Алексей Бабайцев Системный инженер

1. Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

2. Особенности
реализации
функционала BNG на
ASR9000
Алексей Бабайцев
Системный инженер
© 2017 Cisco and/or its affiliates. All rights reserved.

3. О чем пойдет речь?
• Введение
• Размещение на сети
• Работа с абонентскими сессиями
• Функции QoS
• Поддержка IPv6
• Функции безопасности
• Резервирование и отказоустойчивость
• Требования к оборудованию и масштабируемость
• Лицензирование
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3

4. Основные тенденции ШПД
Облачные
приложения
Облачные
сервисы требуют
наличия
скоростного и
надежного ШПД
доступа
Повсеместный
Internetдоступ
Быстрый и
надежный доступ
в интернет в
любом месте
IPTraffic
Ожидается
трехкратный рост
IP трафика к 2020
году до 2.3
зеттабайт в год
Партнерствос
OTTоператорами
Рост ОТТ трафика
требует
выстраивания
партнерских
отношений с ОТТ
операторами и
поиска новых путей
монетизации
M2M
Триллионы
новых
подключений
“connected
events” в течении
ближайшего
десятилетия
http://www.cisco.com/c/en/us/solutions/service-provider/visual-networking-index-vni/index.html

5. Ключевые особенности Cisco BNG на базе XR
Topology independent
Geo-Redundancy
Residential, Enterprise,
FMC, LMA Lowest TCO
nV Support
LC Based Subscribers
9001 to 9922
A Solution for every need
XR BNG
Высокая плотность портов
Поддержка карт 800Gbps/слот
NCS5000 в качестве port-extender
Geo Redundancy в режиме 1:1, M:N,
N:1
BNG Высокая надежность
Pay as You Grow
Гибкая модель лицензирования
абонентских сессий
Лицензирование портов
Программируемость
Data Model Based API’s
Telemetry driven analytics
Network-wide manageability
PCRF
PMIPv6
RADIUS
NASREQ
250+ Заказчиков, 70M+ Абонентов

6. Эволюция архитектуры Cisco BNG
*Total Fabric BW
XR BNG – Choicest Subscriber Platform across all architectures
Any Transport
Support
Horizontal / Vertical
Scaling
Automation Support
Unified
Arcitecture
Strong Analytics/
Manageability
True Geo-
Redundancy
Физическое устройство
xDSL
Fiber
Operator Backend
OCS HLR AAA CGF PCRF
Aggregation Fixed
Edge
Виртуализация функционала BNG
Fiber
DPI CGN CDNServices
CORE
Automation
Analysis
Flexibility
Scale
Разнесение Data Plane и Control Plane
Scalable Control PlaneAccess N/W
xDSL
Operator Backend
OCS HLR AAA CGF PCRF
XRv9000
Farm
CORE
Extensible Data Plane
DPI CGN CDNServices
• Поддержка PPPoE/IPoE
• Высокая масштабируемость сессий
• Географическое резервирование
• Ограниченный скейлинг Control Plane
• Недостаточная гибкость
• Неограниченный скейлинг Control
Plane
• Неограниченный скейлинг Data Plane
• Network Wide Solution View
• Высокая степень расширяемости
• Высокая степень расширяемости
• Программируемая сеть
• Интеграция с дополнительными
сервисами
• Возможности миграции

7. XR BNG Family
Производительность и Масштабируемость
Поддержка IPoE/PPPoE
Производительность BNG 800Gbps/Slot
Географическое резервирование
Программируемость/API
Семейство ASR9K
Fixed 2RU
240 Gbps
2 LC/6RU
16 Tbps
8 LC/21RU
14 Tbps
10 LC/30RU
80 Tbps
20 LC/44RU
160 Tbps
4 LC/10RU
7 Tbps
ASR 9904
ASR 9001
ASR 9006
ASR 9010
ASR 9912
ASR 9922
nV Satellites
ASR 9000v, NCS5000
8 LC/21RU
64 Tbps
ASR 9910
4 LC/14RU
32 Tbps
ASR 9906
Target 7/2017
ASR 9901
Target 12/2017
Поставляется
с 2011

8. XR BNG Family
Поддержка IPoE/PPPoE
24-32k сессий/VM
Гибкие возможности по миграции
Гео-резервирование в гибридном режиме (vBNG+pBNG)
XRv9000
24-32k сессий / VM
Common northbound interfaces
Consistent manageability look and feel
Архитектура на базе X86
Increase Scale/Throughput with VM scale
IOS XRv 9000 vBNG
ESC & Openstack Orchestrated
Access /
Aggregation
Запланировано
на середину
СY17

9. Размещение на сети
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9

10. xDSL
Fiber
WiFi
Cable
Distributed Centralized
AAA PCRFPortal
Diameter Radius
BNG
DHCP
PPPoE AAA
V4/v6
Prepaid
Размещение BNG на сети оператора
10
DHCP
Идентификация абонента
Аутентификация
Определение политик и их назначение
Динамическое обновление политик или назначение
новых
BNG взаимодействует с сопутствующими
системами для обеспечения жизненного
цикла абонента.
Централизованная или Распределенная модель
агрегации
Физическое либо виртуализированное* решение
Различные режимы использования
HQoS

11. NCS 5001/5002
ASR9000v
Использование Satellite в
связке с ASR9000/BNG
MC-LAG on the Host
NCS5k
CE
NCS5k
ASR9K
BNG
ASR9K
BNG
nV Dual Head for BNG
Access
NCS5kCE
ASR9K
BNG
ASR9K
BNG
• Связка satellite + ASR9K воспринимаются
как одно шасси
• Satellite работает в качестве линейной
карты для ASR 9000
• Высокая доступность
• Высокая масштабируемость 10GE/100GE
портов для подключение сетей
агрегации/доступа
• Упрощение топологии

12. Работа с абонентскими сессиями
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13

13. Основные функции BNG
14
Идентификация
абонента
Аутентификация
и авторизация
абонента
Управление IP
адресами
G0/1.10
Создание виртуальной
конструкции – сессии абонента
G0/1.10
Вася
Олег
Петя
Вася
Олег
Петя
Абоненты: Вася,
Олег и Петя.
Вася и Олег –
Интернет-доступ,
Петя - VoIP сервис
На интерфейсе G0/1.10
подключено 3 абонента
G0/1.10
Вася
Вася
Олег
Петя
IP адреса абонентов:
10.1.1.10 Вася
10.1.1.20 Олег
10.1.1.30 ПетяОлег
Аутентифицировать абонента и
назначить ему индивидуальные
политики обслуживания
10.1.1.30
10.1.1.20
10.1.1.10
Назначить каждому абоненту
уникальный адрес (возможно из
разных пулов)
Петя
Динамическое
управление
политиками
G0/1.10
Вася
Олег
Олег
Динамическое изменение
списка доступных услуг
Петя
Включить
услугу VoIP
для Олега

14. Инициация динамических сессий
Сессии инициируются по проявлению активности абонента – First Sign of Life (FSOL)
Для сессий разных типов возможны разные FSOL
Поддерживается нескольких сессий для одного MAC адреса в разных VLAN (XR5.1.0)
15
PPP сессии
PPPoE Call Request (PADx)
 Получение PADI сообщения
 Session-start event
 Трафик абонента идентифицируется по
MAC + PPP session ID
IP сессии
 Получение DHCP Discover сообщения
 Session-start event
 Трафик абонента идентифицируется по MAC адресу
 BNG должен являться DHCP Proxy (или DHCP server)
 DHCP proxy = DHCP relay который:
1. создает и поддерживает DHCP bindings
2. «Притворяется» DHCP сервером для абонента
DHCP Discover
Data Traffic
Unclassified MAC
 Трафик абонента идентифицируется по MAC адресу
 Нет средств мониторинга состояния сессии (нет DHCP обмена),
завершение сессии должно быть через RADIUS CoA, из CLI или
по idle-timeout

15.  Поддержка функционала Ambiguous VLANs
 Динамическое создание множества абонентских VLAN
для 1:1 (C-VLAN) модели агрегации
 Поддержка сценариев PPPoE и IPoE
 VLAN создается при проявлении активности абонента -
First Sign of Life (PPPoE PADI, DHCP Discover)
Динамическое создание VLAN
16
Физический
интерфейс
Родительский интерфейс
S-VLAN
C-VLAN
диапазон
S-VLAN
Пример 1:
interface Bundle-Ether100.10
encapsulation ambiguous dot1q 100 second-dot1q any
Пример 2:
interface Bundle-Ether100.10
encapsulation ambiguous dot1q 202 second-dot1q 1-4094

16. Поддержка Static session – начиная с XR511
Статическая сессия создаваемая на access-интерфейсе:
• Воспринимает весь трафик проходящий через VLAN sub-interface как одну сессию
• Доступны все опции, как и для обычной сессии: AAA, COA и др.
• Сессия создается сразу после создания статической конфигурации на sub-интерфейсе
• Удаление сессии осуществляется посредством удаления соответствующей конфигурации
Interface BundleEther1.1 <- Access Interface
Service-policy type control subscriber STATIC_POLICY1
ipv4 address 10.1.1.1 255.255.0.0
encapsulation dot1q 1
ip subscriber interface <- Command triggers creation of static session

17. • Начиная с XR511 появилась поддержка L3-
connected абонентов, которые идентифицируются
по IP адресу (IPv4 или IPv6).
• XR511 – поддержка сессий, инициированный с
помощью DHCPv4
• XR522 – добавлена поддержка packet triggered
сессий (IPv4 или IPv6)
Поддержка функционала Routed subscribers (L3-connected)
interface Bundle-Ether101.201
vrf vpn1
ipv4 address 192.168.0.1 255.255.255.0
service-policy type control subscriber DUALSTACK_POLICY1
encapsulation dot1q 201 second-dot1q 301
ipsubscriber ipv4 routed
initiator dhcp
!
!
interface Bundle-Ether1.201
ipv4 address 10.15.15.1 255.255.255.0
ipv6 address 2001:15:15::1/64
service-policy type control subscriber PL
encapsulation dot1q 201
ipsubscriber ipv4 routed
initiator unclassified-ip
!
ipsubscriber ipv6 routed
initiator unclassified-ip
!

18. Аутентификация сессии
19
Способы аутентификации:
Механизмы аутентификации, обеспечиваемые
протоколом доступа:
PPP: CHAP/PAP
Transparent Auto Logon (TAL):
Аутентификация на основе идентификаторов,
извлекаемых непосредственно из абонентского трафика,
например: MAC/IP address, DHCP Option 82, DHCP Option
60, C-VLAN/S-VLAN, PPPoE Tags ...
Web Logon
Аутентификация не является обязательной процедурой, но используется в
подавляющем большинстве случаев
Аутентификация: доступ к сетевым ресурсам предоставляется только легитимным абонентам

19. Transparent Auto Logon
20
aaa attribute format USERNAME_FORMAT
format-string “%s:%s:%s@bng.cisco.com” remote-id circuit-id vendor-class-id
<…>
20 authorize aaa list default format USERNAME_FORMAT password <pwd>
<…>
Шаг 1: Определяем формат username (Customizable Username format):
Шаг 2: Указываем шаблон username, используемый для аутентификации
Источники информации для заполнения поля username:
• DHCP Option 82
• DHCP Option 60
• PPPoE Tags (PPPoE Intermediate Agent)
• Phy-slot
• Phy-subslot
• Phy-port
• Outer-vlan-id
• Inner-vlan-id

20. Web Logon: функция HTTP redirect
21
Client
Internet
WebSite
Web Logon
Portal
HTTP TCP SYN ACK
HTTP TCP SYN
• BNG перехватывает TCP обмен при установке HTTP сессии абонента с веб-сайтом и
устанавливает HTTP сессию с абонентом
• BNG возвращает абоненту сообщение HTTP 302 (Redirect), содержащее URL портала оператора
• Клиент устанавливает HTTP сессию напрямую с порталом
• Возможна реализация сервиса уведомления абонента на основе HTTP redirect
HTTP TCP ACK
HTTP GET
HTTP 302 (redirect URL)
HTTP session establishment
Web Logon

21. Маршрутизация IPoE абонентов
22
Автоматическое добавление маршрута абонента (Subscriber route addition)
•Маршрут /32 (Host route) автоматически добавляется в таблицу маршрутизации после
установления сессии (с учетом VRF mapping)
•Маршрут используется для маршрутизации трафика в сторону абонента и выполнения
unicast RPF
RP/0/RSP0/CPU0#sh route subscriber
A 10.100.1.1/32 is directly connected, 00:05:37, Bundle-Ether100.101.ip3
A 10.100.1.2/32 is directly connected, 00:05:37, Bundle-Ether100.101.ip4
A 10.100.1.3/32 is directly connected, 00:04:12, Bundle-Ether110.101.ip2
Динамическое добавление маршрутов (Dynamic route insertion)
• Дополнительный IPv4/IPv6 маршрут добавляется из RADIUS профиля абонента
• При завершении абонентской сессии дополнительный маршрут удаляется из RIB
• Поддерживаются VRF
Cisco:Avpair += "ip:route=vrf vrfv1 10.1.1.0 255.255.255.0 vrf vrfv1 0.0.0.0 4 tag 5”
Framed-IPv6-Route += "2000:0:0:106::/64 :: 4 tag 5",

22. Выбор режима DHCP (Proxy или Server) основываясь
на DHCP option
dhcp ipv4
profile DHCP_BASE_PROFILE base
match option 60 49505456 profile DHCP_PROXY_PROFILE proxy
match option 60 564f4950 profile DHCP_SERVER_PROFILE server
default profile DHCP_DEFAULT_PROFILE server
relay information option remote-id REMOTE-ID
relay information authenticate inserted
!
profile DHCP_PROXY_PROFILE proxy
helper-address vrf default 1.1.1.1 giaddr 1.1.1.2
!
profile DHCP_SERVER_PROFILE server
pool IP_ADDRESS_POOL
!
profile DHCP_DEFAULT_PROFILE server
pool DEFAULT_IP_ADDRESS_POOL
!
interface GigabitEthernet0/0/0/0 base profile DHCP_BASE_PROFILE
interface GigabitEthernet0/0/0/0 base information option
format-type circuit-id CIRCUIT-ID
Option 60 - “IPTV”
Option 60 - “VOIP”
Option 60 - “INTERNET”
• Option 60 = “IPTV “
Profile – Proxy1
• Option 60 = “VOIP”
Profile – Server1
• Option 60 = “INTERNET”
Profile – Proxy2
DHCP Server
INTERNET
ASR9K Server/Proxy

23. Walled GardenOpen Garden
Guest
Portal
DHCP
Server
Subscriber Policy Layer
Применение политик к абонентской сессии
Walled GardenOpen Garden
Guest
Portal
DHCP
Server
AAA
Server
Subscriber Policy Layer
Dynamic Policy Push
(например, сервис “Турбо Кнопка”)
Policy
Server
Application/
Service Layer event
Web
Portal
Dynamic Policy Pull
(например, автоматическое
скачивание сервисного профиля
на этапе установки сессии)
Web
Portal
Policy
Server
Network
Layer
Event
AAA
Server

24. Примеры политик
26
Dynamic Template command RADIUS Attribute
Keepalives keepalive <sec> subscriber:keepalive=interval<sec>
Absolute Timeout ppp timeout absolute <sec> session-timeout=<sec>
Idle Timeout
timeout idle value [threshold duration]
[traffic {both | inbound | outbound}]
idle-timeout=<sec>
idlethreshold=<mins/pkt>
idle-timeout-direction=<inbound | outbound | both>
Service Activation N/A subscriber:sa=<service-name>
IP address source if ipv4 unnumbered <interface> ipv4:ipv4-unnumbered=<interface>
VRF vrf <vrf name> subscriber:vrf-id=<vrf name>
DHCP class N/A
subscriber:dhcp-class=<dhcpv4-class-name>
subscriber:dhcpv6=<dhcpv6-class-name>
Accounting accounting aaa list <method list> type session subscriber:accounting-list=<method list>
HQoS
service-policy input <in_mqc_name>
service-policy output <out_mqc_name>
ip:sub-qos-policy-in=<in_mqc_name>
ip:sub-qos-policy-out=<out_mqc_name>
pQoS N/A
qos-policy-in=add-class(target policy (class-list) qos-actions-list)
qos-policy-in=remove-class(target policy (class-list))
qos-policy-out=add-class(target policy (class-list) qos-actions-list)
qos-policy-out=remove-class(target policy (class-list))
Subscriber ACLs/ABF
ip access-group <in_acl_name> in
ip access-group <out_acl_name> out
ipv4:inacl=<in_acl_name>
ipv4:outacl=<out_acl_name>

25. Завершение (разрыв) сессии
27
Только для PPP сессий Только для IP сессий
События протоколов PPP и PPPoX
ppp disconnect; ppp keepalives or L2TP
hellos failure
RADIUS PoD
Policy
Manager
RADIUS PoD (Packet Of Disconnect)
DHCP
DHCP Release
или DHCP lease
expiry
Web
Portal
Web Logoff
RADIUS CoA
Account-Logoff
Универсальные механизмы – IP и PPP сессии
Idle-Timeouts/Timer Expiry
Absolute или Idle-Timeouts/Timers
Expiry

26. Рестарт IPoE сессии посредством ”DHCP Lease Proxy”
28
 IPoE сессии инициируются только при получении DHCP discover
 Однако сессия может быть завершена до истечения DHCP Lease:
CoA Account-Logoff, PoD, CLI, перезагрузка шасси маршрутизатора …
 Трафик абонента будет сбрасываться, пока не начнется процесс переполучения IP адреса (до
половины Lease Time)
Client DHCP Server
DHCP Response (Offer/ACK)
DHCP сервер работает с
короткими Lease Time;
повышенная нагрузка на
DHCP
Вариант 1
Уменьшить
Lease Time
на DHCP
сервере
Lease Time = 10 minutes (например)
DHCP renew
exchange(s)
Вариант 2
DHCP Lease
Proxy
DHCP Response (Offer/ACK)
Lease Time = 40 minutesLease Time = 10 minutes
DHCP сервер работает со
стандартными Lease Time
DHCP Proxy на BNG
конвертирует их в
короткие Lease Time для
абонента
DHCP renew
exchange(s)

27. Рестарт IPoE сессии посредством ”DHCP NAK”
29
 IPoE сессии инициируются только при получении DHCP discover
 Однако сессия может быть завершена до истечения DHCP Lease:
CoA Account-Logoff, PoD, CLI, перезагрузка шасси маршрутизатора …
 Трафик абонента будет сбрасываться, пока не начнется процесс переполучения IP адреса (до
половины Lease Time)
Client
DHCP Server
DHCP NACK
DHCP Request(renew)
DHCP Discover
subscriber session
previously removed
DHCP Release
subscriber session
recreated
Offer,Request, Ack
RADIUS
Server
Access-Request, Access Accept
Regular IPoE Session Bringup!
После получения DHCP renew
BNG отсылает DHCP NAK
заставляя тем самым
запустить процедуру
повторного получения IP
адреса абонентом
DHCP Discover

28. Функции QoS
Cisco Connect 2017 30

29. Абонент
Per Subscriber QoS
Policy
PQ2
Порт
Группа
абонентов
(Access-
interface)
BW
H-QoS для абонентской сессии (4 уровня иерархии)
31
• Иерархический QoS для всех
абонентов
• 8 очередей на абонента
• Strict Priority очереди
• WRED
• 2R3C policers, иерархический
полисинг
• 4-х уровневый H-QOS
• Priority очереди с функцией
priority propagation для
качественной передачи голоса
и видео с минимальными
задержками и джиттером
BW
PQ1
Классы
трафика
абонента
Subscriber2
Internet Premium
VoIP
Video
Internet – Best Effort
BW Internet – Best Effort
PQ1 VoIP
Subscriber1

30. Параметризация QoS - pQoS
32
Динамическое создание и модификация MQC политик для абонентских сессий
 Создание MQC политик
 Добавление/удаление MQC классов и actions в политике
 class-map должен быть преднастроен на BNG
Работает через RADIUS
 RADIUS CoA Account Update
 RADIUS Access-Accept
MQC policy
CoA request
AVPair:”command:account-update
AVPair:“ip:qos-policy-out=add-class(sub, (<class-list>),
<qos-actions-list>)
Policy Manager

31. dynamic-template
type service QOS_GRP1_TPL
service-policy [ input | output ] QOS_GRP1_PM
shared-policy-index GRP1
dynamic-template
type { ppp | ipsubscriber | service } <tmpl_name>
service-policy [ input | output ] <MQC name>
shared-policy-index <spi_name>
Совместные QoS политики - Shared QoS Policy
33
Физический порт
Access-Interface
Сессии абонентов
Совместные QoS политики для
разных групп абонентских
сессий
• QOS_GRP1_PM политика будет совместной для
всех сессий, у которых активирован сервис
QOS_GRP1_TPL
• Поддерживается модификация политики «на лету»
• Не поддерживается одновременно с:
• pQoS
• Модификация SPI_name в dynamic-template
Политика должна быть удалена и добавлена вновь
Пример:

32. Функции Dynamic MQC policy merge и Service Accounting
34
accounting service
policy-map VOICE
class VOICE
priority 1
police 8k
accounting service
policy-map VIDEO
class VIDEO
priority 2
police 256k
accounting service
policy-map HSI
class HSI
shape 1M
+
policy-map MERGED
class VOICE
priority 1
police 8k
class VIDEO
priority 2
police 256k
class HSI
shape 1M
class-default
AAA
VOICE
VIDEO
HSI
Radius Accounting
service=VOICE
bytes in/out
packet in/out
Radius Accounting
service=VIDEO
bytes in/out
packet in/out
Radius Accounting
service=HSI
bytes in/out
packet in/out
Сервис
VOICE
Сервис
VIDEO
Сервис
HSI
Активация сервисов по RADIUS
RADIUS Access-Accept/CoA Request
AvPair:subscriber:sa=<service name>

33. Поддержка IPv6 и DS
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35

34. IPv6 и Dual-Stack сессии
36
IPv4/v6 Dual Stack сессии
Одна сессия абонента
Аутентификация выполняется один раз
Единый Accounting
Счетчики для v4 и v6
Методы назначения v6 адресов
DHCPv6 Сервер
DHCPv6 Proxy
DHCPv6 RADIUS proxy
DHCP v6 NA и PD
Единый VRF для v4 и v6
Интеграция BNG и CGN функционала
VSM модуль для CGN функционала
NAT44 для v4 абонентов
NAT44 для v4 трафика Dual-Stack абонентов
Поддержка DS-Lite AFTR для абонентов DS-
Lite
Поддержка функционала QoS, ACL, uRPF, …
Home
Сессия абонента
IPv4/v6 Dual Stack
Сессия абонента
IPv4
Сессия абонента
IPv6
IPv4
Internet
CGN
NAT44
IPv6
Internet

35. Инициализация Dual Stack сессий
DS Client AAA
AF1 bring up starts
Access Request
Access Accept
AF1 bring up completes
IP address in AF1 assigned to client
Accounting Start
Accounting Interim (Periodic)
AF1 packet/byte count populatedAF2 bring up starts and
completes
Accounting Interim (Triggered)
AF1 and AF2 framed addresses
AF1 packet/byte count
AF1 framed-address
Accounting Interim (Periodic)
AF1 and AF2 packet/byte count
Partial call flow. Interaction with other servers such as DHCP are omitted
IP address in AF2 assigned to client
Аутентификация происходит один раз для обоих
address families
• AF1 инициируется первой
Сообщение accounting start посылается один раз
после установления первой AF1
• Содержит информацию об адресе установленной AF1
Периодические interim accounting сообщения
содержат статистику по установленной AF1
Triggered interim accounting посылается в момент
инициализации второй AF2
• Содержит информацию об адресах обоих AF
Периодические interim accounting сообщения
содержат статистику по обоим AF
• Для каждой AF и агрегированную статистику

36. Инициализация Dual Stack сессий
Задержанный Accounting Start
DS Client AAA
AF1 bring up starts
Access Request
Access Accept
AF1 bring up completes
IP address in AF1 assigned to client
Accounting Start
AF1 and AF2 framed addresses
Accounting Interim (Periodic)
AF1 and AF2 packet/byte count
Partial call flow. Interaction with other servers such as DHCP are omitted
IP address in AF2 assigned to client
Accounting Start опционально может
быть задержан на определенное
время для консолидации информации
об обоих AF в одном сообщении
Accounting Start
delayedAF2 bring up starts and
completes
type ipsubscriber IPoE_TEMPLATE
vrf ipoe
timeout idle 60
accounting aaa list default type session dual-stack-delay 5
ipv4 unnumbered Loopback10070
ipv6 nd other-config-flag
ipv6 nd managed-config-flag
ipv6 enable

37. Функции безопасности
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39

38. Функции безопасности
40
• Unicast Reverse Path Forwarding (uRPF)
Необходимо контролировать IP Source Address при получении трафика от
абонентов (входящий трафик)
Исходящий трафик относится к сессии на основе IP DA
IP SA трафика, полученного сессией, должен соответствовать назначенному для
этой сессии IP адресу
PPPoE Sessions: MAC + PPP Session ID + IP
IP Sessions: MAC + IP
• Списки доступа (Secure ACL)
 ACL могут быть применены к сессии в обоих направлениях
 Только для L3 трафика
dynamic-template type { ppp | ipsubscriber |service } <tmpl_name>
ipv4|ipv6 verify unicast source reachable-via rx

39. Защита Control Plane
42
• Двухуровневая защита от dDOS атак
Первая ступень защиты: IOS XR Control Plane Protection (Local Packet Transport
Services - LPTS)
• Защита на уровне определенного сетевого протокола
Вторая ступень защиты: Адаптивный CoPP
• Интеллектуальная защита для протоколов установления/контроля абонентских сессий (DHCP,
ARP, PPPoE Control Packets) от наиболее агрессивных источников
• Ограничение максимального количества IPoE/PPPoE сессий
• Мониторинг ресурсов (SUBSCRIBER-SESSION-MIB)
• Дополнительно для PPPoE
Throttling неавторизованных сессий
PADO Delay (Задержка отправки ответа)
Control packet priority (CoS маркировка служебных PPPoE фреймов)

40. SPAN абонентских сессий
46
• SPAN индивидуальных абонентских сессий
• Поддержка всех типов абонентских сессий
• Описание monitor-session в dynamic-template
• Активация dynamic-template через CoA или CLI
• Масштабируемость:
• 800 source interfaces per system
• 100 Local SPAN sessions per system
• 100 source interfaces per session
• Поддерживаемые типы SPAN
• Local SPAN
•Remote SPAN
•PW SPAN
Radius or CoA
Network
Analyzer
Subscriber
Session
ASR 9000
Internet
SPAN
Request via Access-
Accept or RADIUS CoA
Collection
Function
Packet Data

41. Резервирование и отказоустойчивость
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47

42. Резервирование внутри устройства BNG
48
• Link Aggregation (Bundle-Ethernet)
• Выход из строя активного интерфейса – прозрачное переключение текущей
сессии на оставшиеся интерфейсы
IP/MPS ядроСеть
доступа
L2 Интернет
VPN
AAA
DHCP
LAG

43. Stateless резервирование: два шасси
49
• Резервирование для PPPoE сессий в целом проще, чем для IPoE сессий
• Дизайн обязательно должен обеспечивать «симметрию» трафика – трафик
от абонента и к абоненту должен проходить через один и тот же BNG
• Для переустановления сессии абонент должен отправить DHCP Discover
• Время переключения определяется величиной Lease Time
• Абонент (как правило) не имеет средств мониторинга состояния IPoE
сессии (в отличие от PPPoE)
Истечение
Lease Time
DHCP
Release
DHCP NAK во время
Address Renew и
Rediscover
процедур
или или
DHCP сервер
Абонент

44. Home
• Гео-резервирование
• Dual Homing
• Работа как с одним шасси
• Stateful Failover
• Active/active LAG в сторону
доступа и ядра
Aggregation
(MPLS)
Кластер
FTTX
GPON
MSAN
VDSL
Core
BNG
BNG
ASR 9000
BNG
Виртуальный
Кластер
Кластер ASR 9000 nV как единое резервированное
BNG устройство

45. Множество географически разнесенных BNGs
Узлы Доступа (Access Node) (DSLAM/OLT/SW)
CPE
Географическое резервирование на базе XR
51
Transparent Switching
С точки зрения CPE, BNG – это единое устройство
Различные технологии доступа
Узлы доступа подключаются по схеме dual/multi-homing
используя различные технологии: MCLAG, Ring (G.8032),
PW-HE, др.
Поддержка Stateful режима
• Для взаимодействия и синхронизации BNG должны
быть связаны по L3
• Поддерживаются режимы: 1:1, N:1 и M:N
• Защита активируется в следующих случаях:
 Отказ Access-линка
 Отказ линейной карты
 Отказ RP
 Выход из строя шасси
 Отказ всего сайта

46. MPLS aggregation
Network
Примеры топологий
Core Network Core Network
DHCP server Radius server CoADHCP server Radius server CoA
Sync-up Sync-up
switch
Access node
switch
Access node
Core Network
DHCP server Radius server CoA
Sync-up
Access node
Ethernet access – hub-spoke Ethernet access – ring MPLS access – PW-HE

47. SRG (Subscriber Redundancy Group)
53
BNG-1
SRG-1
(M)
SRG-2
(M)
BNG-2
SRG-1
(S)
SRG-2
(S)Geo-Red
* Запланировано на конец 2017

48. SRG Redundancy model - 1:1
BNG-1
SRG-1
(M)
SRG-3
(S)
SRG-2
(M)
SRG-4
(S)
BNG-2
SRG-1
(S)
SRG-3
(M)
SRG-2
(S)
SRG-4
(M)Geo-Red
TCP based BNG sync-up session

49. SRG Redundancy model – M:N
BNG-1
SRG-1
(M)
SRG-3
(S)
SRG-2
(M)
SRG-4
(S)
BNG-2
SRG-1
(S)
SRG-2
(S) Geo-Red
TCP based BNG sync-up session
BNG-2
SRG-3
(M)
SRG-4
(M)
Geo-Red
Geo-Red

50. SRG Redundancy model - N:1
BNG-1
SRG-1
(M)
SRG-2
(M)
BNG-3
SRG-1
(S)
SRG-3
(M)
SRG-2
(S)
SRG-4
(M)
Geo-Red
BNG-2
SRG-3
(S)
SRG-4
(S)
Geo-Red
TCP based BNG sync-up session

51. Параметры масштабирования и требования к
оборудованию, новая модель лицензирования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57

52. Требования к аппаратуре для поддержки BNG
58
Шасси: ASR 9001/9001S, 9901*, 9006, 9010
ASR 9904, 9906*, 9910, 9912, 9922
RSP: A9K-RSP440-SE, A9K-RSP880-SE, RSP880-LT*, ASR-9900-RP-
SE, RP2-SE
Access Facing карты (BNG) Typhoon Service Edge карты: A9K-24X10GE-SE, A9K-40GE-
SE, A9K-36X10GE-SE, A9K-MOD80/160-SE
Tomahawk Service Edge карты: A99-8X100GE-SE, A9K-
8X100G, A9K-4X100G, A9K-MOD400-SE, A9K-MOD200-SE,
A9K-24X10GE-1G-SE, A9K-48X10GE-1G-SE. Поддержка
10G/40G/100G Breakout.
Core Facing карты (Uplink) Любая линейная карта
Поддержка технологии Geo Redundancy Да
Поддержка технологии nV (сателлит) Да
*Запланировано на 2017 год

53. Параметры масштабирования ASR9000 BNG
* Требуется RSP880/A99-RP/
Типы сессий Сейчас
В ближайшей
перспективе
IPv4 Only sessions (PPPoE + IPoE) 256k 512k
IPv6 Only sessions (PPPoE + IPoE) 128k 512k
Dual Stack sessions (PPPoE + IPoE) 128k 384k
Sessions/LC ( Min 2 x NPU) 64k
128k
(Tomahawk)
CPS (N: Number of LC) N x 200 600
Типы сессий 5.3.4 6.2.1
В ближайшей
перспективе
IPv4 Only sessions (PPPoE + IPoE) 128k 128k 192k
IPv6 Only sessions (PPPoE + IPoE) 64k 128k* 128k
Dual Stack sessions (PPPoE + IPoE) 64k 96k* 128k*
Sessions/LC (Min 2 x NPU) 64k 64k 128k (Tomahawk)
CPS 150 240* 300*
Без использования LAG (обслуживание сессий на LC)
С использованием LAG (обслуживание сессий на RP)
Типы сессий
IPv4 Only sessions (PPPoE + IPoE) 32k
IPv6 Only sessions (PPPoE + IPoE) 16k
Dual Stack sessions (PPPoE + IPoE) 16k
V4 Sessions/NPU/Port / 1 NPU Linecard 32k
CPS 100
ASR-9001 / 9001-S
512K сессий
уже в
середине
2017 года!

54. Advanced SW Licenses
Новая модель лицензирования “Consumption
Model”
Commons:
Fans, Power, Chassis,
Fabric, RP, IOS-XR RTU
Linecards:
Reduced
Price
Same
Price as
Today
Foundation Software
Metered Per
10G/100G Port
Hardware1 Foundation SW2 Advanced SW Licenses3
BNG License
Optional
Advanced SW
(also per port)

55. #CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты: ababayts@cisco.com
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia