View
13
Download
0
Category
Preview:
Citation preview
Архитектура современной распределенной корпоративной сети IWAN 2.0
Денис Коденцев Системный инженер-консультант, CCIE dkodents@cisco.com
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
• Предпосылки для Cisco IWAN
• Развитие IWAN 2.0 в 2014-2015 годах
• Почему Cisco IWAN?
Содержание
Предпосылки для Cisco IWAN
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 4
Cisco Intelligent WAN
Бескомпромиссный уровень любого соединения
Снижение затрат
Бизнес приложения
Упрощение IT процессов
Private Cloud
Hybrid Cloud
Public Cloud
Безопасный доступ
Any Application
Подготовьте инфрастуктуру для реальных бизнес-задач
Any User
Использование Интернет в качестве WAN
Недорогая альтернатива
организаций планируют переход от
выделенных на Интернет-подключения
1Internet Transit Pricing based on surveys and informal data collection primarily from Internet Operations Forums—‘street pricing’ estimates
2Packet delivery based on 15 years of ping data from PingER for WORLD (global server sample) from EDU.STANFORD.SLAC in California Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER)
Стоимость Интернет и его надёжность, 1998-2012
Использование Интернет быстро окупается!
1.5 Mbps
10 Mbps
$220
$140
$830
$260
$885
$274
$1,014
$303
Пример: Сан-Франсиско MPLS сервис и двойное Интернет подключение ($ в месяц)
Двойное Интернет подключение с SLA
$665 Экономия/Месяц x
12 Месяцев X 1,000 узлов
= $8M уменьшение
затрат
-75%
iWAN MPLS VPN CoS3
MPLS VPN CoS2
MPLS VPN CoS1
Источник: Telegeography MPLS VPN pricing for San Francisco as of March 2013; Comcast Web site; Verizon website
7
Искать компромисс? Больше не требуется!
8
• Масштабируемость 0 • Доступность и надежность 0 • Сетевая производительность 0 • Безопасность 0 • Эффективность управления 0 • Удобство использования 0 • Адаптируемость 0 • Стоимость 0 --------------------------------------------------- Всего (не должно превышать 100) 0
Развитие архитектуры IWAN 2014-2015
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 9
Intelligent WAN – современная распределенная сеть
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private Cloud
Virtual Private Cloud
Public Cloud WAAS
Akamai PfRv3
Любой транспорт Интеллектуальный контроль трафика
Оптимизация приложений
Безопасность соединения
! IPSec WAN Overlay ! Удобная операционная
модель
! Оптимальное маршрутизация приложения
! Эффективное использование полосы пропускания
! Performance monitoring ! Оптимизация и
кэширование
! AES-256 шифрование ! Защита от внешних угроз
DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW
Управление и мониторинг
Cisco Confidential
ISR-AX
ASR1000-AX
ISR G2
MPLS
Один маршрутизатор, один путь
ISR G2
Internet
99.95%* 99.90%* Простои в год
4–9 часов
Простои в год 8 часов 46 минут
ISR G2 MPLS MPLS Internet
ISR G2 MPLS
Один маршрутизатор, два пути Internet Internet
ISR G2
99.995% 99.995% 99.995%
26 минут
IWAN Solution
Два маршрутизатора, два пути
ISR G2
MPLS Internet
ISR G2 ISR G2
Internet Internet
ISR G2
99.999% 99.999%
5 минут
ISR G2
MPLS MPLS
ISR G2
99.999%
* Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool. 11
Построение высоконадёжных WAN с Cisco iWAN Резервирование и выбор пути что-то да значат
Intelligent WAN – универсальный транспорт
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private Cloud
Virtual Private Cloud
Public Cloud WAAS
Akamai PfRv3
Любой транспорт Интеллектуальный контроль трафика
Оптимизация приложений
Безопасность соединения
! IPSec WAN Overlay ! Удобная операционная
модель
! Оптимальное маршрутизация приложения
! Эффективное использование полосы пропускания
! Performance monitoring ! Оптимизация и
кэширование
! AES-256 шифрование ! Защита от внешних угроз
DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW
Управление и мониторинг
Cisco Confidential
ISR-AX
ASR1000-AX
Использует две проверенных технологии Отличительные особенности
DMVPN – это решение на базе Cisco IOS для простого, динамического и масштабируемого построения IPsec+GRE VPN
• Next-Hop Resolution Protocol (NHRP) Создаёт распределённую таблицу соответствия VPN (туннельного интерфейса) и реального («белого») адресов
• Multipoint GRE tunnel interface Единый GRE интерфейс для поддержки большого числа GRE/IPsec туннелей и устройств
Уменьшает размер и сложность конфигурации
Поддерживает динамическое создание туннеля
• Уменьшение конфигурации и простое расширение топологии: Транспортные протоколы (NBMA) IPv4 и IPv6 Клиенты с динамическими транспортными адресами Клиенты - за динамическим NAT, хабы – за статическим NAT Динамические туннели между клиентами Поддерживает MPLS; поддержка MPLS и VRF через GRE туннели Широкий выбор доступных топологий сети и опций
Что такое Cisco Dynamic Multipoint VPN?
Пример DMVPN
14
Динамический туннель Spoke-to-spoke
Клиент A
Клиент B
192.168.2.0/24 .1
192.168.1.0/24 .1
192.168.0.0/24 .1
. . .
Физический: 172.17.0.1 Tunnel0: 10.0.0.1
Физический: динамический Tunnel0: 10.0.0.11
Physical: dynamic Tunnel0: 10.0.0.12
Статический туннель Spoke-to-hub
Известный IP адрес
Динамические неизвестные
IP адреса
LAN могут иметь частные адреса
Intelligent WAN – контроль трафика
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private Cloud
Virtual Private Cloud
Public Cloud WAAS
Akamai PfRv3
Любой транспорт Интеллектуальный контроль трафика
Оптимизация приложений
Безопасность соединения
! IPSec WAN Overlay ! Удобная операционная
модель
! Оптимальное маршрутизация приложения
! Эффективное использование полосы пропускания
! Performance monitoring ! Оптимизация и
кэширование
! AES-256 шифрование ! Защита от внешних угроз
DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW
Управление и мониторинг
Cisco Confidential
ISR-AX
ASR1000-AX
Define Traffic Classes and service level Policies based on Applications or Transport Classifiers
ISR G2
ASR1K
Border Routers learn current traffic classes going to the WAN based on classifier definitions
Learning Active TCs
BR BR
MC+BR MC+BR MC+BR MC+BR
Traffic Classes
MC
Measure the traffic flow and network performance and report metrics to the Master Controller
Performance Measurements
BR BR
MC+BR MC+BR MC+BR MC+BR
MC
Master Controller commands path changes based on traffic class policy definitions
Best Path
BR BR
MC+BR MC+BR BR MC+BR
MC
Как работает Perfomance Routing (PfR)?
Применение политики Измерение Изучение трафика Определение политики
16
Performance Routing v3 - измерение
17
Branch MPLS
Internet
Центральный сайт
Branch Доступная полоса измеряется на выходе /
Для каждого класса
Производительность измеряется на входе Метрики RTP и TCP
для каждого DSCP и сайта
Threshold Crossing Alert (TCA) Отправляются источнику - loss, delay,
jitter, unreachable
Интеллектуальное управление трафиком PfR Voice/Video пример
Branch
MPLS
Internet
Virtual Private Cloud
Private Cloud
Остальной трафик сбалансирован для максимальной утилизации полосы пропускания Voice/Video будет перенаправлен в
случае деградации канала
Voice/Video выбирает лучшие показатели задеркжи, джиттера и потерь
Топология IWAN 1.0 – 2014 год
10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24
R10 R11 R12 R13
MC
IWAN POP1 IWAN POP2
MC
DMVPN MPLS
DMVPN INET
BR1 BR3 BR5 BR7
10.8.0.0/16 10.9.0.0/16
• Один активный Datacenter • Доп. Datacenters с др.префиксами ограничено поддерживаются
• Один активный BR на Hub-е
10.8.0.0/16 10.9.0.0/16
Топология IWAN 2.0 – 2015 год
10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24
R10 R11 R12 R13
BR2
MC
IWAN POP1 IWAN POP2
MC
DMVPN MPLS
DMVPN INET
BR1 BR4 BR3 BR6 BR5 BR8 BR7
10.8.0.0/16 10.9.0.0/16
10.8.0.0/16 10.9.0.0/16
• Поддержка мульти-BRs per cloud per POP
• Балансировка нагрузки между POPs
DC1 DCI WAN Core
DC2
Поддержка Multiple Next Hop Support
Проблема: § Необходимо масштабировать кол-во BR § PfRv3 управляет трафиком внутри Tunnel Interfaces,
не внутри multiple tunnels в единомTunnel Interface § Spokes имеют несколько next hops на одном DMVPN
tunnel Interface § Определение канала:
— local site id + remote site id + DSCP + Path(SP)
— Нет механизма отличить трафик для одного SP канала
Решение: PfRv3 DMVPN Multiple Next Hop § New channel definition
— local site id + remote site id + DSCP + Path(SP) + Int tag § BR1 использует tag 1, BR2 использует tag 2
XE 3.15 15.5(2)S / PI27 15.5(2)T – март 2015
21
DMVPN2 DMVPN1
10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24
BR1 BR2 BR3 BR4
R10 R11 R12 R13
Hub MC 10.8.3.3/32
MC1
Next Hop 1 Next Hop 2
10.8.0.0/16
IWAN POP1
Увеличение полосы пропускания за счет multiple BRs per path
Поддержка Multiple Data Center
Проблема: § Необходимо разделить ЦОД / ЦО § Разделить префиксы от каждого ЦОД до офисов
Решение: § ЦО могут анонсировать одинаковые префиксы
§ ЦОД могут размещаться независимо § Офисы получают доступ к ЦОД / DMZ через любой ЦО
§ И ЦОД / DMZ взаимодействуют с офисами через любой ЦО
§ Поддержка нескольких BR на уровне ЦО
XE 3.15 15.5(2)S / PI27 15.5(2)T releases, March
Все Prefix-ы доступны между Multiple BRs & Sites
10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24
IWAN ЦО1 IWAN ЦО2
MC1 MC2
R10 R11 R12 R13
ЦОД
10.8.0.0/16 10.9.0.0/16
10.8.0.0/16 10.9.0.0/16
10.8.0.0/16 10.9.0.0/16 0.0.0.0/0
DMVPN MPLS
DMVPN INET
BR1 BR1 BR2
BR2 BR3 BR3 BR4
BR4 EIGRP/BGP 10.8.0.0/16 10.9.0.0/16 10.0.0.0/8 0.0.0.0
EIGRP/BGP 10.8.0.0/16 10.9.0.0/16 10.0.0.0/8 0.0.0.0
Transit Hub Master Hub
Управление трафиком – дальнейшие планы
Branch Site
MPLS INET MPLS INET
R14
DMVPN MPLS
DMVPN INET
DC1 DC2
LTE MPLS2 INET2 MPLS2 INET2
DC/MC MC DC/MC MC
MC/BR
ASA
LTE
DMVPN LTE
BR
23
Intelligent WAN Основные компоненты
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private Cloud
Virtual Private Cloud
Public Cloud WAAS
Akamai PfRv3
Любой транспорт Интеллектуальный контроль трафика
Оптимизация приложений
Безопасность соединения
! IPSec WAN Overlay ! Удобная операционная
модель
! Оптимальное маршрутизация приложения
! Эффективное использование полосы пропускания
! Performance monitoring ! Оптимизация и
кэширование
! AES-256 шифрование ! Защита от внешних угроз
DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW
Управление и мониторинг
Cisco Confidential
ISR-AX
ASR1000-AX
Cisco WAAS – оптимизация приложений
Решение
• Снижение загрузки Data redundancy elimination (DRE), compression, and TCP optimization
• Оптимизация приложений Fewer protocol messages and metadata caching
Проблема
• Задержки на WAN • Доступная полоса WAN
Application bandwidth with Cisco® WAAS
Application bandwidth natively
Application latency natively
Application latency with Cisco WAAS 0 0
1
2
3
4
40
80
120
160
Доступная полоса
Задержка приложения
Полоса (Mbps)
Задержка (секунды)
Уменьшение используемой
полосы
Уменьшение задержки
25
IWAN 2.0
ЦОД Офис
Akamai Intelligent Platform
Optimal Experience Regardless of Device, Connectivity or Cloud All HTTP Traffic in Private, Public, Akamai Cloud
Prepositioning | Dynamic HTTP Caching (YouTube) | Any Transport
ISR-AX
AKAMAI КЭШ
WAN
IWAN – оптимизация приложений с Akamai Connect
IWAN – оптимизация приложений с Akamai Connect
Branch Office
WAAS Service
Module/ UCSe
Branch Office WAAS-XE
on ISR-4000
Branch Office WAAS
Appliance
Regional Office WAAS
Appliance
Data Center or Private Cloud WAAS
Appliances
VPN
VMware ESXi
vWAAS Appliances
Server VMs
AppNav + WAAS
IWAN
vWAAS WAE
Server VMs
VMware ESXi Server
Nexus 1000v vPATH
UCS /x86 Server
FC SAN
Nexus 1000v VSM
Virtual Private Cloud IWAN 2.0
27
Оптимизация приложений Дальнейшее развитие
Internet
Branch
AVC PfR MPLS
Data Center ISR ASR
APIC-EM
• Obtain nearest edge gateways from Akamai
• Provision/Monitor 3rd DMVPN over Akamai
Classify applications WAN Path Selection over Akamai
• Select Akamai for apps & sites
• Assign capacity • Monitor usage
DMVPN
Optimal Routing & Reliable Delivery
Akamai Intelligent Platform
28
Internet VPN
Up to X Mbps Offered BW : AVAILABLE BW Not always X, typically < X Mbps
Офис
ЦОД
Управление полосой пропускания в условиях отсутствия SLA
• Доступная полоса может меняться
(Internet) • В случае деградации канала, кто принимает решение какие пакеты отбрасывать?
• Влияет на критичные приложения!
29
Оптимизация приложений IWAN Adaptive QoS – доступно в 2015
30
Управляем полосой shaping на отправителе
Sender
Configure MQC Policy with Adaptive Shaping
DMVPN
Transport Monitoring Enable
Collect Periodic bandwidth Stats on received traffic
Transport Received Rate
Calculate Available Bandwidth over the WAN Adjust Egress Shaper to observed rate
Intelligent WAN Основные компоненты
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private Cloud
Virtual Private Cloud
Public Cloud WAAS
Akamai PfRv3
Любой транспорт Интеллектуальный контроль трафика
Оптимизация приложений
Безопасность соединения
! IPSec WAN Overlay ! Удобная операционная
модель
! Оптимальное маршрутизация приложения
! Эффективное использование полосы пропускания
! Performance monitoring ! Оптимизация и
кэширование
! AES-256 шифрование ! Защита от внешних угроз
DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW
Управление и мониторинг
Cisco Confidential
ISR-AX
ASR1000-AX
IWAN – развитие автоматизации
APIC-EM
Device Abstraction Layer
REST APIs
APIC-EM Services (Partial)
CLI OnePK/Openflow
PKI Svc
NetFlow Svc
PnP Svc
Network Svc
Events Svc
Inventory Svc
Traditional Management Systems
Cis
co P
rime
Evolution
Apps IWAN
Transport PKI
Automation
Security Intelligent Path Control
Cisco IWAN Apps Partners (future)
Application Experience
PnP Provisioning
5 Nov CY2015
Capacity Planning, Troubleshooting, Change control Prime
IWAN: SD-WAN анализ требований
Branch
Private Cloud
Virtual Private Cloud
Public Cloud
MPLS (IP-VPN)
Internet
CSR1000-AX
Physical or Virtual* devices Zero Touch Deployment
L2/3 Interoperability
Management Dashboard Open North-bound API
Dynamic Traffic Engineering
HA and Resilient WAN App Visibility, Prioritization and Steering
Active-Active Architecture
APIC Prime
FIPS 140-2 w/ Cert Management
Optimized Secure Transport
Direct Internet Access
33
IWAN – эффективная безопасность
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 34
Intelligent WAN — локальный доступ в Интернет Direct Internet Access
Branch
MPLS (IP-VPN)
Internet Direct
Internet Access
Private Cloud
Virtual Private Cloud
Public Cloud
• Использование локального подключения для облачных и интернет сервисов
• Повышение эффективности
Решение Офис – Zone Based Firewall Облако – Cloud Web Security
CWS
ISR-AX ZBFW
35
Безопасный интернет доступ Cloud Web Security (CWS)
Secure Public Cloud and Internet
Access
ISR Connector to CWS Firewall towers
Web Filtering, Access Policy, Malware Detect
WAN1 (IP-VPN)
CWS
Private Cloud
Public Cloud
Branch
WAN2 (Internet)
IWAN IPsec VPN for Private Cloud
Traffic IOS Firewall to protect Internet
Edge
Internet
36
Эффективная безопасность – планы Direct Internet Access – Белые списки
• Трафик для «белого списка» направляется в Интернет локально, остальной трафик в DMZ
• Улучшает производительность для «доверенных» облачных приложений § WebEx, Office365, SaleForce.com,…
• Идеальный 1-й шаг для внедрения DIA
Branch Site
MPLS INET MPLS INET
R14
DMVPN MPLS
DMVPN INET
DC1 DC2
LTE LTE
DMVPN LTE
SAT MPLS2 INET2 MPLS2 INET2
DC/MC MC DC/MC MC
BR MC/BR
ASA
Internet
37
IWAN – поддержка в оборудовании
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 38
ISR G2
ISR 4000
ASR 1000
CSR 1000v *
WAVE
*Domain MC
Intelligent WAN Платформы
NEW!
Почему Cisco IWAN?
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 40
• Уникальная архитектура универсального транспорта!
• Надежность 99,995% даже при использовании Интернет-каналов
• Портфолио оборудования для IWAN – от 10 Мбит/с до 200Гбит/с
• Полная автоматизация внедрения
• Проверено. Описано. Готово к внедрению.
• Значительное сокращение IT затрат при повышение качества IT сервисов.
Почему Cisco IWAN?
Branch
MPLS (IP-VPN)
Internet
Private Cloud
Virtual Private Cloud
Public Cloud
Cisco Intelligent WAN (IWAN)
Secure WAN Transport
Direct Internet Access
Любой транспорт с обеспечением высокой надежности
SLA для ключевых приложений
Централизованные политики
Радикальное уменьшение затрат на WAN
42
Traditional + Good Enough Competitors
Security & Application Optimization
Disruptive WAN Start-Ups
Преимущества Cisco IWAN
WAN-focused Unproven
Multiple Appliance Complexity
Primitive routing and path control
Frequent refresh No Intelligent Path
Control No App Optimization
Вендоры
Ограничения
Стратегия ! SD-WAN simplicity ! VPN Automation ! Controller-based
! Service or VPN overlay ! Over-the-top of the
WAN
! “Good enough” ! Price/Performance
Internet
Intelligent WAN Summary
Branch-1 Branch-513
DCI WAN Core
MC MC
20M Dn 2M Up
512M FD
BR BR
ATBT MPLS
Island ADSL
BR
ISR-AX vWAAS
ISR-AX vWAAS
1.5M FD
256M FD
CWS
BR ASR-AX ASR-AX
WAAS WAAS
AVC
AVC
AVC
ShowMe$$
DC-West DC-East
Internet Internet
Transport Independent Design Highly available Hybrid WAN
Intelligent Path Control Performance Routing (PfR) to protect critical applications and load balance traffic to maximize expensive WAN bandwidth
Application Optimization Application Visibility and Control (AVC) to monitor performance
WAAS + Akamai to reduce bandwidth consumption while improving application experience
Secure Connectivity Cloud Web Security (CWS) for improved performance of Public Cloud while freeing up WAN bandwidth, without compromising security
IWAN Management Prime, LiveAction, GlueWare or IWAN-APP with APIC-EM
44
IWAN Sites: § CCO: www.cisco.com/go/iwan
Intelligent WAN Technology Design Guide (IWAN 2.0) § http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-
IWANDesignGuide-JAN15.pdf § http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-
IWANConfigurationFilesGuide-JAN15.pdf
IWAN Demo § use dCloud (http://dcloud.cisco.com) search for IWAN (5 EMEAR demos
available)
Cisco IWAN. Полезные ресурсы.
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом #CiscoConnectRu
CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.
IWAN 2015 Roadmap Overview IWAN 2.0+
CY2015
Domain Scale TBD – testing dependent
Transport Independence
Simplification Spoke-to-Spoke QOS
Akamai Transport
Intelligent Path Control
Horizontal Scaling and Increased Redundancy Path of Last Resort
Identity/SGT Policies
Application Optimization
Adaptive QOS Domain Name Classification
Identity/SGT AVC Policies
WAAS/Akamai Single Sided SSL
Secure Connectivity
SUDI based Trust Model SNORT IPS
DIA White-Listing
Management
Prime Infrastructure 3.0 Additional Workflows;
Enhanced Visualization; PnP & PKI APIC-EM Integration
APIC-EM / IWAN App PKI Automation;
Site-by-Site Provisioning; CVD-based: QoS, AVC, PfR;
47
Recommended