Nehalem  Processor   n  64-­‐bit  ready   n  Symmetric  MulA-­‐processing   ready   n  16G  Memory   n  Dual  Solid  State  Drives   n  Timing  and  Mgmt  interfaces   n  13 Air  Diverter  to  isolate    upper  and  lower  cooling  zones   Copyright © 2013 Juniper Networks, Inc. www.juniper.net 14. MX20XX: ПИТАНИЕ Power  Zone  1   Power  Zone  2   14 •  Chassis  is  divided  into  2  power  zones   •  Top  10  slots  belong  to  Zone  1   •  BoOom  10  slots  belong  to  Zone  2   •  REs,  SFBs  and  Fan  trays  connected  to  both  zones   •  Uses  power  from  one  zone  at  a  Ame   •  AC  &  DC  can’t  be  mixed   •  Unique  PDM  for  AC  and  DC  power   •  A  zone  can  fail  without  affecAng  the  other  zone   •  Each  zone  has  9  Power  Supply  Modules  (PSM)   •  8+1  redundancy  model  per  zone   •  18  total  PSMs  per  MX2020  chassis   •  Each  zone  has  1  acAve  Power  DistribuAon  Module  (PDM)   •  Second  PDM  for  redundancy  per  zone   •  9  DC  feeds  plug  into  one  PDM  not  the  PSM   •  9  more  feeds  for  redundancy  (1:1)   •  A  60A  or  80A  feed  per  PSM   •  2  AC  feeds  per  AC  PDM   •  2  more  AC  feeds  plug  into  backup  PDM   •  Feeds  can  be  changed  independent  of  the  PSM   Copyright © 2013 Juniper Networks, Inc. www.juniper.net 15. MX20XX: ФАБРИКА SFB   •  MX2020/MX2010  specific  Switch  Fabric  Board   •  Does  not  contain  the  control  board,  unlike  MX960   •  8  total  SFBs  per  chassis  for  both  MX2020  &  MX2010   Architecture   •  Always  in  8+0  mode   •  Connects  to  adapter  card  on  the  I/O  slots  for  shared  MPCs   Capacity     •  8+0  mode  can  support  up  to  860Gbps  per  line  card  slot   Redundancy   •  All  SFBs  are  always  used  for  8+0  mode   •  If  one  SFB  fails,  fabric  capacity  is  750Gbps  per  I/O  slot   15 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 16. ИСПОЛЬЗОВАНИЕ СУЩЕСТВУЮЩИХ MPC: ЗАЩИТА ИНВЕСТИЦИЙ MPC  АДАПТЕР       •  Адаптер для MPC’s •  Определется в конфигурации •  Не требуется никакой настройки •  Поддерживает все MPC’s MPC  модуль   •  Любая MPCs •  Определется в конфигурации •  Не требуется никакой настройки 16 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 17. СВОДНАЯ ТАБЛИЦА ПО MX240/480/960/20XX MX240 MX480 MX960 MX2010 MX2020 1.6Тбит/c 4.8Тбит/c 8.8Тбит/c 40Тбит/c 80Тбит/c Высота (RU) 6 8 16 34 45 Слоты 2 6 11 10 20 240Гбит/c 240Гбит/c 240Гбит/c 860Гбит/c 860Гбит/c Кол-во 100GE портов* 4 12 20 40 80 Кол-во 10GE портов* 64 192 336 320 640 Резервировние RE Да Да Да Да Да Резервирование фабрики Да Да Да Да Да Резервирование блоков питания Да - AC/DC Да - AC/DC Да - AC/DC Да – AC/DC Да – AC/DC Максимальная производительность системы Производительность на слот* 17 Copyright © 2013 Juniper Networks, Inc. * Производительность и плотность портов на текущий момент www.juniper.net 18. MX-СЕРИЯ: MX5/10/40/80/104         Высокопроизводительные Mid-Range маршрутизаторы MX5: 5G Router §  20x1G MX5 MX10: 10G Router §  20x1G & 1 Modular Slot MX10 MX40: 40G Router §  2 Modular Slots & 2x10G MX40 MX80 NEW     MX80: §  2 Modular Slots & 4x10G MX80 MX104 MX104: §  4 Modular Slots & 4x10G 18 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 19. MX5/10/40/80 КОМПЛЕКТАЦИЯ Слот для сервисного модуля Произво дительно сть Шасси Слот MIC0 Слот MIC1 10G порты (0-3) MX5 Доступен; Предустановлен модуль MIC-3D-20GE-SFP Заблокирован Порты заблокированы Доступен 20 Гбит/с MX10 Доступен; Предустановлен модуль MIC-3D-20GE-SFP Доступен; Возможно использование любых MIC модулей Порты заблокированы Доступен 40 Гбит/с MX40 Возможно использование любых MIC модулей Возможно использование любых MIC модулей 2 из 4 портов доступны Доступен 60 Гбит/с MX80 Возможно использование любых MIC модулей Возможно использование любых MIC модулей Доступны 4 порта Доступен 80 Гбит/с Доступны 4 порта Доступен 80 Гбит/с МХ80-48Т 19 Фиксированная конфигурация – 48 x 10/100/1000Base-T портов Copyright © 2013 Juniper Networks, Inc. www.juniper.net 20. MX104 – МАРШРУТИЗАТОР УРОВНЯ АГРЕГАЦИИ Компактность и резервирование §  TRIO chipset – 80G §  Габариты: 17.5 in (W) x 3.5RU (H) x 9.5(D) §  ETSI-300 compliant §  Резервируемый RE §  Резервируемые блоки питания AC/DC §  Широкий рабочий диапазон -40C to +65C §  Заменяемый блок вентиляторов Модульная архитектура §  Встроенные порты 4x10GE SFP+ LAN/ WAN §  4 слота под MICs ; ~20Гбит/с на слот §  Поддержка сервисного MIC Синхронизации §  BITS (T1/E1), 10MHz &1PPS and ToD timing I/O interfaces §  SyncE, SONET, PTP (Brilliant IP integration) timing features 20 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 21. MX104 MICs MIC TYPE MODEL MIC -3D 20GE-SFP MIC-3D-2XGE-XFP ETHERNET MIC-3D-40GE-TX MIC-3D-20GE-SFP-E [ MACSEC PHY, Timing PHY ] MIC-3D-20GE-SFP-EH [ Hardened, MACSEC PHY , Timing phy] MIC-3D-4CHOC3-2CHOC12 MIC-3D-4OC3OC12-1OC48 MIC-3D-8CHDS3-E3-B MIC-3D-8CHOC3-4CHOC12 TDM/ATM/CE MIC-3D-8DS3-E3 MIC-3D-8OC3-2OC12-ATM MIC-3D-4CHOC3-1OC12-CE-H MIC-3D-16CHE1-T1-CE MIC-3D-16CHE1-T1-CE-H 21 www.juniper.net MIC-3D-8OC3OC12-4OC48 Copyright © 2013 Juniper Networks, Inc. 22. MX104 ПРИМЕНЕНИЕ: MBH RAN TCA8500 3G/4G ACX Лучшая платформа для MBH агрегации 3G/4G Mobile Core 3G/4G ACX Metro Transport Providers MX Portfolio MX104 3G/4G 1588v2, SyncE • Компактное шасси • Широкий рабочий диапазон • Поддержка синхронизации Microwave MBH Hub • Упращенный запуск 22 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 23. MX104 ПРИМЕНЕНИЕ: УНИВЕРСАЛЬНАЯ ГРАНИЦА Access NG-CO RT Home DSLAM AAA Расширенные возможности DHCP OLT •  MX104 BNG/ •  RE резервирование Поддержка MPLS L2/L3 VPN and VPLS •  Metro Ethernet Agg Router TRIO чипсет •  Home Гибкость в предоставлении IPv4 and Residential Edge Data Center IPv6 сервисов Corporate HQ Branch Office MX104 Business Edge •  Богатый выбор L4-L7 сервисов •  Интеллектуальная inline обработка L2VPN L3VPN Provider Edge Branch Office Corporate HQ Data Center 23 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 24. СВОДНАЯ ТАБЛИЦА ПО MX5/10/40/80/104 MX5 MX10 MX40 MX80 MX104 20Гбит/с 40Гбит/с 60Гбит/с 80Гбит/с 80Гбит/c 2 2 2 2 3.5 1 MIC 2 MIC 2 MIC 2 MIC 4 MIC 20Гбит/с 40Гбит/с 60Гбит/с 80Гбит/с 80Гбит/с 2 4 6 8 12 Нет Нет Нет Нет Да Резервирование фабрики Нет Нет Нет Нет Нет Резервирование блоков питания Да – AC/DC Да – AC/DC Да – AC/DC Да - AC/DC Да - AC/DC Максимальная производительно сть системы Высота(RU) Слоты Производительно сть на слот* Кол-во 10GE портов* Резервировние RE 24 Copyright © 2013 Juniper Networks, Inc. * Производительность и плотность портов на текущий момент www.juniper.net 25. ПОВЕСТКА ОБЗОР MX СЕРИИ ОБНОВЛЕНИЯ СЕРВИСЫ CGNAT/BRAS ПРИМЕР НАСТРОЙКИ BRAS ПРИМЕР НАСТРОЙКИ CGNAT 25 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 26. MPC3E - 100G MPC Характеристики Производительность 130Гбит/с Два слота под MIC Модульная архитектура n  n  n  Модульное исполнение Новые MICs n  1x100GE CFP n  1x100GE CXP n  2x40GE QSFP n  10x10GE SFP+ Legacy MICs n  20x1GE SFP n  2x10GE XFP Not Supported n  4x10GE MIC Преимущества   n  n  n  26 4  млн.  маршрутов   L3VPN  и  VPLS  сервисы   Интеллектуальная  inline  обработка   Copyright © 2013 Juniper Networks, Inc. Модульная линейная карта MPC3E Применение 130 GbE Card WAN Edge Services ü Full MPLS Features ü All MX Functionality ü www.juniper.net 27. MPC4E  –  МОНОЛИТНАЯ  10G  И  100G  MPC     Производительность/функционал   До 260Гбит/с агрегированной пропускной способности n  240 Гбит/с на MX240/480/960 n  260 Гбит/с на MX2000 n  Очереди на портах n  Поддержка Synchronous Ethernet n  Поддержка 1588v2 n  2x100G  CFP  +  8x10G  SFPP  ports   32x10GE  SFPP  ports   Применение   Монолитное исполнение Full  Scale  RouFng   ü VPLS,  L3VPN,  L2VPN   Вариант 1 n  32x10GE SFP+ ports ü Service  Rich   Вариант 2 n  2x100GE CFP & 8x10GE SFP+ ports 27 260G  MPC   Copyright © 2013 Juniper Networks, Inc. www.juniper.net ü 28. МУЛЬТИСЕРВИСНАЯ MPC – MS-MPC Сервисный блэйд для MX платформы   NG  NPU   §  XLP процессор §  4 NPU §  Поддержка в MX240/480/960/20XX NG  NPU   §  Производительность до 32G TRIO   §  Сервисы SFW, NAT, J-FLOW, IPSec NG  NPU   §  RPM/TLB/HCM (Roadmap) NG  NPU   28 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 29. МУЛЬТИСЕРВИСНЫЙ MIC – MS-MIC Сервисный блэйд для MX платформы   §  XLP процессор Service     MIC   §  1 NPU §  Поддержка на MPC1 MPC2 и MPC3 NG  NPU   §  Поддержка на MX5/10/40/80/104 §  Производительность до 9G §  Сервисы SFW, NAT, J-FLOW, IPSec MPC/MX80   §  RPM/TLB/HCM (Roadmap) 29 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 30. СВОДНАЯ ТАБЛИЦА MPC Производителность Поддержка на MX960/480/240 Поддержка на MX2020/MX2010 MPC 1 & MPC2 (-Q/-EQ) 2 MIC slots (1GE,10GE MICs) 40 & 80 Гбит/c 2010 2013 16 x 10GE Fixed MPC 160 Гбит/c 2010 MPC3 2 MIC slots (100GE, 40GE, 10GE MICs) 130 Гбит/c 2012 2013 MPC4 32 x 10GE Fixed MPC 2x100GE + 8x10GE Fixed MPC 260 Гбит/c 2013 2013 MPC Тип 30 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 2013 31. ПОВЕСТКА ОБЗОР MX СЕРИИ ОБНОВЛЕНИЯ СЕРВИСЫ CGNAT/BRAS ПРИМЕР НАСТРОЙКИ BRAS ПРИМЕР НАСТРОЙКИ CGNAT 31 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 32. МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ JUNIPER NETWORKS 32 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 33. ОПЫТ JUNIPER NETWORKS Существующие инсталляции NAT §  6 крупных проектов на территории России §  Самый крупный – 350 тыс. одновременных абонентов §  Примерно 1млн. активных ШПД абонентов в России обслуживаются NAT-устройствами Juniper Networks   Технология развивалась на протяжении последних 8 лет §  Широкий набор Application Layer Gateway §  Балансировка нагрузки и отказоустойчивость §  Масштабируемость §  Поддержка DS-Lite, различных режимов NAT-traversal, распределения портов и протоколирования сессий 33 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 34. НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT Варианты NAT Вид трансляции Описание NAT44 Трансляция 1:1, IPv4IPv4 NAPT44 Трансляция N:1, IPv4IPv4 NAPT64 Трансляция N:1, IPv4IPv6 Twice NAT, RFC 2663 Двойная трансляция, IPv4 IPv4 NAT66 NAPT66 34 Трансляция 1:1, IPv6IPv6 Трансляция N:1, IPv6IPv6 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 35. НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT Средства NAT Функция Комментарий Endpoint Independent Mapping Средство NAT-traversal, позволяющее абонентским системам функционировать в обход NAT. Паре адрес/порт назначается одна пара внешний адрес/порт для множества сессий. Распределение портов с сохранением чётности, с сохранением диапазона См. RFC 4787. Обеспечивает устойчивую работу голосовых приложений (семантика чётности портов для RTP/RTCP) и диапазона портов (порты из диапазона 0-1023 транслируются в порты из того же диапазона). Ограничение на количество сессий на адрес источника Возможность ограничить число сессий от одного абонента Протоколирование сессий, syslog Протоколирование без влияния на производительность. Возможность протоколирования только начала сессии. Протоколирование распределения блока портов. Блочное распределение портов Уменьшает количество событий для протоколирования. Address Pooling Внешний адрес не меняется всё время активности абонента. Распределение нагрузки между модулями Гибкое выделение трафика и распределение нагрузки между модулями ALG Порядка 20 ALG, среди них наиболее популярные: FTP, RTSP, PPTP Но одних функций недостаточно, нужно иметь хорошее решение 35 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 36. ТРЕБОВАНИЯ К СОВРЕМЕННЫМ РЕШЕНИЯМ NAT Основные цели §  Снижение стоимости решения §  Резервирование элементов, выполняющих обработку пакетов по схеме N+1 (ценой stateful-failover) §  Улучшение утилизации устройств §  Простая интеграция в сеть §  Масштабирование §  Линейное масштабирование до сотен миллионов сессий §  Минимум действий при перенастройке 36 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 37. СТРОИТЕЛЬНЫЙ МАТЕРИАЛ Маршрутизаторы MX240, MX480, MX960 Параметр Пропускная способность Портов 10GE (на скорости канала) MX480 MX960 2+1 Слотов MX240 6 11+1 1,6 Тбит/c 4,8 ТБит/c 8,8 ТБит/c 48 144 256 Сервисная карта MS-DPC NAPT44(4) NAPT44(4) – блочное выделение портов 17М 17М 600 тыс/сек 1,2 млн/сек 19 Гбит/c 19 Гбит/c Число абонентов 8,5 М 8,5 М Задержка 60 мкс 60 мкс Нет Нет 7 секунд 7 секунд Значение Всего потоков Максимальная скорость установления потоков Пропускная способность (IMIX) Влияние протоколирования на скорость создания новых потоков Время создания 4М потоков 37 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 38. СТРОИТЕЛЬНЫЙ МАТЕРИАЛ(ПРОДОЛЖЕНИЕ) Сервисная карта MS-MPC Значение NAPT44(4) Всего потоков 120М Пропускная способность (IMIX) 32 Гбит/c Число абонентов 60М Задержка 55 мкс Сервисный MIC MS-MIC Значение NAPT44(4) Всего потоков 14М Пропускная способность (IMIX) 6 Гбит/c Число абонентов 7М Задержка 38 70 мкс Copyright © 2013 Juniper Networks, Inc. www.juniper.net 39. СХЕМ ОРГАНИЗАЦИИ СВЯЗИ, NAT-ФЕРМА ИЗ 3-Х И БОЛЕЕ УСТРОЙСТВ CPE BNG MX Магистраль сети Интернет CPE MX BNG MX Трафик поступает с PE/ BNG устройств и отправляется по одному маршруту по умолчанию в технологическом VRF На MX фермы трафик расходится по трём устройствам (за каждым закреплены свои адресные блоки) через 6 технологических VRF (всего 6 разных пар active/backup) На каждом из устройств в отдельности выполняется балансировка нагрузки между NPU MS-DPC (по адресу источника) Кстати, схему балансировки можно использовать не только для NAT, но и для других приложений. 39 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 40. БАЛАНСИРОВКА НАГРУЗКИ МЕЖДУ УСТРОЙСТВАМИ [edit  firewall  filter  flt-­‐spray]   term  t00  {    from  {        //5  последних  бит  –  00000        source-­‐address  0.0.0.0/0.0.0.31;    }    then  {        routing-­‐instance  ri-­‐r1_primary-­‐r2_backup;   }   …     term  t31  {    from  {        //5  последних  бит  –  11111        source-­‐address  0.0.0.31/0.0.0.31;    }    then  {        routing-­‐instance  ri-­‐r2_primary-­‐r3_backup;   }       40 Copyright © 2013 Juniper Networks, Inc. Фильтром распределяется трафик между N * (N-1) = 6 технологическими VRF. Трафик выделяется по последним битам адреса. Фильтр меняется только с увеличением числа устройств (N) в NAT-ферме – очень редко! www.juniper.net 41. ОДНО УСТРОЙСТВО ПОДМЕНЯЕТ ДРУГОЕ Настройка маршрутизатора R1 [edit  routing-­‐instances]   apply-­‐groups  vrf-­‐commmon;   //  R1  –  основной,  R2  -­‐  запасной   ri-­‐r1_primary-­‐r2_secondary  {        vrf-­‐target  target:100:101;        routing-­‐options  {    static  {          route  0.0.0.0/0  next-­‐hop  [sp-­‐1/3/0.1  sp-­‐1/3/1.1];    }        }   }   //  R1  –  запасной,  R2  -­‐  основной   ri-­‐r2_primary-­‐r1_secondary  {        vrf-­‐target  target:100:103;        routing-­‐options  {    static  {          route  0.0.0.0/0  {      next-­‐hop  [sp-­‐1/3/0.1  sp-­‐1/3/1.1];      no-­‐readvertise;      preference  180;          }    }        }   }   //  R2  –  основной,  R3  -­‐  запасной   ri-­‐r2_primary-­‐r3_secondary  {    vrf-­‐target  target:100:104;   Copyright © 2013 Juniper Networks, Inc. www.juniper.net }   41 В таблице маршрутизации VRF всегда два маршрута по умолчанию – один от основного устройства, а другой от резервного. Выбирается только один с лучшим preference – он определяет основное устройство Список sp- интерфейсов, между которыми происходит балансировка в рамках одного устройства (хеш по source-адресу – настраивается отдельно) 42. ПРОТОКОЛИРОВАНИЕ АБОНЕНТСКИХ СЕССИЙ 42 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 43. ИЗБИРАТЕЛЬНОЕ ПРОТОКОЛИРОВАНИЕ §  Ограничение по числу сообщений в секунду §  Выборочная отправка сообщений об открытии/ закрытии сессии §  Уменьшение объёма сообщений с 200 байт до 80 байт 43 Copyright © 2013 Juniper Networks, Inc. regress@kevlar#  show  services   service-­‐set  ss1  {      syslog  {          host  local;              options  {   +              session-­‐open;   +              session-­‐close;   +              packet-­‐logs;   +              stateful-­‐firewall-­‐logs;   +              alg-­‐logs;   +              nat-­‐logs;   +              ids-­‐logs;              }          }      }   }   www.juniper.net 44. НЕСКОЛЬКО СЛОВ О СТАНДАРТНОМ РАСПРЕДЕЛЕНИИ ПОРТОВ Утилизация пула Безопасность Объём протоколирования Высокий     Поведение по умолчанию – случайное распределение портов Оценка: §  Хорошая утилизация пула §  Одна запись в журнале на сессию §  Никаких проблем с безопасностью Низкий Распределение портов (цвет обозначает абонента) 44 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 45. NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ Высокий   Утилизация пула Безопасность Объём протоколирования   Низкий     При создании сессии, для абонента выделяется целый блок портов. Порт выбирается случайным образом из этого блока. Последующие запросы на распределение порта обслуживаются из этого блока. Неактивные блоки (без занятых портов) освобождаются. Записи генерируются только для события выделения и освобождения блока. Оценка: §  Можно подстраивать размер блока/степень безопасности/протоколирования §  Сокращает существенно объём протоколирования Распределение портов (цвет обозначает абонента) 45 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 46. NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ   Параметры, которые можно менять §  Утилизация пула Объём протоколирования Безопасность Низкий 46   Число блоков на абонента §    Размер блока §  Высокий Для повышенной безопасности, таймаут распределения блоков Блочное распределение работает для TCP/UDP/ICMP, как и обычный NAPT44. ALG также поддерживаются services  {          nat  {                  pool  pool1  {                          address-­‐range  low  32.32.32.1  high  32.32.32.32;                          port  {                                  automatic  {                                          random-­‐allocation;                                  }   +                              block-­‐allocation  {   +                                      block-­‐size  256;  /*  Min  64,  Max  64512,  default  128  */   +                                      max-­‐blocks-­‐per-­‐user  8;  /*  Max  2048,  default  8  */   +                                      active-­‐block-­‐timeout  300;  /*  0(default),  Min  120secs,  Max  MAX_UINT  */   +                              }                          }                          address-­‐allocation  round-­‐robin;                  }          }   }   Copyright © 2013 Juniper Networks, Inc. www.juniper.net 47. ПРЕДСКАЗУЕМЫЙ NAT Утилизация пула Безопасность Объём протоколирования Высокий     Алгоритмическое распределение IP-адресов и портов (блоков). Публичные IPv4-адреса и порты для заданного пользователя зафиксированы. Распределение портов выполняется из диапазона портов абонента. Оценка: §  Абоненты используют те же адреса всё время §  Никакого протоколирования вовсе не требуется §  Хуже утилизация портов (для неактивных пользователей также распределяются блоки) §  При нехватке портов, нельзя распределить новый блок §  Сложнее балансировка нагрузки Низкий Распределение портов (цвет обозначает абонента) 47 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 48. АРХИТЕКТУРА СЕТИ ШИРОКОПОЛОСНОГО ДОСТУПА 48 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 49. СТАНДАРТИЗАЦИЯ, ОБЩАЯ АРХИТЕКТУРА СЕТИ 1999 TR-25 CPE 2003 ATM агрегация ADSL TR-59 DSLAM DSLAM ADSL 2007 TR-101 VDSL 2010 TR-156 Интернет, QoS ATM агрегация DSLAM/ MSAN Ethernet агрегация BNG/ Интернет Video BNG Телефония Телевидение Ethernet агрегация PON ONT 49 BRAS ADSL2+ CPE Интернет ATM агрегация ADSL CPE BRAS BNG/ Интернет Video BNG Телефония Телевидение OLT Copyright © 2013 Juniper Networks, Inc. www.juniper.net 50. КОМПОНЕНТЫ РЕШЕНИЯ И ИХ ФУНКЦИИ Точка предоставления услуги Ethernet агрегация ONT Магистраль оператора ААА BNG OLT Управление политиками ONT (CPE) OLT (УЗЕЛ ДОСТУПА) BNG (BRAS) L3-маршрутизация и/ или L2-коммутация Агрегация абонентских линий Авторизация абонентов [L3] NAT Изоляция абонентов Изоляция абонентов [L3] IGMP PROXY Идентификация линии (CVLAN, PPPoE IA или включение DHCP опции 82) Учёт трафика Восходящий QoS Обслуживание в соответствии с описанием услуги Элементы нисходящего QoS (приоритезация) Нисходящий QoS Оптимизация многоадресной рассылки Copyright © 2013 Juniper Networks, Inc. Назначение политики обслуживания Хранение информации о расположении абонента Динамическое изменение политик обслуживания Фильтрация Многоадресная рассылка 50 УПРАВЛЕНИЕ ПОЛИТИКАМИ www.juniper.net Программные интерфейсы для приложений 51. S-VLAN ПРОТИВ С-VLAN ВЫСОКОУРОВНЕВОЕ СРАВНЕНИЕ МОДЕЛЕЙ Защита от подделки MAC-адресов, IP, добавление идентификатора линии в пакеты DHCP (Option 82) или PPPoE (Remote Circuit ID) Запрет коммутации трафика между абонентами (private VLAN) 1:N (S-VLAN) ONT Отображение абонентских линий в один VLAN (Ethernet-коммутация) Коммутатор OLT Разбор идентификатора линии (Option 82, Intermediate Agent), передача в сторону систем OSS/BSS BNG Устройства сети доступа обеспечивают изоляцию и идентификацию Коммутация или мультиплексирование трафика в пределах каждого VLAN 1:1 (C-VLAN) ONT Отображение абонентских линий в абонентские VLAN (мультиплексирование) 51 Коммутатор OLT BNG Сеть доступа – труба, без каких-либо функций Copyright © 2013 Juniper Networks, Inc. www.juniper.net 52. S-VLAN ПРОТИВ С-VLAN ВЫСОКОУРОВНЕВОЕ СРАВНЕНИЕ МОДЕЛЕЙ (ПРОДОЛЖЕНИЕ) Характеристика С-VLAN (1:1) Сложность изоляции трафика абонентов на устройствах доступа (OLT/коммутаторы) Взаимодействие между OLT и BRAS/BNG S-VLAN (1:N) Низкая Высокая (MAC-security, изоляция портов, DHCP Snooping) Отсутствует Присутствует (Option 82 и PPPoE Intermediate Agent) Идентификация абонентов По номеру VLAN + По Option 82, remote circuit id сегменту доступа Применение операторами связи Обе модели достаточно распространены Рекомендации Juniper 52 Использовать 1:1 VLAN, если это возможно. При прочих равных условиях сеть доступа проще. Проще внедрение новых услуг. Copyright © 2013 Juniper Networks, Inc. www.juniper.net 53. PPPOE ПРОТИВ DHCP ОСНОВНЫЕ ТЕХНОЛОГИИ ДОСТУПА Выбор технологии определяет способы авторизации, аутентификации, резервирования, многоадресной рассылки Функция IPoE Назначение адресов NCP DHCP Авторизация Имя и пароль, CVLAN Remote Circuit ID Option 82 CVLAN Средства OAM Отлажены, наличие keepalive. В процессе стандартизации. ForceRenew, IP Sessions Wholesale-механизмы Отлажены. На основе L2TP. В процессе стандартизации. Различные фирменные методы (L2 и L3) Оптимизация многоадресной рассылки в сети доступа 53 PPPoE Усложнена практическим отсутствием IGMP Snooping для PPPoE на узлах доступа Имеется. Требует IGMP Snooping на узлах доступа. Copyright © 2013 Juniper Networks, Inc. www.juniper.net 54. ВАРИАНТЫ ПРОЕКТИРОВАНИЯ В сетях ШПД тысячи вариантов проектирования. Одинаковых сетей нет. Базовые вопросы с которыми нужно определиться: Вопрос, проблема, задача Расположение узлов предоставления услуг Централизованное или распределённое Модель агрегации в сети доступа Количество сервисных устройств Нисходящий QoS Варианты решения 1:1 VLAN (CVLAN) или 1:N VLAN (SVLAN) Одно сервисное устройство или несколько сервисных устройств для доставки разных услуг Полностью на BNG, включая многоадресную рассылку, или частично на устройстве доступа Технология подключения абонентов Высокая доступность предоставления услуги 54 PPPoE или IPoE Резервирование BNG (несколько вариантов), резервирование карт устройств, виртуальное шасси Copyright © 2013 Juniper Networks, Inc. www.juniper.net 55. ФУНКЦИИ BRAS Функция MX/JUNOS DHCP – доступ (Relay/Relay-proxy, LocalServer) Поддерживается Динамические абонентские интерфейсы Поддерживается Интеграция DHCP AAA (идентификация, учёт, RADIUS CoA) Поддерживается DHCP L3 wholesale Поддерживается Сервисный менеджер Параметризация профилей - поддерживается Динамическая конфигурация (HQOS, Policy) Поддерживается Автоконфигурирование VLAN с аутентификацией Поддерживается Перехват трафика Поддерживается DHCPv6PD, IPv4/IPv6oE двойной стек Поддерживается PPP + AAA Поддерживается L2TP LAC Поддерживается L2TP LNS Поддерживается IPv4/v6 двойной стек для PPP Поддерживается 55 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 56. ФУНКЦИИ BRAS Функция MX/JUNOS ISSU Поддерживается Multicast (IGMPv2/v3, OIF-MAP,QOSadjust, Bulk-stats, SSM-map) Поддерживается Интеграция с SRC Поддерживается (Diameter) DHCP ForceRenew Поддерживается Масштабирование 128 тыс. и выше Dynamic L2 Wholesale Поддерживается Inter-LM active/backup Subscriber LAG DHCP – Поддерживается, PPP (в планах) Inter-LM active/active N-way Subscriber LAG (в планах) Stateful Inter-chassis redundancy Посредством виртуального шасси Carrier grade NAT Поддерживается Встроенный IDP/DPI Поддерживается Встроенный видео-мониторинг Поддерживается 56 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 57. JUNOS SUBSCRIBER MANAGEMENT ПРИНЦИПЫ РАБОТЫ 57 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 58. JUNOS SUBSCRIBER MANAGEMENT ПРОГРАММНЫЕ КОМПОНЕНТЫ: JDHCPD jdhcpd §  Juniper DHCP Daemon новый процесс, которые отвечает за на MX- платформе за всю деятельность, связанную с функциями DHCP Local Server and DHCP Relay/Proxy       Функции поддерживаются для logical routers и routing instances. Только один процесс jdhcpd может быть запущен на шасси. При перезапуске jdhcpd (командой ‘restart’ или в случае сбоя в работе демона) использует хранимую в виде файла таблицу активных dhcp-клиентов или active client leases. При выполнение процедуры graceful shutdown, jdhcpd сохраняет текущий список «dhcp lease-ов» в отдельном файле на жестком диске и использует ее при последующем старте 58 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 59. JUNOS SUBSCRIBER MANAGEMENT ПРОГРАММНЫЕ КОМПОНЕНТЫ: JPPPD, AUTHTD jpppd §  Juniper ppp Daemon - отвечает за поддержку функций активации pppoe интерфейсов. Работает на платформах Juniper M/MX-серии требует использования определенного типа карт authtd §  Juniper Authentication Daemon отвечает за все запросы, связанные с авторизацией, аутентификацией, сбором статистики, назначением IPадреса на интерфейс подписчика. Начиная с релиза 9.6 добавлен компонент Juniper Session and Resource Control (JSRC), отвечающий за взаимодействие с SRC-PE по средством протокола Diameter. Autoconfd §  autoconfd – новый процесс в Junos, который обрабатывает на входе пакеты и генерирует внутренние запросы на через Subscriber Management Infrastructure (SMI) для создания новых интерфейсов на основе VLAN-tag и ethertype для : Inet; Inet6; pppoe 59 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 60. Имя пользователя: DHCP_USER$0000.1000.0001$enet$ONU_#100:FTTH-1/[email protected] Сервис INET-SRVC (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Сервис APPL (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) профиль HQOS (‘$shaping-rate’) УПРАВЛЕНИЕ ШПД ПОДПИСЧИКАМИ В JUNOS ИСПОЛЬЗОВАНИЕ RADIUS-А Билинг AAA server username-include { user-prefix DHCP_USER; delimiter "$"; mac-address; circuit-type; Access-Request option-82 remote-id; option-60; domain-name juniper.net; } Access-accept Unisphere-Activate-Service-tag1 INET-SRVC (filter-in, filter-out) Unisphere-Activate-Service-tag2 APPL (filter-in, filter-out) Unisphere-Activate-Service-tag3 HQOS (shaper-rate-1) Accounting Request (На сессию и на сервис) Назначение IPадреса: local pool, local DHCP, Внешний DHCP relay DHCP/PPPoE CPE Access Node Ethernet/
 L2VPN/
 VPLS Demux0 SP MPLS Core MX Series Dynamic-profile Default (drop all, open-garden, redirect). Dynamic-profile INET-SRVC (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Dynamic-profile APPL (‘$policer’, ‘$filter’, ‘$vrf’, ‘$bandwidth’) Dynamic-profile HQOS (‘$rates’, ‘$scheduler-map’) 60 Copyright © 2013 Juniper Networks, Inc. www.juniper.net Applications/Content (Video, Voice,…) Internet Подписчики локальной сети 61. НОВАЯ СЕМАНТИКА CLI: DYNAMIC PROFILE, ACCESS PROFILE   Access Profile – правила Аутентификации, Авторизации и динамической настройки параметров §  Посредством RADIUS     Dynamic profile = Cервис (вкл/выкл) Определяет структуры сервиса и набор необходимых параметром § Динамическая настройка параметров интерфейса: –  Firewall Filter –  Service Set, Address, Routing Instance § Динамическая настройка параметров CoS: –  Traffic Control Profile –  Shaping Rates, Weights, Queue Parameters, .... § Динамическая настройка параметров протоколов: IGMP 61 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 62. ПОВЕСТКА ОБЗОР MX СЕРИИ ОБНОВЛЕНИЯ СЕРВИСЫ CGNAT/BRAS ПРИМЕР НАСТРОЙКИ BRAS ПРИМЕР НАСТРОЙКИ CGNAT 62 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 63. ЛАБОРАТОРНАЯ СХЕМА 63 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 64. ТИПОВАЯ НАСТРОЙКА ИНТЕРФЕЙСА МОДЕЛЬ 1:1 VLAN interfaces { ge-1/0/1 { hierarchical-scheduler; flexible-vlan-tagging; auto-configure { stacked-vlan-ranges { dynamic-profile DVLAN { accept dhcp-v4; ranges { 10-10,10-1000; 1000-1000,10-1000; } } access-profile RAUTH; } remove-when-no-subscribers; } encapsulation flexible-ethernet-services; } } 64 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 65. ТИПОВАЯ НАСТРОЙКА ИНТЕРФЕЙСА МОДЕЛЬ N:1 VLAN interfaces { ge-1/0/1 { hierarchical-scheduler; flexible-vlan-tagging; unit 3000 { demux-source inet; vlan-id 3000; family inet { unnumbered-address lo0.0; } } encapsulation flexible-ethernet-services; } } 65 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 66. ТИПОВАЯ НАСТРОЙКА АУТЕНТИФИКАЦИЯ access { profile RAUTH { authentication-order radius; radius { authentication-server 172.30.53.11; options { nas-identifier chile_bras; } } radius-server { 172.30.53.11 { secret "$9$Ak3Ot1heK87dsWLZUiHmP1RE"; ## SECRET-DATA source-address 172.30.53.127; } } } } 66 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 67. ТИПОВАЯ НАСТРОЙКА DHCP СЕРВЕР         dhcp-local-server { pool-match-order { ip-address-first; } group dvlan { authentication { password test123; username-include { mac-address; } } dynamic-profile INET; interface ge-1/0/1.0; }                       } 67 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 68. ТИПОВАЯ НАСТРОЙКА DHCP POOL                                 access { address-assignment { pool DHCP1 { family inet { network 172.18.0.0/23; range range1 { low 172.18.0.10; high 172.18.1.253; } dhcp-attributes { router { 172.18.1.254; } } } } } } 68 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 69. ТИПОВАЯ НАСТРОЙКА ДИНАМИЧЕСКИЙ ПРОФИЛЬ (1)                                 dynamic-profiles { DVLAN { interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { demux-source inet; proxy-arp unrestricted; vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id"; family inet { unnumbered-address lo0.0; } } } } } } 69 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 70. ПОВЕСТКА ОБЗОР MX СЕРИИ ОБНОВЛЕНИЯ СЕРВИСЫ CGNAT/BRAS ПРИМЕР НАСТРОЙКИ BRAS ПРИМЕР НАСТРОЙКИ CGNAT 70 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 71. АКТИВАЦИЯ СЕРВИСНОГО ПАКЕТА ДЛЯ CGNAT                             chassis { fpc 0 { pic 0 { adaptive-services { service-package layer-3; } } pic 1 { adaptive-services { service-package layer-3; } } } } 71 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 72. НАСТРОЙКА СЕРВИСНЫХ ИНТЕРФЕЙСОВ                                       interfaces { sp-0/0/0 { services-options { inactivity-timeout 100; cgn-pic; } unit 0 { family inet { address 10.77.1.1/32; } } unit 10 { family inet; service-domain inside; } unit 20 { family inet; service-domain outside; } }   72                                       interfaces { sp-0/1/0 { services-options { inactivity-timeout 100; cgn-pic; } unit 0 { family inet { address 10.77.1.1/32; } } unit 10 { family inet; service-domain inside; } unit 20 { family inet; service-domain outside; }   Copyright © 2013 Juniper Networks, Inc. } www.juniper.net 73. ОПРЕДЕЛЕНИЕ SERVICE-SET ДЛЯ ИНТЕРФЕЙСОВ SP-0/0/0 И SP-0/1/0                             service-set SP_0_0_0 { nat-rule-sets SP_0_0_0; next-hop-service { inside-service-interface sp-0/0/0.10; outside-service-interface sp-0/0/0.20; } } service-set SP_0_1_0 { nat-rule-sets SP_0_1_0; next-hop-service { inside-service-interface sp-0/1/0.10; outside-service-interface sp-0/1/0.20; } } 73 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 74. НАСТРОЙКА NAT POOL                       nat { pool 172_16_96_0 { address-range low 172.16.96.0 high 172.16.103.255; port { automatic { } secured-port-block-allocation block-size 20000 max-blocks-peraddress 1; } address-allocation round-robin; } } 74 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 75. НАСТРОЙКА NAT RULE                                     rule SP_0_1_0_NAPT { match-direction input; term NAT { from { source-prefix-list { RFC6598-1; } } then { translated { source-pool 172_16_104_0; translation-type { napt-44; } mapping-type endpoint-independent; filtering-type { endpoint-independent; } address-pooling paired; }       75 Copyright © 2013 Juniper Networks, Inc. www.juniper.net


Comments

Copyright © 2024 UPDOCS Inc.