View
397
Download
11
Category
Tags:
Preview:
Citation preview
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 Cisco Confidential 1 © 2013 Cisco and/or its affiliates. All rights reserved.
Константин Григорьев,
Системный инженер по направлению маршрутизация и коммутация
kgrigori@cisco.com
Распределенная корпоративная сеть следующего поколения
Consistent Network Wide Intelligence
Visibility Policy Operations
Cisco One Network Environment (ONE) Среднее кол-во #приложений
на одном устройстве*:
41
Источники:
* http://www.nielsen.com/us/en/newswire/2012/state-of-the-appnation-%C3%A2%C2%80%C2%93-a-year-of-change-and-growth-in-u-s-smartphones.html
** https://www.abiresearch.com/press/average-size-of-mobile-games-for-ios-increased-by-
*** http://www.wirelessandmobilenews.com/2013/05/samsung-galaxy-s3-iii-update-android-4.2.1-jelly-bean.html
http://theiphonewiki.com/wiki/Firmware#iPad_4
http://answers.microsoft.com/en-us/windows/forum/windows_other-windows_update/what-is-average-monthly-size-of-update-downloads/dfe9bb34-c2dd-478e-a6cb-0a26228cf552
Средний объём
приложения**:
23 MB (iOS)
6 MB (Android)
25 MB (Windows)
Размер файла OS update***:
750 MB (iOS 7 для Iphone)
168 MB (Jelly Bean 4.1)
400.0 MB (Windows 7)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Меняются приложения и способы их доставки
Консолидация сервисов и приложений в ЦОДах и облаках
Прямой доступ в Internet из филиалов
Филиал
Облако
Центр Обработки
Данных
Облака
CIO ожидают
перехода к
облачной модели
сети к 2015 году
Мобильность
Увеличение
объёмов
мобильного
трафика к 2015
году
“Тяжелые” приложения
Объёмы трафика
видео приложений
в сети
Новые требования к WAN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Новые модели сети становятся жизнеспособными
Увеличение объёмов трафика, увеличение затрат
на каналы связи
Увеличение гибкости доступа с различных устройств
Улучшение производительности Internet
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
1. Internet Transit Pricing based on surveys & informal data collection primarily from Internet
Operations Forums – ‘street pricing’ estimates
2. Packet delivery based on 15 years of ping data from PingER for WORLD (global server sample)
from EDU.STANFORD.SLAC in California
Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER)
Альтернатива с низкой стоимостью
организаций
планируют
миграцию к
Internet
соединениям
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
ПРИМЕРЫ:
San Francisco MPLS VPN vs Dual Business Internet ($ в месяц)
Source: Telegeography MPLS VPN pricing for San Francisco as of March 2013; Comcast Web site; Verizon Web site
Assumes average Router upgrade is $3000; installation is $1000 and Support is $300
CoS2 refers to VPN services providing real-time data and middle priority
$665 в месяц x 12 месяцев x 100 сайтов
1.5 Mbps 10 Mbps
$220
MPLS VPN CoS2 $885
Dual Internet
Access Combined
for Ent SLA -75%
$ 800000 экономия
186% ROI
Возврат инвестиций – 6 месяцев
IWAN ROI Calculator:
https://cisco.impliedlogic.com/models/iwan
Frankfurt MPLS VPN vs Dual Business Internet ($ в месяц)
$643 в месяц x 12 месяцев x 100 сайтов
474
330
103
890
1.5 Mbps 10 Mbps
MPLS VPN CoS2 $1220
Dual Internet
Access
Combined for Ent
SLA
-53%
80
274
140
611
$577
$ 771000 экономия
Возврат инвестиций – 6-12 месяцев
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Private Cloud
MPLS (IP-VPN)
Public Cloud
Internet
Безопасный
транспорт WAN с
использованием
IPSec
Прямой доступ
в Internet
• Увеличение эффективной полосы пропускания WAN; и более эффективная цена!
• Безопасный транспорт WAN для доступа к частным облачным сервисам
• Локальный прямой доступ в Internet и к публичным облачным сервисам
• Улучшение производительности приложений (прямой доступ к сервисам)
Virtual Private Cloud
Филиал
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Private Cloud
WAN (IP-VPN)
Public Cloud
Internet Virtual Private Cloud
Branch
Internet как WAN с надёжностью .99999
SLA для бизнес критичных приложений
Существенное снижение затрат
на каналы связи WAN
Централизованная политика безопасности
для доступа в Internet
Безопасность
соединений
• Шифрование
• Комплексная защита с помощью ASA & IOS Firewall/IPS
• Cloud Web Security (CWS) для безопасного прямого доступа в Internet
Оптимизация
приложений
• Контроль работы приложений Application Visibility & Control (AVC)
• Оптимизация трафика приложений и увеличение производительности с использованием WAAS
Любой
транспорт
• Удобная операционная модель
• Простой процесс миграции
• Масштабируемый модульный дизайн
• Наложенный DMVPN IPsec
Internet
AVC
Филиал WAAS PfR
Интеллектуальный
контроль трафика
• Выбор маршрута для приложений по параметрам (delay, loss, jitter и т.д.)
• Балансировка нагрузки и эффективное использование
• Увеличение доступности
• Performance Routing (PfR)
3G/4G-LTE
MPLS
Private Cloud
Public Cloud
Virtual Private Cloud
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Dual Internet Hybrid Dual MPLS
Public Public Enterprise
Internet MPLS Internet Internet
Internet
MPLS MPLS
Гибрид Больше BW для бизнес-приложений
Сбалансированный SLA
– Средняя стоимость
2 подключения Internet Лучшая цена/производительность
Наибольшая гибкость SP
– Организация ответственна за SLA
Наложенные и совместимые VPN технологии обеспечивают безопасность миграции
2 подключения MPLS Высокий гарантированный SLA
– Полная зависимость от SP
ẋ Дорого
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Упрощает дизайн WAN
Простой multi-homing через любые
транспортные сервисы
Единая плоскость управления
маршрутизацией при минимуме
взаимодействия с провайдерами
Динамические
полносвязные соединения
Автоматические site-to-site IPsec
туннели
Zero-touch конфигурация центра
(hub) для новых филиалов (spoke)
Согласованный дизайн для любого
транспорта
Высокий уровень
безопасности
Соответствие сертифицированным
стандартам шифрования и
межсетевого экранирования
Масштабируемый дизайн с высокой
производительностью криптографии
на аппаратном уровне
Независимость от транспортной модели
Безопасность Гибкость
MPLS
Internet
Data Center Branch
ASR 1000
ASR 1000
ISR-G2 WAN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
• mGRE инкапсулирует IPSec. Только WAN IP адреса должны быть известны WAN провайдеру
IP адрес WAN-интерфейса может быть использован как Tunnel Source address
• Филиальные (spoke) подразделения регистрируются в центре (hub) как NHRP клиенты и устанавливают IPsec tunnel
• Обмен информацией об IP routing префиксах в каждом подразделении
Обычно используются BGP или EIGRP для масштабируемости
• Обмен трафиком через DMVPN-туннели
• При передаче трафика между филиалами центральный машрутизатор (hub) способствует установлению site-to-site туннелей между spoke-маршрутизаторами (NHRP)
• Per-Tunnel QOS обеспечивает контроль переподписки филиальных маршрутизаторов (spoke) из центра (hub)
15
Traditional Static Tunnels
DMVPN On-Demand Tunnels
Static Known IP Addresses
Dynamic Unknown IP Addresses
Branch 2
ISR G2
Branch 1
Hub
IPsec
VPN Branch n
Безопасные туннели по запросу
(On-Demand)
ASR 1000
ISR G2 ISR G2
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Internet MPLS
Data Center
Branch ISR-G2
ASR 1000 ASR 1000
ISP A SP V
DMVPN GETVPN
Internet MPLS
Data Center
Branch ISR-G2
ASR 1000 ASR 1000
ISP A SP V
DMVPN DMVPN
2 IPsec Technologies
- MPLS/GETVPN
- Internet/DMVPN
2 WAN Routing Domains
- MPLS: eBGP or static
- Internet: iBGP, EIGRP or OSPF
- Route Redistribution to force
primary path
- Route Filtering loop prevention
Active/Standby Primary with Backup
WAN Paths
1 DMVPN IPsec Overlay
1 WAN Routing Domain
iBGP, EIGRP, or OSPF
Active/Active WAN paths
Traditional Hybrid
iWAN Hybrid
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Internet Internet
Data Center
Branch ISR-G2
ASR 1000 ASR 1000
ISP A DSL
ISP C Cable
DMVPN DMVPN
Internet MPLS
Data Center
Branch ISR-G2
ASR 1000 ASR 1000
ISP A SP V
DMVPN DMVPN
iWAN Hybrid
iWAN Dual Internet
1 DMVPN IPsec Overlay
1 WAN Routing Domain
iBGP, EIGRP, or OSPF
1 Active-Active WAN Paths
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Отказоустойчивость и надёжность маршрутов
ISR G2
MPLS
ISR G2
MPLS MPLS Internet
ISR G2
MPLS
Один
маршрутизатор,
Один маршрут
Один
маршрутизатор,
Два маршрута
Два
маршрутизатора,
Два маршрута ISR G2
MPLS MPLS
ISR G2
Internet Internet
ISR G2
ISR G2
Internet
ISR G2
MPLS Internet
ISR G2 ISR G2
Internet Internet
ISR G2
99.95%
4h:23m / yr *
99.90%
8h:46m / yr *
99.998% 99.998% 99.997%
99.999% 99.9999% 99.9998%
Время
простоя
в год
4-9 часов
5 минут
24 минуты
Решение
IWAN
0:11/yr 0:11/yr 0:16/yr
>0:01/yr >0:01/yr >0:01/yr
1. Examples assume MPLS VPN link with 99.95% availability SLA, Business-Grade Broadband with 99.0% expected availability (some Internet services include 99.9% SLA)
Assumes $600 MRC for MPLS and $100 MRC for Internet, $1,500 net price for a router if MPLS only and $2,500 net price for a router if include multiple links and/or Internet;
calculations are more conservative than indicated by Cisco Advanced Services DAAP tool; actual Internet reliability may be better than shown
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Гарантия производительности и защита приложений
• Снижение WAN расходов
Использование каналов связи с низкой стоимостью
• Полное использование дорогой полосы пропускания WAN
Эффективное распределение трафика на базе загрузки каналов связи, их стоимости и предпочтительных маршрутов
• Улучшение производительности
приложений
Выбор маршрута для каждого приложения на базе метрик (задержка, потери пакетов, jitter)
• Увеличение надежности работы
приложений
Защита от black holes и brownouts в сети провайдера
Internet
WAN
AVC
Branch Data Center WAAS PfR
ISR G2 ISR G2 ASR 1000
ASR 1000
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Инструмент для интеллектуального контроля маршрутов
“Performance Routing (PfR) provides additional intelligence to classic routing technologies to track the performance of, or verify the quality of, a path between two devices over a Wide Area Networking (WAN) infrastructure to determine the best egress or ingress path for application traffic....”
Функциональность ПО Cisco IOS маршрутизатора
Две компоненты – Master Controller и Border Router
DSL Cable
Data Center
Branch MC+BR
BR BR
MC
Контроль
маршрута
Метрики
Адаптивность
Классическая
маршрутизация PfR
+
• Состояние топологии
• Наименьшая статическая
стоимость маршрута
• Выбор администратора
• Стоимость маршрута
• Состояние интерфейса
Реакция на:
• Изменения состояния
каналов и устройств
(interface up/down)
• Со знанием приложений
• Контроль при помощи политик
• Измерение
производительности
• Задержка
• Jitter
• Полоса пропускания
Реакция на:
• Измеряемые изменения
производительности
(деградация)
SP1 (MPLS) ISP (Internet)
Облачные сервисы и политика балансировки нагрузки
• Защита бизнес-критичных
облачных приложений
Потеря пакетов менее 5%
• Предпочтительный маршрут
для бизнес-критичных
приложений: SP1 (MPLS)
• Увеличение эффективности
полосы пропускания WAN с
балансировкой трафика
через все WAN каналы,
MPLS + Internet
• Защита качества голоса и
видео
Задержка менее 150 мс; Jitter
менее 20 мс
• Защита VDI приложений
Потеря пакетов менее 5%
• Предпочтительный маршрут
для голоса и видео: ISP1
• Предпочтительный маршрут
трафика VDI: ISP2
• Увеличение эффективности
использования полосы
Multimedia трафик и политика критичного трафика
Cloud Services
Hybrid WAN
Best-Effort Traffic
Обнаружена
потеря пакетов
более 5%
ISP1 (Cable) ISP2 (DSL)
Voice and Video
Dual Internet
WAN
Обнаружен
высокий jitter
VDI
Best-Effort Traffic
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Применение политик трафика:
• Вычисление производительности маршрута
• Проверка на соответствие заданным
политикам для данного класса трафика Passive Mode: BW, Delay (TCP), Loss (TCP)
Active Mode: Delay, Loss, Jitter, MOS
Измерение характеристик:
Сетевая производительность
Пассивное: Данные Netflow (Throughput)
Активное: IP SLA пробы (Jitter, Delay)
Сетевая надёжность
Достижимость & информация о
топологии с использованием
процессов маршрутизации
Выбор маршрута:
• Передача информации о новом
маршруте каждому BR для
каждого класса трафика
• BR добавляет новый маршрут
в FIB
• Получение информации о
метриках производительности
нового маршрута
Обнаружение классов трафика:
• Prefix-based flows
• ACL-based flows
• Application flows
Проверка нового маршрута:
• Передаётся ли трафик по
новому маршруту ?
• Текущая производительность
канала связи соответствует
политике ?
2
3
4
5 1
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
Соберём всё вместе
Branch
MC BR
Branch
MC BR
HQ
ISP
SP
BR
MC
BR
Switches
1
• Learn traffic classes flowing thru WAN
• Prefix or Application-based learning
• Measure Path Performance: Delay, Jitter, MOS
• Active (IPSLA) or Passive (NF) Measurement
• Report to MC
2
• Analyse Path Performance based on
BR reports
• Compare to Policy: Path, Delay, Jitter, MOS
• Determine path per-App based to comply
with Policy
3 Inform BRs of new path 4 BRs reroute traffic to
Enforce policy
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Private Cloud
Branch WAN2 (Internet)
WAN1 (IP-VPN)
Public Cloud
ISR Cloud
Connector to CWS
Firewall Servers
IWAN Tunnels
for HQ/DC
Traffic
CWS
Encapsulated
HTTP, HTTPS
Web Filtering,
Access Policy,
Malware Detection
Secure Public
Cloud &
Internet Access
CWS
Internet
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Information
FTP IM
RPC
Collaboration SaaS
SOAP Video
HTTP is the new TCP
• Методы традиционной классификации в прошлом
• Статической классификации на портах теперь недостаточно
• Многие приложения непрозрачны и закрыты
• Приложения состоят из нескольких сессий (видео, голос, данные)
• Что делать, если время отклика бизнес-критичных приложений очень велико и не соответствует политикам?
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
На базе решения Cisco AVC (Application Visibility and Control)
Proliferation
of Devices
Users/ Machines
VDI | IaaS
Private Cloud
60% IT-профессионалов считают низкую производительность
основной проблемой для облачных сервисов
Storage
Database
Public Cloud
Мониторинг и производительность приложений
Соответствующие бизнесу политики Не нужно настраивать комплексные IP и port ACL Глубокий анализ HTTP-потоков для идентификации специфичных облачных приложений
Планирование ресурсов Более эффективное использование полосы пропускания дорогих каналов связи Отчётность (по приложениям, по филиалам и т.д.)
Branch HQ/DC
Cisco AVC
Статистика по трафику Метрики времени отклика TCP-приложений Мониторинг медиатрафика (Приложение, Jitter, потери пакетов, задержки и т.д.)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
Увеличение скорости работы приложений и эффективное использование существующих каналов связи
Users/ Machines
Private Cloud
Ускорение работы любого TCP-приложения
Легкость и простота внедрения Внедрение на базе существующих маршрутизаторов (и существующих лицензий AX)
Приложения работают быстрее, больше пользователей, меньше полоса пропускания
90% HD Video optimization and better user experience Twice as many Citrix users over same WAN, 70% faster Toyota: ROI in less than one year, 65% BW cost savings
Масштабируемость AppNav Controller and WAVE pool is scalable Native HA capability
Branch
vWAAS
WAAS Express
WAVE
AppNav-XE Controller
WAN
CSR
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
Branch Aggregation With Internet WAN
DC1 DC2
HUB1
DMVPN
ADSL DMVPN
FTTH
HUB2
650 филиалов + 2 класса трафика
BR BR BR BR
MC MC ASR1002-X ASR1002-X
ISR 890 ISR 810
100M Dn
10M Up
20M Dn
2M Up
• Требования:
• Broadband Internet для снижения стоимости транспорта WAN
• Дизайн с двумя ISP-провайдерами для обеспечения надёжности
• Обеспечить качество multimedia-приложений при проблемах с качеством Internet
• Балансировка трафика для эффективного использования доступной полосы WAN
• Решение:
1. Политики для приложений:
Голос/Видео: задержка<150мс, Jitter<20мс, предпочтительный маршрут = FTTH
Данные: балансировка нагрузки, использование каналов связи на 90%
2. DMVPN для отказоустойчивого безопасного дизайна, независимого от транспорта
Per-tunnel QOS в центре для минимизации переподписки в филиалах
Site to Site dynamic tunnels для снижения задержки multimedia-приложений
3. Performance Routing (PfR) для защиты критичных приложений и эффективного
использования пропускной способности каналов связи
4. Расширенный QoS для приоритезации критичных приложений при перегрузках
5. Prime Plug-n-Play автоматизация для упрощения внедрений в филиалах
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
Firewall Internet
Internal resources
Corporate Network
Access Router WAAS
Application Visibility and Control
Firewall and VPN WAN Path
Control
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
Одно устройство Подход Cisco
Несколько устройств Обычный подход
Маршрутизация
Коммутация
Безопасность
Контроль
Оптимизация
Голос
... Снижение CapEx
Небольшой OpEx
Просто управлять
UC UCS-E Cloud Connectors
Switching/WLAN
WAAS AVC ASR/ISR WAN Path Control
3G/4G
Дополнительные сервисы Необходимые сервисы
? ? ?
?
?
Internet WAN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
L2-L3 Транспорт
L4-L7 Сервисы
Приложений
Эффективная доставка
приложений
Единая Сеть УНИФИЦИРОВАННЫЕ
СЕРВИСЫ
Платформа маршрутизации
Access Router
Firewall Internet
Internal Resources
Corporate Network
Application Visibility and Control
Firewall and VPN WAN Path
Control
WAAS
Контроль
Оптимизация
Безопасность
Прозрачность
Маршрутизация
L2-L3 Transport
L4-L7 Application
Services
Возможности iWAN, интегрированные в маршрутизатор
Контроль
Оптимизация
Прозрачность
Транспортно- Независимая Безопасная
Маршрутизация
ISR-AX
Маршрутизаторы Cisco AX 3900 | 2900 | 1900 | 800 | 4451 | ASR1002-X
Упрощение доставки
приложений
Единая сеть УНИФИЦИРОВАННЫЕ
СЕРВИСЫ
ASR1000-AX
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
Лицензия AX (Application eXperience) для маршрутизаторов ISR G2
Security UC
IP Base
AX
Расширяет и заменяет лицензию Data , предоставляя сервисы для эффективной доставки приложений. Содержит в себе все функции, которые ранее были включены в лицензию Data.
Содержит в себе полный набор функций Application Visibility and Control (AVC). Предоставляет богатый набор функций для мониторинга и управления работой приложений.
Right-To-Use лицензия для WAAS. Лицензия позволяет использовать WAAS Express, WAAS на SRE или WAAS на UCS-E без дополнительных затрат.
AX & Security включены в
ISR-AX
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
Спасибо за внимание!
Recommended