Gateway Lösungen für redundante Anbindung ans Wissenschaftsnetz X-WiN

Transkript

1 Gateway Lösungen für redundante Anbindung ans Wissenschaftsnetz X-WiN Oliver Faßbender, Steffen Göpel, Henning Irgens 49. Betriebstagung des DFN-Verein e.v. 21./ Monday, October 27, 2008

2 Agenda 1. Übersicht 2. Szenarien redundanter Gateway-Infrastrukturen 3. Anforderungen Ein- bzw. Zwei-Router-Szenarien 4. Security Aspekte 5. Migration bestehender Hardware 6. Hardware-Empfehlungen 7. ASR1000-Router-Series 8. Fragen und Antworten 2

3 Übersicht Redundante Anbindung an das X-WiN! Internet Ab redundante Anbindung der Anschlüsse zum DFN Internet-Dienst X-WiN XR1 Kundenrouter KR Campus d. Anwenders 3

4 Übersicht Redundante Anbindung an das X-WiN! Internet Ab redundante Anbindung der Anschlüsse zum DFN Internet-Dienst XR2 X-WiN XR1 - Zwei Zugangsleitungen: Hauptleitung (mit bisheriger Bandbreite) + Nebenleitung (ca.1/3 Bandbreite der Hauptleitung) Hauptleitung Nebenleitung Kundenrouter KR Ideal: Separate Hauseinführung - Haupt- und Nebenleitung zu unterschiedlichen Kernnetzknoten des X-WiN Campus d. Anwenders 4

5 Übersicht Redundante Anbindung an das X-WiN! Internet Ab redundante Anbindung der Anschlüsse zum DFN Internet-Dienst XR2 X-WiN XR1 - Zwei Zugangsleitungen: Hauptleitung (mit bisheriger Bandbreite) + Nebenleitung (ca.1/3 Bandbreite der Hauptleitung) Backup Hauptleitung Nebenleitung Aktiv! - Haupt- und Nebenleitung zu unterschiedlichen Kernnetzknoten des X-WiN - Wahlweise: Nebenleitung reine Backup -Ltg. Ideal: Separate Hauseinführung KR 2 KR 1 Campus d. Anwenders 5

6 Übersicht Redundante Anbindung an das X-WiN! Internet Ab redundante Anbindung der Anschlüsse zum DFN Internet-Dienst XR2 X-WiN XR1 - Zwei Zugangsleitungen: Hauptleitung (mit bisheriger Bandbreite) + Nebenleitung (ca.1/3 Bandbreite der Hauptleitung) Hauptleitung Nebenleitung X - Haupt- und Nebenleitung zu unterschiedlichen Kernnetzknoten des X-WiN - Wahlweise: Nebenleitung reine Backup -Ltg. (Nutzung nur bei Ausfall der Hauptleitung) Ideal: Separate Hauseinführung KR 2 KR 1 Campus d. Anwenders 6

7 Übersicht Redundante Anbindung an das X-WiN! Internet Ab redundante Anbindung der Anschlüsse zum DFN Internet-Dienst XR2 X-WiN XR1 - Zwei Zugangsleitungen: Hauptleitung (mit bisheriger Bandbreite) + Nebenleitung (ca.1/3 Bandbreite der Hauptleitung) Hauptleitung Nebenleitung Ideal: Separate Hauseinführung KR 2 KR 1 Campus d. Anwenders - Haupt- und Nebenleitung zu unterschiedlichen Kernnetzknoten des X-WiN - Wahlweise: Nebenleitung reine Backup -Ltg. (Nutzung nur bei Ausfall der Hauptleitung) oder ständige Nutzung mit Lastverteilung 7

8 Übersicht Redundante Anbindung an das X-WiN! Internet Ab redundante Anbindung der Anschlüsse zum DFN Internet-Dienst X-WiN XR1 - Zwei Zugangsleitungen: Hauptleitung (mit bisheriger Bandbreite) + Nebenleitung (ca.1/3 Bandbreite der Hauptleitung) - Haupt- und Nebenleitung zu unterschiedlichen Kernnetzknoten des X-WiN + 50% Bandbreite Kundenrouter KR Campus d. Anwenders - Wahlweise: Nebenleitung reine Backup -Ltg. (Nutzung nur bei Ausfall der Hauptleitung) oder ständige Nutzung mit Lastverteilung Alternativ (bei Verzicht auf redundante Anbindung) erhöhte Bandbreite! - Einfache Anbindung : künftig 150% der bisherigen Bandbreite (seit ) 8

9 Szenario 1: Integrierte voll-redundante Lösung Catalyst 650x - voll redundanter Campus-Core-Switch Internet - Realisierung als FE+GE, GE+GE und GE+10GE (Line-Cards) - FW Service Modul kann integriert werden XR2 X-WiN XR1 - weitere Service-Module optional Hauptleitung Nebenleitung Kundenrouter KR Ideal: Separate Hauseinführung Redundanter aufgebauter integrierter Catalyst Switch mit zwei getrennten Line-Card als Gateway zum Wissenschaftsnetz Campus d. Anwenders 1 x Cisco Catalyst

10 Szenario 2: Separate voll-redundante Routerlösung Cisco 76xx - Switching Kapazität 720 Gbps (40 Gigabit/slot) skalierbar bis n x 10Gigabit Ethernet Internet - Realisierung als FE+GE, GE+GE und GE+10GE - FW Service Modul integrierbar Cisco ASR1006 Series Router XR2 X-WiN XR1 - neueste leistungsfähige Hardware, skalierbare Performance bis 10 GB - hohe Verfügbarkeit durch Redundanz (auch SW Redundanz) - IOS Firewall, NBAR, etc durch zusätzliche Feature Lizenzen realisierbar - Cisco In-Service Software Upgrade (ISSU) Support voll redundanter aufgebauter Router mit zwei getrennten Line-Card als Gateway zum Wissenschaftsnetz Hauptleitung Nebenleitung Kundenrouter KR Ideal: Separate Hauseinführung Campus d. Anwenders 1 x Cisco Router ASR 1006 oder 1 x Cisco Router 76xx 10

11 Szenario 3: Die Zwei-Router -Lösung Standardfall: ein Standort - Skaliert über alle Anwender- Kategorien zum DFN-Internet-Dienst Internet - zwei einzelne (nicht voll redundant aufgebaute) Router - Hohe Verfügbarkeit der Gesamtlösung durch zwei separate Systeme XR2 X-WiN XR1 Sonderfall: zwei Standorte - Pro Standort ein Router Hauptleitung Nebenleitung Ideal: Separate Hauseinführung KR 2 - Wichtig: zuverlässige Standortverbindung KR 1 Campus d. Anwenders 2 x Cisco Router ASR

12 Besondere Anforderungen bei der Ein-Router Lösung Wissenschaftsnet z X-WIN ebgp LAN ebgp DFN Kunde - Routingprotokoll ist BGP (Border Gateway Protocol) ebgp (external): X-WIN Kundennetz - Datenflußsteuerung der beiden Leitungen kann unter Verwendung von BGP-Attributen erreicht werden (MED, metric, etc.) - Bestimmung der gewünschten gerouteten Netze durch entsprechende Prefix-Listen (Access- Listen) - Dynamisches Routing-Protokoll (IGP) ins LAN des Kunden vorteilhaft 12

13 Besondere Anforderungen bei der Zwei-Router Lösung ebgp Wissenschaftsnetz X-WIN ebgp - Routingprotokoll ist BGP (Border Gateway Protocol) ebgp (external): X-WIN Kundennetz ibgp (internal): innerhalb Kundennetz - Datenflußsteuerung der beiden Leitungen kann unter Verwendung von BGP-Attributen erreicht werden (MED, metric, etc.) ibgp - Bestimmung der gewünschten gerouteten Netze durch entsprechende Prefix-Listen (Access-Listen) DFN Kunde LAN - Physikalische oder logische Verbindung zwischen den beiden Routern - Dynamisches Routing-Protokoll (IGP) ins LAN des Kunden vorteilhaft 13

14 Security-Aspekte: Firewalls und redundante Gateways 2 x externe Firewalls VLAN B Nebenleitung XWIN VLAN A Hauptleitung DFN-Einrichtung -dedizierte Komponenten für jede Funktion mit gut trennbaren Administrationsverantwortungen -keine Abhängigkeiten zu vorhandenen oder anderen Geräten -komplexes Szenario, viele Verbindungen und Geräte 14

15 Security-Aspekte: Integrierte Firewalls VLAN A VLAN B 2 x Cisco ASR Router Nebenleitung XWIN DFN- Einrichtung Hauptleitung -Multiservice-Komponenten für verschiedene Funktion mit gut trennbaren Administrationsverantwortungen -Komplexität reduziert -Reduzierung der physikalischen Links und Geräte und somit der Ausfallwahrscheinlichkeit 15

16 - Migration Hardware - Zwei-Router Lösung: Vorh. Router weiternutzen? Cisco 26xx Cisco 72xx NPE-200 NPE-300?? Kann der vorhandene Router weiter genutzt werden? generell ja!!!! Wurde der Router zu Zeiten des G-WiN mit ausreichend Reserven dimensioniert? Hat der Router für künftige Bandbreiten- Steigerungen beim Internet Dienst genügend Reserven? Reserven für Prozess-Aufgaben? ACL/FW - Lösung: Vorhandenen Router weiternutzen für den Anschluß d. Nebenleitung (1/3 Bandbreite) - Prüfen: Aktuelles Produkt (nicht Out of Sales), zumindest noch SW-Aktualisierung möglich Alternativ: Den vorhandenen Router bei Neukauf von 2 Routern in Zahlung geben - Cisco Technology Migration Program nutzen 16

17 Aus unserem Vortrag zur 45.DFN-BT (Okt. 2006): X-WiN Kundenrouter: Referenzsysteme Übersicht Referenzmodelle CISCO Router 7609 CISCO Router 7204VXR z.b. Cisco 18xx 28xx ISR empf. z.b.cisco 28xx 38xx ISR empf. 2M 10M 34M 100M 155M 300M 1G 2,4G 10G 17

18 Hardware - Empfehlung Kundenrouter im X-WiN (Einsatz bei 10M - 30G) Neues Referenzmodell Cisco 7606 Cisco 7609 Cisco 720xVXR ASR 1002 ASR 1006 Cisco 2821/51 NPE-400 NPE-G1 -G2 18

19 ASR 1000 Produkt Familie Cisco ASR 1000 Series 19

20 ASR 1000 Series Routers Leistungsstarke, kompakte Aggregation Routers ASR 1002 ASR 1004 ASR SPA Slots 5 10 Gbps Modularer Embedded Services Processor (ESP) Software Redundanz 4-port integriete GE ports Gbps 8 SPA Slots Modularer ESP & RP Software Redundanz Gbps 12 SPA Slots Modularer ESP & RP Hardware Redundanz 20

21 Cisco ASR1002 Router integrierter RP1 und SIP integrierte 4 x GE ports modulare ESP-5G und ESP-10G MultiCore CPU s (z.b. Multi-Gig IOS FW; QFP Quantum Flow Processor) redundante Netzteile optional SW-Redundanz (extra Feature Lizenz), auch In-Service Software Upgrade (ISSU) Support optional IOS Firewall, NBAR und FPM (Flexible Packet Matching) (extra Feature Lizenz) große Vielzahl von Ethernet und WAN Interface-Karten (SPAs) 21

22 ASR 1000 Zone-Policy Firewall IOS FW in einem Router mit Multigigabit Bandbreite IOS Firewall auf allen Interfaces unterstützt Keine Servicemodule notwendig 18xx IPsec Zone 38xx Z-Pair Policy GigE / 10GigE / POS/ATM/FR IOS ZPF uses CPL for: L4, L7 (HTTP, IM, P2P ), Self, URL Filter, DOS Params & more Gesamte FW läuft im QFP (bis 5/10Gbps) Vlan 150 Private Zone Vlan 160 High-Speed Logging (40K/sec) via NetFlow v9 2 Millionen pps mit allen Grundservices + FW aktiviert DMZ Zone HTTP Internet DNS Zone 22

23 Cisco ASR 1000 Series Security Bundles License VPN Bundle FPI Bundle Security Bundle Security + HA Bundle VPN License QFP Up to 3 Gbps IPsec (ESP-10G) DMVPN, Easy VPN Hardware QoS and IP Multicast IPsec Stateful Failover Firewall License Up to 10 Gbps Zone Firewall (ESP- 10G) Firewall Stateful Failover FPI License NBAR FPM (Flexible Packet Matching) QFP High Availability License* Software Resiliency Hardware Redundancy Infrastructure Security (non-licensed) NetFlow Source-Based RTBH Control Plane Protection * IOS Software redundancy license for ASR 1002/1004; Dual RP/ESP for ASR

24 Fragen und Antworten Q & A Touch Cisco - Webinare für Kunden - Routing neu erfunden - ASR 1000 Donnerstag, 6. November :00 Uhr 24