CiscoConnectМосква, 2017

Цифровизация: здесь и сейчас

Особенности реализации функционала BNG на ASR9000

Алексей Бабайцев

Системный инженер

© 2017 Cisco and/or its affiliates. All rights reserved.

О чем пойдет речь?

• Введение

• Размещение на сети

• Работа с абонентскими сессиями

• Функции QoS

• Поддержка IPv6

• Функции безопасности

• Резервирование и отказоустойчивость

• Требования к оборудованию и масштабируемость

• Лицензирование

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3

Основные тенденции ШПД

Облачные приложения

Облачные сервисы требуют

наличия скоростного и

надежного ШПД доступа

Повсеместный Internet доступ

Быстрый и надежный доступ

в интернет в любом месте

IP Traffic

Ожидается трехкратный рост IP трафика к 2020

году до 2.3зеттабайт в год

Партнерство с OTT операторами

Рост ОТТ трафика требует

выстраивания партнерских

отношений с ОТТ операторами и

поиска новых путей монетизации

M2M

Триллионы новых

подключений “connected

events” в течении ближайшего десятилетия

http://www.cisco.com/c/en/us/solutions/service-provider/visual-networking-index-vni/index.html

Ключевые особенности Cisco BNG на базе XR

Topology independentGeo-Redundancy

Residential, Enterprise, FMC, LMA Lowest TCO

nV SupportLC Based Subscribers

9001 to 9922 A Solution for every need

XR BNG

Высокая плотность портов

Поддержка карт 800Gbps/слотNCS5000 в качестве port-extender

Geo Redundancy в режиме 1:1, M:N,N:1

BNGВысокая надежность

Pay as You Grow

Гибкая модель лицензирования абонентских сессийЛицензирование портов

Программируемость

Data Model Based API’sTelemetry driven analyticsNetwork-wide manageability

PCRF

PMIPv6

RADIUS

NASREQ

250+ Заказчиков, 70M+ Абонентов

Эволюция архитектуры Cisco BNG

*Total Fabric BW

XR BNG – Choicest Subscriber Platform across all architectures

Any Transport Support

Horizontal / Vertical Scaling

Automation SupportUnified

ArcitectureStrong Analytics/

ManageabilityTrue Geo-

Redundancy

Физическое устройство

xDSL

Fiber

Operator Backend

OCS HLR AAA CGF PCRF

Aggregation Fixed Edge

Виртуализация функционала BNG

Fiber

DPI CGN CDNServices

CORE

Automation

Analysis

Flexibility

Scale

Разнесение Data Plane и Control Plane

Scalable Control PlaneAccess N/W

xDSL

Operator Backend

OCS HLR AAA CGF PCRF

XRv9000Farm

CORE

Extensible Data Plane

DPI CGN CDNServices

• Поддержка PPPoE/IPoE• Высокая масштабируемость сессий• Географическое резервирование• Ограниченный скейлинг Control Plane• Недостаточная гибкость

• Неограниченный скейлинг Control Plane

• Неограниченный скейлинг Data Plane• Network Wide Solution View• Высокая степень расширяемости

• Высокая степень расширяемости• Программируемая сеть• Интеграция с дополнительными

сервисами• Возможности миграции

XR BNG Family

Производительность и Масштабируемость

Поддержка IPoE/PPPoE

Производительность BNG 800Gbps/Slot

Географическое резервирование

Программируемость/API

Семейство ASR9K

Fixed 2RU

240 Gbps

2 LC/6RU

16 Tbps

8 LC/21RU

14 Tbps

10 LC/30RU

80 Tbps

20 LC/44RU

160 Tbps

4 LC/10RU

7 Tbps

ASR 9904

ASR 9001

ASR 9006

ASR 9010

ASR 9912

ASR 9922

nV Satellites ASR 9000v, NCS5000

8 LC/21RU

64 Tbps

ASR 9910

4 LC/14RU

32 Tbps

ASR 9906 Target 7/2017

ASR 9901Target 12/2017

Поставляется с 2011

XR BNG Family

Поддержка IPoE/PPPoE

24-32k сессий/VM

Гибкие возможности по миграции

Гео-резервирование в гибридном режиме (vBNG+pBNG)

XRv9000

24-32k сессий / VM

Common northbound interfaces

Consistent manageability look and feel

Архитектура на базе X86

Increase Scale/Throughput with VM scale

IOS XRv 9000 vBNG

ESC & Openstack Orchestrated

Access / Aggregation

Запланировано на середину

СY17

Размещение на сети

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9

xDSL

Fiber

WiFi

Cable

Distributed Centralized

AAA PCRFPortal

Diameter Radius

BNGDHCP

PPPoE AAA

V4/v6

Prepaid

Размещение BNG на сети оператора

10

DHCP

Идентификация абонента

Аутентификация

Определение политик и их назначение

Динамическое обновление политик или назначение новых

BNG взаимодействует с сопутствующими системами для обеспечения жизненного цикла абонента.

Централизованная или Распределенная модель

агрегации

Физическое либо виртуализированное* решение

Различные режимы использования

HQoS

NCS 5001/5002ASR9000v

Использование Satellite в связке с ASR9000/BNG

MC-LAG on the Host

NCS5k

CE

NCS5k

ASR9K BNG

ASR9K BNG

nV Dual Head for BNG Access

NCS5kCE

ASR9K BNG

ASR9K BNG

• Связка satellite + ASR9K воспринимаются как одно шасси

• Satellite работает в качестве линейной карты для ASR 9000

• Высокая доступность

• Высокая масштабируемость 10GE/100GE портов для подключение сетей агрегации/доступа

• Упрощение топологии

Работа с абонентскими сессиями

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13

Основные функции BNG

14

Идентификация

абонента

Аутентификация

и авторизация

абонента

Управление IP

адресами

G0/1.10

Создание виртуальной

конструкции – сессии абонента

G0/1.10

Вася

Олег

Петя

ВасяОлегПетя

Абоненты: Вася,

Олег и Петя.

Вася и Олег –

Интернет-доступ,

Петя - VoIP сервис

На интерфейсе G0/1.10

подключено 3 абонента

G0/1.10

Вася

ВасяОлегПетя

IP адреса абонентов:

10.1.1.10 Вася

10.1.1.20 Олег

10.1.1.30 ПетяОлег

Аутентифицировать абонента и

назначить ему индивидуальные

политики обслуживания

10.1.1.30

10.1.1.20

10.1.1.10

Назначить каждому абоненту

уникальный адрес (возможно из

разных пулов)Петя

Динамическое

управление

политикамиG0/1.10

Вася

Олег

Олег

Динамическое изменение

списка доступных услуг

Петя

Включить

услугу VoIP

для Олега

Инициация динамических сессий

Сессии инициируются по проявлению активности абонента – First Sign of Life (FSOL)

Для сессий разных типов возможны разные FSOL

Поддерживается нескольких сессий для одного MAC адреса в разных VLAN (XR5.1.0)

15

PPP сессии

PPPoE Call Request (PADx)

Получение PADI сообщения

Session-start event

Трафик абонента идентифицируется по

MAC + PPP session ID

IP сессии

Получение DHCP Discover сообщения

Session-start event

Трафик абонента идентифицируется по MAC адресу

BNG должен являться DHCP Proxy (или DHCP server) DHCP proxy = DHCP relay который:

1. создает и поддерживает DHCP bindings

2. «Притворяется» DHCP сервером для абонента

DHCP Discover

Data Traffic

Unclassified MAC

Трафик абонента идентифицируется по MAC адресу

Нет средств мониторинга состояния сессии (нет DHCP обмена),

завершение сессии должно быть через RADIUS CoA, из CLI или

по idle-timeout

Поддержка функционала Ambiguous VLANs

Динамическое создание множества абонентских VLAN для 1:1 (C-VLAN) модели агрегации

Поддержка сценариев PPPoE и IPoE

VLAN создается при проявлении активности абонента -First Sign of Life (PPPoE PADI, DHCP Discover)

Динамическое создание VLAN

16

Физический

интерфейс

Родительский интерфейс

S-VLAN

C-VLAN

диапазонS-VLAN

Пример 1:

interface Bundle-Ether100.10

encapsulation ambiguous dot1q 100 second-dot1q any

Пример 2:

interface Bundle-Ether100.10

encapsulation ambiguous dot1q 202 second-dot1q 1-4094

Поддержка Static session – начиная с XR511

Статическая сессия создаваемая на access-интерфейсе:

• Воспринимает весь трафик проходящий через VLAN sub-interface как одну сессию

• Доступны все опции, как и для обычной сессии: AAA, COA и др.

• Сессия создается сразу после создания статической конфигурации на sub-интерфейсе

• Удаление сессии осуществляется посредством удаления соответствующей конфигурации

Interface BundleEther1.1 <- Access Interface

Service-policy type control subscriber STATIC_POLICY1

ipv4 address 10.1.1.1 255.255.0.0

encapsulation dot1q 1

ip subscriber interface <- Command triggers creation of static session

• Начиная с XR511 появилась поддержка L3-connected абонентов, которые идентифицируются по IP адресу (IPv4 или IPv6).

• XR511 – поддержка сессий, инициированный с помощью DHCPv4

• XR522 – добавлена поддержка packet triggered сессий (IPv4 или IPv6)

Поддержка функционала Routed subscribers (L3-connected)

interface Bundle-Ether101.201

vrf vpn1

ipv4 address 192.168.0.1 255.255.255.0

service-policy type control subscriber DUALSTACK_POLICY1

encapsulation dot1q 201 second-dot1q 301

ipsubscriber ipv4 routed

initiator dhcp

!

!

interface Bundle-Ether1.201

ipv4 address 10.15.15.1 255.255.255.0

ipv6 address 2001:15:15::1/64

service-policy type control subscriber PL

encapsulation dot1q 201

ipsubscriber ipv4 routed

initiator unclassified-ip

!

ipsubscriber ipv6 routed

initiator unclassified-ip

!

Аутентификация сессии

19

Способы аутентификации:

Механизмы аутентификации, обеспечиваемые протоколом доступа:

PPP: CHAP/PAP

Transparent Auto Logon (TAL): Аутентификация на основе идентификаторов, извлекаемых непосредственно из абонентского трафика, например: MAC/IP address, DHCP Option 82, DHCP Option60, C-VLAN/S-VLAN, PPPoE Tags ...

Web Logon

Аутентификация не является обязательной процедурой, но используется в

подавляющем большинстве случаев

Аутентификация: доступ к сетевым ресурсам предоставляется только легитимным абонентам

Transparent Auto Logon

20

aaa attribute format USERNAME_FORMAT

format-string “%s:%s:%s@bng.cisco.com” remote-id circuit-id vendor-class-id

<…>

20 authorize aaa list default format USERNAME_FORMAT password <pwd>

<…>

Шаг 1: Определяем формат username (Customizable Username format):

Шаг 2: Указываем шаблон username, используемый для аутентификации

Источники информации для заполнения поля username:• DHCP Option 82• DHCP Option 60• PPPoE Tags (PPPoE Intermediate Agent)• Phy-slot• Phy-subslot• Phy-port• Outer-vlan-id• Inner-vlan-id

Web Logon: функция HTTP redirect

21

ClientInternet WebSite

Web Logon

Portal

HTTP TCP SYN ACK

HTTP TCP SYN

• BNG перехватывает TCP обмен при установке HTTP сессии абонента с веб-сайтом и устанавливает HTTP сессию с абонентом

• BNG возвращает абоненту сообщение HTTP 302 (Redirect), содержащее URL портала оператора

• Клиент устанавливает HTTP сессию напрямую с порталом

• Возможна реализация сервиса уведомления абонента на основе HTTP redirect

HTTP TCP ACK

HTTP GET

HTTP 302 (redirect URL)

HTTP session establishment

Web Logon

Маршрутизация IPoE абонентов

22

Автоматическое добавление маршрута абонента (Subscriber route addition)

•Маршрут /32 (Host route) автоматически добавляется в таблицу маршрутизации после установления сессии (с учетом VRF mapping)

•Маршрут используется для маршрутизации трафика в сторону абонента и выполнения unicast RPF

RP/0/RSP0/CPU0#sh route subscriber

A 10.100.1.1/32 is directly connected, 00:05:37, Bundle-Ether100.101.ip3A 10.100.1.2/32 is directly connected, 00:05:37, Bundle-Ether100.101.ip4A 10.100.1.3/32 is directly connected, 00:04:12, Bundle-Ether110.101.ip2

Динамическое добавление маршрутов (Dynamic route insertion)

• Дополнительный IPv4/IPv6 маршрут добавляется из RADIUS профиля абонента

• При завершении абонентской сессии дополнительный маршрут удаляется из RIB

• Поддерживаются VRF

Cisco:Avpair += "ip:route=vrf vrfv1 10.1.1.0 255.255.255.0 vrf vrfv1 0.0.0.0 4 tag 5”Framed-IPv6-Route += "2000:0:0:106::/64 :: 4 tag 5",

Выбор режима DHCP (Proxy или Server) основываясь на DHCP option

dhcp ipv4

profile DHCP_BASE_PROFILE base

match option 60 49505456 profile DHCP_PROXY_PROFILE proxy

match option 60 564f4950 profile DHCP_SERVER_PROFILE server

default profile DHCP_DEFAULT_PROFILE server

relay information option remote-id REMOTE-ID

relay information authenticate inserted

!

profile DHCP_PROXY_PROFILE proxy

helper-address vrf default 1.1.1.1 giaddr 1.1.1.2

!

profile DHCP_SERVER_PROFILE server

pool IP_ADDRESS_POOL

!

profile DHCP_DEFAULT_PROFILE server

pool DEFAULT_IP_ADDRESS_POOL

!

interface GigabitEthernet0/0/0/0 base profile DHCP_BASE_PROFILE

interface GigabitEthernet0/0/0/0 base information option

format-type circuit-id CIRCUIT-ID

Option 60 - “IPTV”

Option 60 - “VOIP”

Option 60 - “INTERNET”

• Option 60 = “IPTV “Profile – Proxy1

• Option 60 = “VOIP” Profile – Server1

• Option 60 = “INTERNET”Profile – Proxy2

DHCP Server

INTERNET

ASR9K Server/Proxy

Walled GardenOpen Garden

GuestPortal

DHCPServer

Subscriber Policy Layer

Применение политик к абонентской сессии

Walled GardenOpen Garden

GuestPortal

DHCPServer

AAA Server

Subscriber Policy Layer

Dynamic Policy Push(например, сервис “Турбо Кнопка”)

PolicyServer

Application/Service Layer event

Web Portal

Dynamic Policy Pull(например, автоматическое

скачивание сервисного профиля на этапе установки сессии)

Web Portal

PolicyServer

NetworkLayerEvent

AAA Server

Примеры политик

26

Dynamic Template command RADIUS Attribute

Keepalives keepalive <sec> subscriber:keepalive=interval<sec>

Absolute Timeout ppp timeout absolute <sec> session-timeout=<sec>

Idle Timeouttimeout idle value [threshold duration] [traffic {both | inbound | outbound}]

idle-timeout=<sec>

idlethreshold=<mins/pkt>

idle-timeout-direction=<inbound | outbound | both>

Service Activation N/A subscriber:sa=<service-name>

IP address source if ipv4 unnumbered <interface> ipv4:ipv4-unnumbered=<interface>

VRF vrf <vrf name> subscriber:vrf-id=<vrf name>

DHCP class N/Asubscriber:dhcp-class=<dhcpv4-class-name>

subscriber:dhcpv6=<dhcpv6-class-name>

Accounting accounting aaa list <method list> type session subscriber:accounting-list=<method list>

HQoSservice-policy input <in_mqc_name>service-policy output <out_mqc_name>

ip:sub-qos-policy-in=<in_mqc_name>

ip:sub-qos-policy-out=<out_mqc_name>

pQoS N/A

qos-policy-in=add-class(target policy (class-list) qos-actions-list)

qos-policy-in=remove-class(target policy (class-list))

qos-policy-out=add-class(target policy (class-list) qos-actions-list)

qos-policy-out=remove-class(target policy (class-list))

Subscriber ACLs/ABFip access-group <in_acl_name> inip access-group <out_acl_name> out

ipv4:inacl=<in_acl_name>ipv4:outacl=<out_acl_name>

Завершение (разрыв) сессии

27

Только для PPP сессий Только для IP сессий

События протоколов PPP и PPPoX

ppp disconnect; ppp keepalives or L2TP hellos failure

RADIUS PoD

Policy

Manager

RADIUS PoD (Packet Of Disconnect)

DHCP

DHCP Release

или DHCP lease expiry

WebPortal

Web Logoff

RADIUS CoAAccount-Logoff

Универсальные механизмы – IP и PPP сессии

Idle-Timeouts/Timer ExpiryAbsolute или Idle-Timeouts/Timers

Expiry

Рестарт IPoE сессии посредством ”DHCP Lease Proxy”

28

IPoE сессии инициируются только при получении DHCP discover

Однако сессия может быть завершена до истечения DHCP Lease:

CoA Account-Logoff, PoD, CLI, перезагрузка шасси маршрутизатора …

Трафик абонента будет сбрасываться, пока не начнется процесс переполучения IP адреса (до

половины Lease Time)

Client DHCP Server

DHCP Response (Offer/ACK)

DHCP сервер работает с

короткими Lease Time;

повышенная нагрузка на

DHCP

Вариант 1

Уменьшить

Lease Time

на DHCP

сервере

Lease Time = 10 minutes (например)

DHCP renew

exchange(s)

Вариант 2

DHCP Lease

Proxy

DHCP Response (Offer/ACK)

Lease Time = 40 minutesLease Time = 10 minutes

DHCP сервер работает со

стандартными Lease Time

DHCP Proxy на BNG

конвертирует их в

короткие Lease Time для

абонента

DHCP renew

exchange(s)

Рестарт IPoE сессии посредством ”DHCP NAK”

29

IPoE сессии инициируются только при получении DHCP discover

Однако сессия может быть завершена до истечения DHCP Lease:

CoA Account-Logoff, PoD, CLI, перезагрузка шасси маршрутизатора …

Трафик абонента будет сбрасываться, пока не начнется процесс переполучения IP адреса (до

половины Lease Time)

Client

DHCP Server

DHCP NACK

DHCP Request(renew)

DHCP Discover

subscriber session previously removed

DHCP Release

subscriber session recreated

Offer,Request, Ack

RADIUS Server

Access-Request, Access Accept

Regular IPoE Session Bringup!

После получения DHCP renew

BNG отсылает DHCP NAK

заставляя тем самым

запустить процедуру

повторного получения IP

адреса абонентом

DHCP Discover

Функции QoS

Cisco Connect 2017 30

Абонент

Per Subscriber QoS

Policy

PQ2

Порт

Группа абонентов(Access-interface)

BW

H-QoS для абонентской сессии (4 уровня иерархии)

31

• Иерархический QoS для всех абонентов

• 8 очередей на абонента

• Strict Priority очереди

• WRED

• 2R3C policers, иерархический полисинг

• 4-х уровневый H-QOS

• Priority очереди с функцией priority propagation для качественной передачи голоса и видео с минимальными задержками и джиттером

BW

PQ1

Классы трафика абонента

Sub

scribe

r 2

Internet Premium

VoIP

Video

Internet – Best Effort

BW Internet – Best Effort

PQ1 VoIP

Sub

scribe

r 1

Параметризация QoS - pQoS

32

Динамическое создание и модификация MQC политик для абонентских сессий

Создание MQC политик

Добавление/удаление MQC классов и actions в политике

class-map должен быть преднастроен на BNG

Работает через RADIUS

RADIUS CoA Account Update

RADIUS Access-Accept

MQC policy

CoA requestAVPair:”command:account-updateAVPair:“ip:qos-policy-out=add-class(sub, (<class-list>), <qos-actions-list>)

Policy Manager

dynamic-template

type service QOS_GRP1_TPL

service-policy [ input | output ] QOS_GRP1_PM

shared-policy-index GRP1

dynamic-template

type { ppp | ipsubscriber | service } <tmpl_name>

service-policy [ input | output ] <MQC name>

shared-policy-index <spi_name>

Совместные QoS политики - Shared QoS Policy

33

Физический порт

Access-Interface

Сессии абонентов

Совместные QoS политики для разных групп абонентских сессий

• QOS_GRP1_PM политика будет совместной для

всех сессий, у которых активирован сервис

QOS_GRP1_TPL

• Поддерживается модификация политики «на лету»

• Не поддерживается одновременно с:

• pQoS

• Модификация SPI_name в dynamic-templateПолитика должна быть удалена и добавлена вновь

Пример:

Функции Dynamic MQC policy merge и Service Accounting

34

accounting servicepolicy-map VOICE

class VOICEpriority 1police 8k

accounting servicepolicy-map VIDEO

class VIDEOpriority 2police 256k

accounting servicepolicy-map HSI

class HSIshape 1M

+

policy-map MERGEDclass VOICE

priority 1police 8k

class VIDEOpriority 2police 256k

class HSIshape 1M

class-default

AAA

VOICE

VIDEO

HSI

Radius Accountingservice=VOICEbytes in/outpacket in/out

Radius Accounting service=VIDEObytes in/outpacket in/out

Radius Accountingservice=HSIbytes in/outpacket in/out

СервисVOICE

СервисVIDEO

СервисHSI

Активация сервисов по RADIUSRADIUS Access-Accept/CoA Request

AvPair:subscriber:sa=<service name>

Поддержка IPv6 и DS

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35

IPv6 и Dual-Stack сессии

36

IPv4/v6 Dual Stack сессии

Одна сессия абонента

Аутентификация выполняется один раз

Единый Accounting

Счетчики для v4 и v6

Методы назначения v6 адресов

DHCPv6 Сервер

DHCPv6 Proxy

DHCPv6 RADIUS proxy

DHCP v6 NA и PD

Единый VRF для v4 и v6

Интеграция BNG и CGN функционала

VSM модуль для CGN функционала

NAT44 для v4 абонентов

NAT44 для v4 трафика Dual-Stack абонентов

Поддержка DS-Lite AFTR для абонентов DS-Lite

Поддержка функционала QoS, ACL, uRPF, …

Home

Сессия абонента IPv4/v6 Dual Stack

Сессия абонента IPv4

Сессия абонента IPv6

IPv4Internet

CGN

NAT44

IPv6Internet

Инициализация Dual Stack сессий

DS Client AAA

AF1 bring up starts

Access Request

Access Accept

AF1 bring up completes

IP address in AF1 assigned to clientAccounting Start

Accounting Interim (Periodic)

AF1 packet/byte count populatedAF2 bring up starts and completes

Accounting Interim (Triggered)

AF1 and AF2 framed addressesAF1 packet/byte count

AF1 framed-address

Accounting Interim (Periodic)

AF1 and AF2 packet/byte count

Partial call flow. Interaction with other servers such as DHCP are omitted

IP address in AF2 assigned to client

Аутентификация происходит один раз для обоихaddress families• AF1 инициируется первой

Сообщение accounting start посылается один раз после установления первой AF1• Содержит информацию об адресе установленной AF1

Периодические interim accounting сообщения содержат статистику по установленной AF1

Triggered interim accounting посылается в момент инициализации второй AF2• Содержит информацию об адресах обоих AF

Периодические interim accounting сообщения содержат статистику по обоим AF• Для каждой AF и агрегированную статистику

Инициализация Dual Stack сессийЗадержанный Accounting Start

DS Client AAA

AF1 bring up starts

Access Request

Access Accept

AF1 bring up completes

IP address in AF1 assigned to client

Accounting Start

AF1 and AF2 framed addresses

Accounting Interim (Periodic)

AF1 and AF2 packet/byte count

Partial call flow. Interaction with other servers such as DHCP are omitted

IP address in AF2 assigned to client

Accounting Start опционально может быть задержан на определенное время для консолидации информации об обоих AF в одном сообщении

Accounting Start delayedAF2 bring up starts and

completes

type ipsubscriber IPoE_TEMPLATE

vrf ipoe

timeout idle 60

accounting aaa list default type session dual-stack-delay 5

ipv4 unnumbered Loopback10070

ipv6 nd other-config-flag

ipv6 nd managed-config-flag

ipv6 enable

Функции безопасности

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39

Функции безопасности

40

• Unicast Reverse Path Forwarding (uRPF)

Необходимо контролировать IP Source Address при получении трафика от абонентов (входящий трафик)

Исходящий трафик относится к сессии на основе IP DA

IP SA трафика, полученного сессией, должен соответствовать назначенному для этой сессии IP адресу

PPPoE Sessions: MAC + PPP Session ID + IP

IP Sessions: MAC + IP

• Списки доступа (Secure ACL)

ACL могут быть применены к сессии в обоих направлениях

Только для L3 трафика

dynamic-template type { ppp | ipsubscriber |service } <tmpl_name>

ipv4|ipv6 verify unicast source reachable-via rx

Защита Control Plane

42

• Двухуровневая защита от dDOS атак

Первая ступень защиты: IOS XR Control Plane Protection (Local Packet Transport

Services - LPTS)

• Защита на уровне определенного сетевого протокола

Вторая ступень защиты: Адаптивный CoPP

• Интеллектуальная защита для протоколов установления/контроля абонентских сессий (DHCP,

ARP, PPPoE Control Packets) от наиболее агрессивных источников

• Ограничение максимального количества IPoE/PPPoE сессий

• Мониторинг ресурсов (SUBSCRIBER-SESSION-MIB)

• Дополнительно для PPPoE

Throttling неавторизованных сессий

PADO Delay (Задержка отправки ответа)

Control packet priority (CoS маркировка служебных PPPoE фреймов)

SPAN абонентских сессий

46

• SPAN индивидуальных абонентских сессий

• Поддержка всех типов абонентских сессий

• Описание monitor-session в dynamic-template

• Активация dynamic-template через CoA или CLI

• Масштабируемость:

• 800 source interfaces per system

• 100 Local SPAN sessions per system

• 100 source interfaces per session

• Поддерживаемые типы SPAN

• Local SPAN

•Remote SPAN

•PW SPAN

Radius or CoA

Network Analyzer

Subscriber Session

ASR 9000

Internet

SPAN Request via Access-

Accept or RADIUS CoA

CollectionFunction

Packet Data

Резервирование и отказоустойчивость

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47

Резервирование внутри устройства BNG

48

• Link Aggregation (Bundle-Ethernet)

• Выход из строя активного интерфейса – прозрачное переключение текущей сессии на оставшиеся интерфейсы

IP/MPS ядроСеть

доступа

L2 Интернет

VPN

AAA

DHCP

LAG

Stateless резервирование: два шасси

49

• Резервирование для PPPoE сессий в целом проще, чем для IPoE сессий

• Дизайн обязательно должен обеспечивать «симметрию» трафика – трафик от абонента и к абоненту должен проходить через один и тот же BNG

• Для переустановления сессии абонент должен отправить DHCP Discover

• Время переключения определяется величиной Lease Time

• Абонент (как правило) не имеет средств мониторинга состояния IPoEсессии (в отличие от PPPoE)

Истечение Lease Time

DHCP Release

DHCP NAK во время

Address Renew и

Rediscover

процедур

или или

DHCP сервер

Абонент

Home

• Гео-резервирование

• Dual Homing

• Работа как с одним шасси

• Stateful Failover

• Active/active LAG в сторону

доступа и ядра

Aggregation

(MPLS)

КластерFTTXGPONMSANVDSL

Core

BNG

BNG

ASR 9000BNGВиртуальныйКластер

Кластер ASR 9000 nV как единое резервированное BNG устройство

Множество географически разнесенных BNGs

Узлы Доступа (Access Node) (DSLAM/OLT/SW)

CPE

Географическое резервирование на базе XR

51

Transparent SwitchingС точки зрения CPE, BNG – это единое устройство

Различные технологии доступаУзлы доступа подключаются по схеме dual/multi-homingиспользуя различные технологии: MCLAG, Ring (G.8032),PW-HE, др.

Поддержка Stateful режима• Для взаимодействия и синхронизации BNG должны

быть связаны по L3• Поддерживаются режимы: 1:1, N:1 и M:N• Защита активируется в следующих случаях:

Отказ Access-линка Отказ линейной карты Отказ RP Выход из строя шасси Отказ всего сайта

MPLS aggregation Network

Примеры топологий

Core Network Core Network

DHCP server Radius server CoADHCP server Radius server CoA

Sync-up Sync-up

switch

Access node

switch

Access node

Core Network

DHCP server Radius server CoA

Sync-up

Access node

Ethernet access – hub-spoke Ethernet access – ring MPLS access – PW-HE

SRG (Subscriber Redundancy Group)

53

BNG-1

SRG-1(M)

SRG-2(M)

BNG-2

SRG-1(S)

SRG-2(S)Geo-Red

* Запланировано на конец 2017

SRG Redundancy model - 1:1

BNG-1

SRG-1(M)

SRG-3(S)

SRG-2(M)

SRG-4 (S)

BNG-2

SRG-1(S)

SRG-3(M)

SRG-2(S)

SRG-4(M)Geo-Red

TCP based BNG sync-up session

SRG Redundancy model – M:N

BNG-1

SRG-1(M)

SRG-3(S)

SRG-2(M)

SRG-4 (S)

BNG-2

SRG-1(S)

SRG-2(S) Geo-Red

TCP based BNG sync-up session

BNG-2

SRG-3(M)

SRG-4(M)

Geo-Red

Geo-Red

SRG Redundancy model - N:1

BNG-1

SRG-1(M)

SRG-2(M)

BNG-3

SRG-1(S)

SRG-3(M)

SRG-2(S)

SRG-4(M)

Geo-Red

BNG-2SRG-3

(S)SRG-4

(S)

Geo-Red

TCP based BNG sync-up session

Параметры масштабирования и требования к оборудованию, новая модель лицензирования

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57

Требования к аппаратуре для поддержки BNG

58

Шасси: ASR 9001/9001S, 9901*, 9006, 9010ASR 9904, 9906*, 9910, 9912, 9922

RSP: A9K-RSP440-SE, A9K-RSP880-SE, RSP880-LT*, ASR-9900-RP-SE, RP2-SE

Access Facing карты (BNG) Typhoon Service Edge карты: A9K-24X10GE-SE, A9K-40GE-SE, A9K-36X10GE-SE, A9K-MOD80/160-SE

Tomahawk Service Edge карты: A99-8X100GE-SE, A9K-8X100G, A9K-4X100G, A9K-MOD400-SE, A9K-MOD200-SE, A9K-24X10GE-1G-SE, A9K-48X10GE-1G-SE. Поддержка 10G/40G/100G Breakout.

Core Facing карты (Uplink) Любая линейная карта

Поддержка технологии Geo Redundancy Да

Поддержка технологии nV (сателлит) Да

*Запланировано на 2017 год

Параметры масштабирования ASR9000 BNG

* Требуется RSP880/A99-RP/

Типы сессий СейчасВ ближайшей перспективе

IPv4 Only sessions (PPPoE + IPoE) 256k 512k

IPv6 Only sessions (PPPoE + IPoE) 128k 512k

Dual Stack sessions (PPPoE + IPoE) 128k 384k

Sessions/LC ( Min 2 x NPU) 64k128k (Tomahawk)

CPS (N: Number of LC) N x 200 600

Типы сессий 5.3.4 6.2.1В ближайшей перспективе

IPv4 Only sessions (PPPoE + IPoE) 128k 128k 192k

IPv6 Only sessions (PPPoE + IPoE) 64k 128k* 128k

Dual Stack sessions (PPPoE + IPoE) 64k 96k* 128k*

Sessions/LC (Min 2 x NPU) 64k 64k 128k (Tomahawk)

CPS 150 240* 300*

Без использования LAG (обслуживание сессий на LC)

С использованием LAG (обслуживание сессий на RP)

Типы сессий

IPv4 Only sessions (PPPoE + IPoE) 32k

IPv6 Only sessions (PPPoE + IPoE) 16k

Dual Stack sessions (PPPoE + IPoE) 16k

V4 Sessions/NPU/Port / 1 NPU Linecard 32k

CPS 100

ASR-9001 / 9001-S

512K сессий уже в

середине 2017 года!

Advanced SW Licenses

Новая модель лицензирования “Consumption Model”

Commons: Fans, Power, Chassis,Fabric, RP, IOS-XR RTU

Linecards: Reduced

Price

Same Price as

Today

Foundation Software

Metered Per 10G/100G Port

Hardware1 Foundation SW2 Advanced SW Licenses3

BNG License

Optional Advanced SW (also per port)

#CiscoConnectRu#CiscoConnectRu

Спасибо за внимание!Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты: ababayts@cisco.com

Тел.: +7 495 9611410www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia