Issuu on Google+

УПРАВЛЕНИЕ ШПД ПОДПИСКОЙ НА МАРШРУТИЗАТОРАХ Juniper Networks ________________________________ JUNOS

Никита Попов 25 Ноября 2009 1 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Legal Disclaimer

This statement of product direction sets forth Juniper Networks‘ current intention, and is subject to change at any time without notice. No purchases are contingent upon Juniper Networks delivering any feature or functionality depicted on this statement.

2 | Copyright Š 2009 Juniper Networks, Inc. | www.juniper.net


О чем пойдет речь?! 1

Intelligent Service Edge – Общие замечания

2

Программные компоненты Junos

3

Модели доставки услуг

4

Динамическое управление подпиской (SRC-PE)

5

Вопросы лицензирования

6

Масштабирование

3 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Предпосылки Одно из направлений развития Junos: – Subscriber Management для ШПД

Объединение двух сервисных границ: – Common Edge = BBE + MSE – Одно из основных положений концепции Intelligent Service Edge BroadBand Edge – (BBE) • Десятки тысяч подписчиков

Internet & VoIP

Internet Internet, IPTV, VoD

Internet

I) (HS ) N A IP L S- V N ( Vo A L S- V

S-VL AN (V o D S -V L ) AN ( IP T V)

VoIP

Multiservice Edge – (MSE) • Единая точка предоставления L2/L3 IP/MPLS услуг для сотен подписчиков

Infranet Layer 3 VPNs Layer 2 VPNs Ethernet VPLS

VSR

VOD IPTV

Content services

FR/ATM

Dedicated Internet Acc Security services Bandwidth on demand Voice

4 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

DH /S 3 T 3/E NE DS S O 1/ E 1, T Nx Channelized

Et h

er n

et


The Intelligent Services Edge Квинтэссенция унификации и разделения C одной стороны принцип разделения уровней Ethernet Service Edge

WAN Edge

Управление коммутацией

Multiservice Edge

Коммутация пакетов Выделенные аппаратные ресурсы Дополнительные сервисы

Intrusion Detection and Prevention

Video Analysis

Dynamic Application Awareness

Subscriber Management Session Border Control

Принцип межплатформенной унификации сервиса 5 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Линейка продуктов для сегмента ШПД

E-series Broadband Service Router Portfolio BSR номер 1 в индустрии

ERX

• Большой набор интерфейсов: ATM, Ethernet and POS

E320

• PPPoE and DHCP

E120

• High-scale cost-optimized HSI applications

MX-series Ethernet Services Portfolio Industry Leading Carrier Ethernet platforms • Оптимизация для работы в среде Carrier-Ethernet

MX960

• DHCP-based управление подпиской • Высокоскоростные приложение ориентированные на работу с видео 6 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

MX480

MX240


EMEA Q2 2009 Market Share

7 | Copyright Š 2009 Juniper Networks, Inc. | www.juniper.net


Испытанная, Функциональная OS для широкополосного доступа Обслуживание абонентов – – – – – – –

Br1483, R1483 PPPoE DHCP Local Server DHCP External Server DHCP Serverless model AAA & Radius L2TP (LAC and LNS)

IPv4 – BGP, OSPF, IS-IS, RIP – IGMP, PIM, MGTM, DVMRP – Policy-based routing

IPv6 – Full routing & multicast – DHCP

Bulkstats MPLS Etherne VLANs & stacked VLANs Абонентские интерфейсы Статическое & Динамическое L2C, ASNP VLAN Auto configure Управление подпиской SRC-PE (COPS-PR) SM (RADIUS)

Полная поддержка QoS по TR-92 8 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


ТОЖЕ, очень испытанная, Функциональная OS Фнункции активации – – – – – – – – – –

Stateful DHCP Relay ( 8.5) DHCP snooping, Shadow Lease maintenance. Dynamic DHCP server selection. ( 9.0) Local DHCP Server (9.0) Local Address Pools DHCP Proxy (9.5) DHCP Triggered DSIs (9.3) DHCP Triggered C-VLAN (9.6) DHCP-V6-PD (Конец 2009) Prefix-assignment via AAA or Local-Prefix pools

DHCP – – – – – – – – – – – –

Stateful DHCP Relay ( 8.5) DHCP snooping, Shadow Lease maintenance. Dynamic DHCP server selection. ( 9.0) Local DHCP Server (9.0) Local Address Pools DHCP Proxy (9.5) DHCP Triggered DSIs (9.3) DHCP Triggered C-VLAN (9.6) DHCP-V6-PD (Конец 2009) Prefix-assignment via AAA or Local-Prefix pools HQOS ANCP

Policy support – – –

Dynamic Per-session FW filters (ingress classification and atelimiting) (9.2) Filter chaining (9.3) Parameterized Filters terms (10.1)

9 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

Lawful Intercept (9.4) – – – –

RADIUS or SRC controlled Dynamic triggers Inline via per-interface filters. Selective intercept (via 5-tuple classification)

Security – – –

MAC Validation (9.3) IP-SA Validation (uRPF) IGMP ACLs (9.2)

PPPoE – – – – – – – – –

Новый процесс jpppd (только M120/M320) Использование единого для все типов интерфейсов Dynamic-profile-а Динамическая активация pppoe интерфейса ААА COA/Radius-based Динамическая активация QoS Policy/Filters PPPoE Redundancy и Load Ballancing (10.0) Whole sale для динамического PPPoE (10.1) DHCP-V6-PD (Конец 2009) Prefix-assignment via AAA or Local-Prefix pools


MX-Based Subscriber Management JUNOS Subscriber management – В Junos 9.4 (Февраль 2009) накоплена критическая масса функций для управления ШПД агрегацией на MX.

Мотивация – One JUNOS: Aggregation switch, BSR, core – Better price/performance – Intelligent Services Edge/PSDP

Основные ограничения – E320 parity (Neo)—4Q09/1H10 PPPoX support Subscriber scaling Queue shaping

– ATM No plan

– Inter-chassis redundancy (планы 2010 года)

10 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


E-series или MX-series (2009) Базовое позиционирование – MX for supporting high IPTV penetration – E-Series for supporting primarily lower-speed services including High Speed Internet Access and Voice over IP

Процесс принятия решения 1. Существует ли у оператора уже инсталлированная база устройтсв MX- или E-серии? Всегда легче работать с тем что уже изучено.

2. Какова степень применимости расширенных возможностей (по сравнению с JUNOSe) MX и JUNOS? Business VPN services, residential services, and cellular backhaul on one platform Dynamic application awareness (firewall, intrusion detection and deep packet inspection) capability Session Border Controller (SBC) support for VoIP traffic Video monitoring probe via PSDP

3. Удовлетворяет ли текущая функциональность MX в части ШПД оператора связи? 4. Стоимость? 11 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Junos Subscriber Management Программные компоненты решения

12 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


JUNOS Subscriber Management Новые процессы Junos На текущий момент только M120/M320 с IQ2/IQ2-E Per Subscriber Authentication – auto user RADIUS Framed IP Address, Framed Route

jpppd

authd

RADIUS Controlled DHCP Options Subscriber Separation

jdhcpd Protoc

ol

Sub

Per Subscriber RADIUS Session Per Subscriber RADIUS Session State RADIUS Supplied QoS Policy, QoS Paras RADIUS Supplied Policy & Services RADIUS LR:RI Selection ( VR:VRF ) RADIUS Controlled LI RADIUS Controlled Multicast OIF Map, ACL Per Subscriber Accounting and Statistics Per Subscriber Service Accounting 13 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

Auto conf

Config


JUNOS Subscriber Management Программные компоненты: jdhcpd jdhcpd Juniper DHCP Daemon новый процесс, которые отвечает за на MX-платформе за всю деятельность, связанную с функциями DHCP Local Server and DHCP Relay Функции поддерживаются для logical routers и routing instances. Только один процесс jdhcpd может быть запущен на шасси. При перезапуске jdhcpd (командой ‘restart’ или в случае сбоя в работе демона) использует хранимую в виде файла таблицу активных dhcp-клиентов или active client leases. При выполнение процедуры graceful shutdown, jdhcpd сохраняет текущий список «dhcp lease-ов» в отдельном файле на жестком диске и использует ее при последующем старте 14 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


JUNOS Subscriber Management Программные компоненты: jpppd, authtd jpppd Juniper ppp Daemon - отвечает за поддержку функций активации pppoe интерфейсов. На сегодня работает только на платформах M120/M320, которые оснащены модулями типа Intelligent Services IQ2/IQ2-E. В дальнейшем планируется портирование этого процесса на MX-платформы

authtd Juniper Authentication Daemon отвечает за все запросы, связанные с авторизацией, аутентификацией, сбором статистики, назначением IP-адреса на интерфейс подписчика. Начиная с релиза 9.6 добавлен компонент Juniper Session and Resource Control (JSRC), отвечающий за взаимодействие с SRC-PE по средством протокола Diameter. 15 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Активация подписчика Авторизация подписчика на основе VLAN ID DHCP option 82 MAC Address NAS-port-id

IPAP IPAP

AAA server Динамическая настройка CoS/QoS VRF

Applications/Content (Video, Voice,…) Назначение IP-адреса DHCP Relay DHCP Local Server

DHCP DHCP

Aggregation CPE

DHCP server

SP MPLS Core

Internet

Access Node MX Series, MX960

IPoEoA / Ethernet / ATM или IPoE / Ethernet

IPoE/C-VLAN/S-VLAN/Ethernet

Агрегация DHCP подписчиков, авторизация посредством RADIUS, Динамическое назначение VPN домена (VRF or VPLS). Динамическая настройка параметров интерфейса подписчика: CoS/QOS, Policy (classifiers, rate-limiters). ANCP, Secure Policy, VLAN Auto-configuration 16 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

Business VPN


ge-3/0/0 ge-3/0/0 {{ vlan-tagging; vlan-tagging;

Активация подписчика: DHCP Discover unit unit 250 250 {{

demux-source demux-source inet; inet;

vlan-id vlan-id 250; 250; family family inet inet {{ address address 200.1.1.1/24; 200.1.1.1/24; }} }}

ge3/0/0 IFD

demux 0

inet

ge3/0/0.250

200.1.1.1/24

IFF

IFL

dynamic-profiles dynamic-profiles {{ dhcp-prof dhcp-prof {{

services services {{ dhcp-local-server dhcp-local-server {{

interfaces interfaces {{

authentication authentication {{

demux0 demux0 {{

password password n; n;

unit unit "$junos-interface-unit" "$junos-interface-unit" {{

username-include username-include {{

demux-options demux-options {{

domain-name domain-name mx.com; mx.com;

underlying-interface underlying-interface "$junos-underlying-interface“; "$junos-underlying-interface“; }} family family inet inet {{ demux-source demux-source {{ $junos-subscriber-ip-address; $junos-subscriber-ip-address; }} lo0.0; unnumbered-address lo0.0; © 2009 Juniper Networks, Inc. }} | www.juniper.net 17 | Copyrightunnumbered-address

user-prefix user-prefix n; n; }} }} group group dhcp-server dhcp-server {{ dynamic-profile dynamic-profile dhcp-prof; dhcp-prof; interface interface ge-3/0/0.250; ge-3/0/0.250; }} }} }}


Активация подписчика: DHCP Discover 1

IFF

IFL

IFD Client sends DHCP Discover

ge3/0/0

inet

ge3/0/0.250

200.1.1.1/24

2 Interface snoops the DHCP packet

3

4 MX contacts RADIUS for authentication

5 session DB is populated

demux 0

RADIUS server responds with Auth ACK

RADIUS Server

Session DB 148 (Init State) ge-3/0/0.250 Junos-input-filter = foo

n@mx, ge-3/0/0.250 Auth response ack 18 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

6

Session DB is updated with info from RADIUS


Активация подписчика: DHCP Negotiations 7

8

IFD

IFF

IFL

DHCP OFFER sent to client

ge3/0/0

inet

ge3/0/0.250

Client sends DHCP REQUEST

200.1.1.1/24

10

DHCP server application checks local pool for address

11

Receives IP address 200.1.1.82

Session DB

9

demux 0 Client state changes to configured

148 (Init State) ge-3/0/0.250 Junos-input-filter = foo

n@mx, ge-3/0/0.250 Auth response ack Client State: Configured

19 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

RADIUS Server


Активация подписчика: Динамическое создание интерфейса 16

IFF

IFL

IFD DHCP ACK sent to client

ge3/0/0

12 13

demux 0

inet

ge3/0/0.250

200.1.1.1/24

14

DHCP server calls

MX sends Acct-Start to RADIUS server

dynamic profile Dynamic demux interface is built Session DB

demux0.1073 741867

148 (Init State) ge-3/0/0.250

15 Client state changes to active

Junos-input-filter = foo

n@mx, ge-3/0/0.250 Auth response ack Client State: Active Configured

20 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

inet

200.1.1.82/32

RADIUS Server


Активация подписчика: Дополнительные параметры для аутентификации Attribute Value Pairs AVP: l=40 t=User-Name(1): DHCPRELAY:.0000.6503.0108.enet@dhcp.eu Length: 38 User-Name: DHCPRELAY:.0000.6503.0108.enet@dhcp.eu AVP: l=18 t=User-Password(2): Encrypted Length: 16 User-Password: \032VV~1@\026\004^!\210\355\346~\304\354 AVP: l=19 t=NAS-Port-Id(87): ge-5/0/1.27[:2-7] Length: 17 NAS-Port-Id: ge-5/0/1.27[:2-7]

authentication { password toidhcprelay; username-include { domain-name dhcp.eu; user-prefix DHCPRELAY:; mac-address; option-82 circuit-id remote-id; logical-router-name; routing-instance-name; option-60; circuit-type; }

21 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Junos Subscriber Management Модель доставки услуг JUNOS 9.4 – 10.0

22 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


JUNOS Subscriber Management Модели доставки услуг RADIUS

CoA

Per Subscriber Authentication – auto user RADIUS Framed IP Address, Framed Route RADIUS Controlled DHCP Options Subscribers Separations Per Subscriber RADIUS Session Per Subscriber RADIUS Session State RADIUS Supplied QoS Policy, QoS Paras RADIUS Supplied Policy & Services RADIUS LS:RI Selection ( VR:VRF ) RADIUS Controlled LI RADIUS Controlled Multicast OIF Map, ACL Per Subscriber Accounting and Statistics Per Subscriber Service Accounting 23 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

C-VLAN Shared VLAN with demux interface Multisession C-VLAN PPPoE (M120/M320 с IQ2/IQ2-E) DHCP models: – DHCP External Server – DHCP Local Server

Address Assignment Only: – DHCP Relay + proxy – DHCP Local Server

Модели авторизации и разделения подписчиков: – Wholesale – Retail


VLAN Auto configuration (Junos 9.5) Появилась возможность (aka JUNOSe) настраивать динамические профиль для VLAN range на физическом (IFD) интерфейсе Если пакет отвечает правилам описанным в профиле и для него еще не создано соответствующего IFL, то он отправляется для обработки в направлении RE. autoconfd – новый процесс в Junos, который обрабатывает на входе пакеты и генерирует внутренние запросы на через Subscriber Management Infrastructure (SMI) для создания новых интерфейсов на основе VLAN-tag и ethertype (на сегодня: inet и arp… в планах pppoe и v6).

24 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


VLAN Auto configuration (продолжение) Режим VLAN auto configure поддерживается для Ethenetфреймов как с одним, так и с двумя тегами. Начиная с 9.6 VLAN auto configuration поддерживается для интерфейсов Etherchannel – 802.3ad Поддерживается только для DPC c enhanced QoS (DPCE-EQ EZ rev2x.) FPC 1

REV 26

750-016670

KE4580

DPCE 40x 1GE R EQ

Удаление динамически созданного интерфейса происходит при перезагрузке карты или шасси, или через CLI: root@pegasus> clear auto-configuration interfaces ge-1/0/0 1 interfaces removed from device ge-1/0/0 root@pegasus> clear auto-configuration interfaces ge-1/0/0.1073741827 error: Interface ge-1/0/0.1073741827 in use.

25 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


VLAN Auto configuration (продолжение) Пример настройки VLAN auto-configuration для Stacked-VLAN ranges Пример динамического профиля для stacked-vlan interfaces: ge-1/0/0 { vlan-tagging;[edit dynamic-profiles Svlan-prof] auto-configure { interfaces { vlan-ranges { $junos-interface-ifd-name { dynamic-profile vlan-prof { acceptunit inet; $junos-interface-unit { ranges { demux-source inet; 1-20; 40-50; vlan-tags outer $junos-stacked-vlan-id inner $junos-vlan-id; stacked-vlan-ranges { inet { family dynamic-profile svlan-prof { unnumbered-address lo0.0; accept inet; ranges { } 1-1,1-20; } 2-2,1-20; } } } } } } } } }

26 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


JUNOS Subscriber Management Модель Wholesale (DHCP) Что если необходимо по результатам аутентификации поместить подписчика в определенный VRF? – Случай Wholesale – Случай бизнес подписчика AAA Servers RIdefault

LSdefault

AAA Servers RIfoo

RIfoo ge-0/0/0.5

demux0.0

RIbar ge-0/0/0.8

demux0.1 ge-0/0/0

demux0.2

demux0

27 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

AAA Servers RIbar


JUNOS Subscriber Management Модель Wholesale (Demux) RADIUS

Поддерживается для ip demuх интерфейса (aka DSI triggered)

Per Subscriber Authentication – auto user RADIUS Framed IP Address, Framed Route

CoA

Для размещения IFL/IFF интерфейсов в соответствующие логические системы (LS:RI) используются два типа VSA: LSRInsn@Neu_re0> show subscribers Name, Redirect-LSRI-Name

dynamic-profiles { RADIUS Controlled DHCP Options dhcp-demux-prof { routing-instances { Subscribers Separations $junos-routing-instance { interface $junos-interface-name; Per Subscriber RADIUS Session Interface IP Address User Name } Поддерживается два режима ge-5/0/0.1073741824 Per Subscriber RADIUS Session State } аутентификации: ge-5/0/0.1073741825 interfaces { RADIUS Supplied QoS Policy, QoS Paras demux0 { demux0.1073741826 200.200.200.100 MX_sub.vlan197 Wholesale Radius unit "$junos-interface-unit" { demux0.1073741829 210.210.210.100 MX_sub.vlan198 RADIUSdemux-options Supplied Policy & Services (LSRI-Name VSA) { nsn@Neu_re0> show subscribers routing-instance ISP1Retailer underlying-interface "$junos-underlying-interface"; RADIUS LS:RI Selection ( VR:VRF ) Interface IP Address User Name Retailer Radius } demux0.1073741826 200.200.200.100 MX_sub.vlan197 inet { Redirect-LSRI-Name VSA RADIUSfamily Controlled LI demux-source { {master} $junos-subscriber-ip-address; Каждая RI должна быть RADIUS Controlled Multicast OIF Map, ACL nsn@Neu_re0> show subscribers routing-instance ISP2Retailer } и Interface IP Addressпредконфигурирована User Name … Per Subscriber Accounting and Statistics содержать Lo-интерфейс demux0.1073741829 210.210.210.100 MX_sub.vlan198 }}}

Per Subscriber Service Accounting 28 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

Поддерживается до 1000 RI


JUNOS Subscriber Management Модель Wholesale (DHCP triggered – 10.0) RADIUS

Per Subscriber Authentication – auto user RADIUS Framed IP Address, Framed Route RADIUS DHCP Options interfacesControlled { ge-1/0/0 {

Subscribers Separations vlan-tagging; auto-configure {

Per Subscriber RADIUS Session vlan-ranges { dynamic-profile vlan-prof { accept dhcp-v4;Session (dhcp packet triggers auto-configuration) Per Subscriber RADIUS State

ranges { any; RADIUS Supplied QoS Policy, QoS Paras } } authentication { RADIUS Supplied Policy & Services password <password-string>; username-include { RADIUS LS:RI Selection ( VR:VRF ) delimiter <delimiter-character>; domain-name <domain-name-string>; user-prefix RADIUS Controlled LI <user-prefix-string>; mac-address; (client hw address from dhcp) option-82; (raw content from dhcp packet) RADIUS Controlled Multicast circuit-type; (enet) OIF Map, ACL radius-realm; (@string) } Per Subscriber Accounting and Statistics } access-profile acc_vlan_prof (for Radius options)

Per Subscriber Service Accounting

29 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

CoA

Поддерживается в режиме VLANautoconfigure aka DHCP triggered Для размещения IFL/IFF интерфейсов в соответствующие логические системы (LS:RI) используются два типа VSA: LSRIName – Juniper VSA 26-1


JUNOS Subscriber Management Модель Wholesale (PPPoE на стат VLAN-е) RADIUS

CoA

Per Subscriber Authentication – auto user RADIUS Framed IP Address, Framed Route RADIUS Controlled PPPoE access Subscribers Separations Per Subscriber RADIUS Session Per Subscriber RADIUS Session State RADIUS Supplied QoS Policy, QoS Paras

Аналогичная поддержка возможности выбора RI отличной от default RI планируется для динамического PPPoE интерфейса в статическом сконфигурированном VLAN-е

RADIUS Supplied Policy & Services RADIUS LS:RI Selection ( VR:VRF ) RADIUS Controlled LI RADIUS Controlled Multicast OIF Map, ACL Per Subscriber Accounting and Statistics Per Subscriber Service Accounting

IQ2/IQ2-E

30 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Модель Multisession DHCP (случай L2 CPE) 172.1.1.2

BSR Aggregation

172.1.1.3

Customer VLAN (100)

172.1.1.4

172.1.1.5 Unnumbered Unnumbered Unnumbered 172.1.1.1 172.1.1.1 172.1.1.1 inet

inet

inet

demux0.1

demux0.2

demux0.3

Demux J-tree

31 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

demux0


Модель Multisession DHCP (случай L2 CPE) Несколько абонентских терминалов принадлежит одному C-VLAN (STB, SIP phone, Laptop и т.д.). Использование одного demux IFL для каждого IP-адреса приведет к чрезмерному расходованию логических интерфейсов (IFL)

32 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Модель Multisession DHCP (случай L2 CPE) 172.1.1.2

BSR Aggregation

172.1.1.3

Customer VLAN (100)

172.1.1.4

172.1.1.5 Unnumbered 172.1.1.1

Unnumbered Unnumbered Unnumbered 172.1.1.1 172.1.1.1 172.1.1.1

inet

inet

inet

inet

Ge-0/0/0.1

demux0.1

demux0.2

demux0.3

Ge-0/0/0

33 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

Demux J-tree

demux0


Модель Multisession DHCP (случай L2 CPE) Модель Multisession DHCP позволяет присоеденить множество подписчиков (терминалов) к одному логическому интерфейсу – Активация каждой сессии будет приводить к переконфигурированию политик на интерфейсе. Симантически поддерживается два варианта – Merge – используется начиная с 9.3. – Replace – добавлена в 9.5.

В результате для любой комбинации конечных устройств можно динамически формировать уникальный набор термов в фильтре и планировщиков QoS.

34 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Динамическое управление политиками: Параметризация Parameters include: – – – – – –

Address Filters QoS Settings Service Set ( VoIP, Video, Security, DAA, ... ) Multicast Accounting

35 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Управление политикой QoS

Per Subscriber Authentication – auto user RADIUS Framed IP Address, Framed Route RADIUS Controlled DHCP Options Subscriber Separation Per Subscriber RADIUS Session Per Subscriber RADIUS Session State RADIUS Supplied QoS Policy, QoS Paras var-qos-profile { RADIUS Supplied Policy & Services default-value schedmap_data; radius { Selection ( VR:VRF ) RADIUS LR:RI vendor-id 4874 attribute 26; RADIUS Controlled LI } RADIUS Controlled Multicast OIF Map, ACL

[edit dynamic-profiles myProfile] class-of-service { traffic-control-profiles { TrafficShaper { scheduler-map "$var-qos-profile"; shaping-rate "$var-shaping-rate"; } } Interfaces { demux0 { unit "$junos-interface-unit" { output-traffic-control-profile TrafficShaper } } }

Per Subscriber Accounting and Statistics Per Subscriber Service Accounting 36 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Управление иерархическим QoS IPTV/VoD/ Содержимое

Точка обслуживания …

Level-4

Level-3

VLAN1

Switch VLAN1 VLAN2

VLAN1 SDH

VLAN4 VLAN5

Metro 1 GE

VLAN2

VLAN4

155Mbps CIR

PIR

VLAN5

CIR

Level-2

DSLAM

VLAN2

VLAN4

VLAN5VLAN10

Transport

PIR

IP/MPLS Set2 Core

Set1

10GE Port

Metro 1 GE

Port

Level-1

BSR

Port

Wholesale ISP

per-port scheduler

per-unit schedulers

Per-port Queuing DPCs

hierarchical schedulers

Enhanced Queuing DPCs VLAN Set, Port

Queue

Shaper

37 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

Scheduler


Динамическое назначение фильтра Классические FW фильтры в Junos – Статически предконфигурированы, компилируется в код во вовремя commit – На интерфейс подписчика назначаются interface-specific копии (до 5 in, до 4 out) – Нет возможности динамически менять term-ы в составе фильтра как следствие препятствую развитию динамического формирования правил фильтрации на каждый сервис – Нет возможности формировать session/subscriber specific фильры (multiple-client per IFL) 38 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

Fast Update Filters (FUF) – 9.6 добавлена возможность определять FUF в составе dynamic-profile – Позволяют динамически менять term-ы – Match условие может быть определено с использованием переменной $junos-subscriber-ipaddress что позволят формировать seesion-specific фильтры – В целом синтаксис использования не отличается от использования обычных фильтров – Основные отличия: – FUF всегда interface-specific; – Match-order; – Only-at-create; – Существуют отличия в правилах обработки условий фильтрации


Назначение фильтра Per Subscriber Authentication – auto user RADIUS Framed IP Address, Framed Route RADIUS Controlled DHCP Options variables Separation { Subscriber var-input-filter { Per Subscriber RADIUS Session default standard-input-filter; radius { RADIUS Session State Per Subscriber vendor-id 4874 attribute 10; RADIUS }} Supplied QoS Policy, QoS Paras var-output-filter { RADIUS Supplied Policy & Services radius { RADIUS LR:RI Selection ( VR:VRF11; ) vendor-id 4874 attribute }} RADIUS Controlled LI match-0 mandatory; action-0 mandatory; RADIUS Controlled Multicast OIF Map, ACL } Per Radius SubscriberVSA Accounting Statistics для and match/action

запланированы в 10.1

Per Subscriber Service Accounting 9.6

10.0

10.1

3Q09

4Q09

1H09

[edit dynamic-profiles myProfile] interfaces { demux0 { unit "$junos-interface-unit" { demux-options { underlying-interface "$junos-underlying-interface"; } family inet { demux-source { $junos-subscriber-ip-address; } unnumbered-address lo0.0; filter { input "$var-input-filter"; output "$var-output-filter“; } } firewall { family inet { fast-update-filter httpFilter { interface-specific; match-order [ protocol source-address destination-port ]; term T0 { from { source-address $junos-subscriber-ip-address; match-terms $match-0; } then { action-terms $action-0; }

39 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


JUNOS Subscriber Management Управлением Multicast подпиской Per Subscriber Authentication – auto user RADIUS Framed IP Address, Framed Route RADIUS Controlled DHCP Options Subscriber Separation Per Subscriber RADIUS Session Per Subscriber RADIUS Session State RADIUS Supplied QoS Policy, QoS Paras RADIUS Supplied Policy & Services RADIUS LR:RI Selection ( VR:VRF ) RADIUS Controlled LI RADIUS Controlled Multicast OIF Map, ACL

Per Subscriber Accounting and Statistics Per Subscriber Service Accounting

40 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net

var-igmp-version { radius { vendor-id 4874 attribute 78;} var-igmp-access-grp { radius { vendor-id 4874 attribute 71; } var-igmp-access-src-grp { radius { vendor-id 4874 attribute 72; } protocols { igmp { interface "$junos-underlying-interface" { version "$var-igmp-version"; promiscuous-mode; group-policy [ "$var-igmp-access-grp" "$var-igmpaccess-src-grp" ];


Контроль состояния абонентской сессии RFC 2131: Взаимодействие между сервером и клиентом инициируется клиентом В стандартной реализации нет возможности быстро обновить параметры настройки интерфейса подписчика в рамках его сценария подписки Единстве��ный способ обнулить настройки интерфейса со стороны сервера и ждать со стороны подписчика RENEW или REBIND Отвечать, отвечать …. Пииип… пиииип… пиииип … на звонки подписчиков ☺

41 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


Контроль состояния абонентской сессии RFC 3203 Позволяет послать в сторону подписчика DHCP FORCERENEW сообщение Либо из CLI: >request dhcp server reconfigure … Либо Radius Initiated Disconnect

Поддерживается начиная с JUNOS 10.0 Требуется поддержка со стороны клиента

DHCP Server

DHCP Client FORCERENEW RENEW NAK DISCOVER OFFER REQUEST ACK

42 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


JUNOS Subscriber Management Масштабируемость 64K подписчиков на шасси (1H’09) 16K подписчиков на DPC (9.2) 4K PPPoE на IQ2 PIC (9.5) 16K PPPoE на шасси M320/M120 (9.5) 8 очередей на подписчика (8.5) 120(+)K DHCP bindings (9.5) 120 тыс. подписчиков на шасси получено при использовании Multisession модели Модель позволяет терминировать множество сессий для DHCP-подписчиков/устройств на одном IFL, используется «aggregate-clients» параметр в настройке динамического профиля для интерфейса 43 | Copyright © 2009 Juniper Networks, Inc. | www.juniper.net


THANK YOU

44 | Copyright Š 2009 Juniper Networks, Inc. | www.juniper.net


07