Дизайн современной wan сети для sdn сценариев · 3.1 rest apis •...
TRANSCRIPT
Дизайн современной WAN сети для SDN сценариев
Ovrashko Andrii
Cisco Systems Engineer
Всё начинается с DNA
Архитектура цифровых сетей Cisco DNA
Автоматизация
Абстракция и управление
политиками от ядра до
периметра
Открытость и возможность программирования | На основе стандартов
Открытые API-интерфейсы | Среда разработчиков
Управление сервисами
Политика | Оркестрация
Виртуализация
Физическая и виртуальная инфраструктура | Хостинг приложений
Аналитика
Данные сети, контекстная
аналитика
Информиро-
ванность
и удобство
работы
Автоматизация
и надежность
Безопасность
и соблюдение
требований
Сетевые приложения
Поддерживается в облаке | Реализована программно
Принципы
DNA для WAN
Зачем менять WAN?– отзывы с рынка
Cost Security Cloud BasedApplications
20%
14%11%
34%
20%
15%
Today End Of 2018
“Expect more conversations
from your customer on
Cost Reduction,
Security,
Cloud Based Application
Adoption”
Gartner Research
Пришло время SD-WAN
Какую проблему пытается решить индустрия
с помощью SD WAN?
… “Упростить” управление сетью…
… найти способ дать “Приложениям”
болше возможностей управлять сетью
Что двигает SDWAN и что меняет рынок SDWAN технологий
Better Utilization -WAN Links
45%
Other (Security /
Device Cost -Virtualization)
15%
Circuit Cost20%
Application Performance
20%“Top drivers for SDWAN did
not change much .. Except
security & virtualization”
By 2020 - 50% of refresh will be driven by SDWAN up from 2%
Gartner Research
Опрос IDC:Какие три компонента наиболее важны при выборе SD-WAN решения?
Q15C. Which three of the following SD-WAN components would you consider the most important for selecting a SD-WAN solution today? [MR]
58,3%
41,5%
32,6%
31,9%
30,2%
29,1%
27,9%
24,3%
24,1%
0% 10% 20% 30% 40% 50% 60% 70%
Security
WAN optimization
Policy control and management
Automation
Intelligent dynamic WAN path selection
Integrated routing
Transport agnostic (overlay over any…
Analytics
Application visibility
N = 605
Base=All Respondents
Notes: Managed by IDC's Quantitative Research Group. ;Data Not Weighted ;Use caution when interpreting small sample sizes. ;Multiple
dichotomous table - total will not sum to 100%
Source: Software-Defined WAN (SD-WAN) Survey, IDC, April, 2017
Cisco SD-WANправо выбора
Cisco SD-WAN
• Локальное управление с автоматизацией
• Software Defined WAN для внедрения и
настройки с кастомизируемыми сценариями
• Всестороння поддержка партнёрских решений
• Лучшая функциональность там где она нужна
IWAN / SD-WAN
• Облачное управление сетью
• Включает настройку zero-touch и
оптимальный набор функций «с коробки»
• Автоматическое обновление функций,
прошивок, обновлений безопасности с облака
• Простота как она сеть
Cisco Cloud-Managed MerakiCisco On-Premise ISR
Два варинта предложения
• Has mandate or preference for migration to cloud
based offerings
• Other Meraki already deployed (MR/MS)
• Simple/easy (lean IT)
• UTM
• DIA for employee/guest
• Template based configuration
• Granular SD-WAN policies (per-device/per-group)
• Rapid deployment requirement
• Automation through programmability (RESTful API
Interface)
• Spoke-spoke at small scale
Скорее Meraki SD-WAN если:
• ENCS/ENFV
• Multicast
• WAN optimization
• Segmentation
• Advanced Voice/Collab (leveraging ISR)
• ACI/SDA adopter/candidate (end to end)
• TDM WAN interfaces
• Positive impression APIC-EM/Prime
• Intelligent path control with complex policies
• Spoke-spoke at large scale
• High bandwidth hubs (> 10 Gbps).
• Strongest encryption (FIPS-140, Suite-B)
Скорее Cisco IWAN если:
Справочное позиционирование
Cisco IWAN или Meraki SD-WAN
Пример текущего дизайна сети
Internet
MPLS
Distribution
Nodes
Access
Nodes
VXLAN Fabric ACI Fabric
Shared Services
Internet Edge
WAN
Agg
Large
Hybrid
IWAN Site
Role Platform
Access Node • Cat3K
• Cat4K
Distribution
Node
• Cat3K
• Cat4K
• Cat6K
WAN Node • ASR1K-HX
• ISR4K
• ASR9K
Centralized
WLC
• 8540
• 5520
• x800 APs
IWAN BR/MC • ASR1K
• ISR4K
Internet Edge • ASR9K
• ASR1K
• ISR4K
IWAN BRCentralized
WLC
OTT
Guest
WLCs
IWAN BR
IWAN MC
MetroE
WAN
WAN
Edge
WAN
Site
Core
Nodes
Small
Hybrid
IWAN Site
Small
Internet
IWAN Site
IWAN
Cisco SD-WANIWAN сценарий
Intelligent WAN (IWAN)
MPLS
Branch
3G/4G-LTE
AVC
Internet
PrivateCloud
VirtualPrivateCloud
PublicCloudWAAS
AkamaiPfRv3
Transport
Independence
Intelligent
Path Control
Application
Optimization
Secure
Connectivity
IPSec WAN Overlay
Consistent Operational Model
Optimal application routing
Efficient use of bandwidth
Performance monitoring
Optimization and Caching
NG Strong Encryption
Threat Defense
DMVPN, PKI Performance Routing (PfR)
QoS
AVC, WAAS, Akamai Suite-B, CWS, ZBFW
Management & Orchestration Cisco PrimeAPIC-EM
IWAN APP
16
Откуда начать настройкуPrime или APIC-EM?
Prime DashboardIWAN App Dashboard
1. Кнопка «включить счастье»
2. Нет нужды знать CLI
3. Фокус на определении политик
бизнес уровня
1. Настройка вплоть до CLI уровня
2. Нестандартные сценарии IWAN
3. Детальный мониторинг и траблшутинг
IWAN CVD
Architecture/Config Recommendations
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Datacenter/ Management NOC
IWAN with Prime Infrastructure and APIC-EM
Prime Infrastructure
GUI with workflow provisioning IWAN
templates (customizable)
GUI for monitoring/assurance
• Fault management
• Service health
• Assurance
• QoS monitoring
• WAN/PfR monitoring
Life-cycle management:
• System of record
• Config archive
• IOS upgrades
• Config compliance / base-lining
Branch
APIs
MPLS
Internet
APIC-EM
PnP/PKI
PnP Service
PKI Service
18
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
IWAN App integration with Cisco Prime Infrastructure 3.1
• Plug and Play
• Secure PKI certificate automation
• IWAN CVD provisioning (DMVPN, QoS, PfR, AVC)
• Centralized business policy definition
• Definition of application categories path preference
Prime Infrastructure
3.1
Rest APIs
• Devices are auto-created in PI 3.1
• IWAN App uses Prime to collection “Compliance”
reports and detect out of band changes
Prime will additional Provide (in its GUI)
• PI starts PfR monitoring automatically/AVC/QoS
(assurance) monitoring
• Configuration archive
• Detailed Network level monitoring (CPU, Mem,
Interfaces)
APIC-EM
IWAN APP
BRKNMS-1040 19
VPN Aggregation Topology for IWAN
Transport
Independence
IPSec WAN Overlay
Consistent Operational Model
DMVPN, PKI
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
DMVPN Deployment with Prime
21
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Verify New Path: • Verify traffic is flowing on new path
• Revert to previous path if
performance remains
out-of-policy
5
Performance Routingцикл принятия решения
1
Learn Your Traffic
Classes: • Prefix-based flows
• ACL-based flows
• Application flows
Measure:• Network Performance
Passive: Netflow Data (Throughput)
Active: IPSLA Probes (Jitter, Delay)
• Network Availability
Reachability and Topology Info
via Routing Process
2
Apply Your Traffic Policy: • Compute Path Performance
• Compare to defined policy per traffic class
Passive Mode: BW, Delay (TCP), Loss (TCP)
Active Mode: Delay, Loss, Jitter, MOS
3
Select Path:• Send Good path to BRs
for each traffic class
• BRs inject best path into FIB
• Gather new path
performance info
4PfR
Intelligent
Path Control
Optimal application routing
Efficient use of bandwidth
Performance Routing (PfR)
QoS
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
PfR dashboard
23
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
LineRate
ShapedRate
Traffic shaping limits the transmit rate to a value lower than line rate
with Traffic
Shaping
without
Traffic Shaping
0EF
SET MUTATEACL
NBAR
DSCP
LineRate
PolicedRate
Policing discards traffic which exceeds policed rate
without Policing
with Policing
Функции QoS
Classification
Marking/Mutation
Shaping/Policiing
Queueing
Bandwidth Allocation
24
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Enable/Disable QoS in 1-Click
Easy Enable/Disable/Update QoS
Enable QoS on multiple interface
Configure QoS profiles/classification and action
together
BRKNMS-1040 25
Что влияет на качество работы сетевых приложений?
Секрет качества работы приложений
Packet lossBandwidth Latency
All of the above
Application
Optimization
Performance monitoring
Optimization and Caching
AVC, WAAS, Akamai
Branch: vWAAS on UCS-E + ISR4000
Platform
ISR 4331 ISR 4351 ISR 4451
UCS-E Server
Virtual WAAS
vWAAS
750
vWAAS
6000
vWAAS
12000**vWAAS
200
vWAAS
1300
vWAAS
2500
Hypervisor
Лицензии включены в бандлы Cisco One и AX/V
UCS E140S-M2 UCS E160S-M3 E1xxD M2, M3
Platform
Hypervisor
Virtual WAAS
VNFs
ENCS 5400 Series
Branch: vWAAS NFV on ENCS 5406/08/12
vWAAS
750
vWAAS
6000
vWAAS
12000**vWAAS
200
vWAAS
1300
vWAAS
2500
Network Functions Virtualization
Infrastructure Software (NFVIS
Headend: vWAAS on UCS-C
UCS-E Server
Virtual WAAS
vWAAS
12,000
vWAAS
50,000
Hypervisor
UCS-C Series/COTS
Cisco IWAN 2.2
IWAN 2.2 текущие возможности
Region 2
SD-WANWAN
Core
vBranchV
CNFEdge
Connect
Regional
SD-WAN
CNFEdge
Connect
V V
Internet
MPLS
DCEdge
Connect
Branch
Multiple Overlay Termination on Single Hub
Granular Load-balancing
1
1
2
3
2
Public
Cloud
3
4
DIA Optimization For SaaS
(NGSSL: All https applications: AKC)
IWAN support for vBranch4
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Applications
Network-Wide Abstractions Simplify the Network
SecurityOrchestration Automation Collaboration
SOUTHBOUND ABSTRACTION LAYER
REST API
CATALYST® CISCO NEXUS® ASRISR WIRELESSASA OTHER
SDN Ideal: Controller as the
Application Platform
The SDN
Ideal:Controller as
the Application
Platform
Virtualization
BRKNMS-1040 32
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
APIC-EM
• User and things centric policy abstraction
• Simplification of complex network configuration with embedded Cisco best practices
• Supports existing and new devices
• Virtual (ISO) or appliance-based delivery
Ready-to-deploy applications (at v1.4): IWAN
Plug and Play (PnP) and PKI
Path Trace
EasyQoS
Cisco Enterprise SDN for WAN and Access Networks
BENEFITS:• Brownfield Support
• Ready-to-use-Applications
• Open Northbound APIBRKNMS-1040 33
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
`
APIC-EM - Platform Architecture
Network PnP Network InventoryPath TraceIWAN
Advanced Topology Visualizer
APIC-EM
Applications
APIC-EM Controller
Northbound REST APIs
APIC-EM
Services
Grapevine
Inventory
ManagerRBAC Policy Analysis
Policy
Programmer
Network PnPData Access
Service
Topology
ServicesIWAN
Services
Elastic Service Infrastructure
APIC-EM
Applications
APIC-EM
Services
Addresses
Scale Out
and HA
Requirements
BRKNMS-1040 34
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Policy-Based Controller
Правильный SD-WAN– Cisco Intelligent WAN + SDN
Intelligent Path Control
Application Optimization
Secure Connectivity
TransportIndependence
APIC-EM
IWAN APP
Приложение WAN App на APIC-EM
HUB: 2 Datacenters / 4 WAN Links
(MPLS /INET/ 4G)
1 4
5
APICEM: 32GB / Behind NAT / Sub CA
MPLS-1
Branch 2
DCEdge
Connect
MPLS-2
4G
Branch 1
DCEdge
Connect
NATINET
2 Zero Touch Deployment
3 Brownfield deployment – LAN: OSPF / EIGRP
Branch: Behind NAT /1 or 2 routers / 3 Links
6
Day 0 & Day N: Qos
Bandwidth customization
and changes
IWANAPP has 6-8 WEEK release cadence, separated from APIC-EM release
7
Branch: ISRG2 / 4K/ NFV Robustness & Digital
Assistance8
9 LiveAction Integration 10 Descriptive DesignsBeta
Cisco IWAN & PI
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг №1
Закладка IWAN в
меню сервисов
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг №2
IWAN сценрий начат.
Жмём Next для начала
39
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Out-of-the-Box IWAN шаблоны
Эти шаблоны полностью следуют
IWAN Cisco Validated Design (CVD)
BRKNMS-1040 40
DNA: Виртуализация
Архитектура цифровых сетей Cisco DNA
Автоматизация
Абстракция и управление
политиками от ядра
до периметра
Открытость и возможность программирования |
На основе стандартов
Открытые API-интерфейсы | Среда разработчиков
Управление сервисами
Политика | Оркестрация
Виртуализация
Физическая и виртуальная инфраструктура |
Хостинг приложений
Аналитика
Данные сети,
контекстная аналитика
Аналитика
и удобство
работы
Автоматизация
и надежность
Безопасность
и соблюдение
требований
Сетевые приложения
Поддерживается в облаке | Реализована программно
Принципы
Зачем NFV в корпоративной среде?
0 10 100 1000
Вычислительные ресурсы Сетевые технологии
Секунды
Источник: Open Compute Project Скорость развертывания
Ни
зка
я с
кор
ость
0
100%
Источник: Forrester
Капитальные затраты Эксплуатационные затраты
33 % 67 %
Затраты на сеть
Вы
со
кие
затр
аты
Разв
ерты
вани
е W
AN
1. Длительное время • Много местоположений
2. Сложность• Конфигурация каждого
устройства по отдельности
3. Высокие затраты• Визиты к клиентам
и полеты
"Штаб-квартира"
Авто
ма
тиза
ци
я и
внед
ре
ни
е п
ол
ити
к
1. Приложения• Мониторинг и контроль
2. Бизнес-требования• Быстрое развертывание
3. Безопасность
и соблюдение
нормативных
требований• Изменение политик
и QoS
ISR 4000 + UCS серии E
UCS серии С ENCS
ПО виртуализации инфраструктуры сетевых функций (NFVIS)
Enterprise Service Automation (ESA)
Введение: Cisco Enterprise NFVСетевые сервисы за считанные минуты на любой платформе
Виртуальный
маршрутизатор
(ISRv)
Виртуальный
межсетевой экран
(ASAv)
Виртуальное
решение для
оптимизации
WAN (vWAAS)
Виртуальный контроллер
беспроводной LAN (vWLC)
Виртуальные
сетевые функции
(VNF) стороннего
поставщика
Свобода выбораВиртуализированный филиал Cisco
Виртуальный маршрутизатор
Виртуальные сервисы
ENCS
Возможность
переноса
лицензии
Единообразие
сервисов
Непрерывность
бизнеса
Enterprise NFV
Физический маршрутизатор
Виртуальные сервисы
ISR серии 4000+ UCS серии E
Традиционные
Физический
маршрутизатор
ISR серии 4000
Централизованные сервисы
Фиксированные интегрированные
сервисы
Привычный процесс
Обновляемое аппаратное обеспечение
Детерминированная маршрутизация
Набирает популярность
Гибкие функции маршрутизации
и эксплуатационные характеристики
Быстрая адаптация
Cisco ENCS
6, 8, или
12-ядерный
Intel Xeon-D
8–64
Гбайт
DRAM
8 интегрированных
портов LAN
с дополнительным
портом POE
Сетевой интерфейсный
модуль для LTE
и прошлой версии WAN
Выделенный
контроллер для
управления платами
2 HDD или SSD
RAID 0 и 1
Внутренняя
система хранения M.2
USB 3.0
Хранилище
2 встроенных порта
Gigabit Ethernet
с SFP
Дополнительный
аппаратный RAID-
контроллер
Встроенный
источник
питания
Дополнительный
аппаратный модуль
шифрования
Аппаратное ускорение для
обработки трафика ВМ
2.0 5
1.9
4
1.5
3
2
1.0
1
0 ISRv
ENCS 5400 Portfolio - Chassis Options
ENCS541212-Core
ENCS54088-CoreENCS5406
6-Core
ENCS5406 ENCS5408 ENCS5412
CPU 6-core, 1.9GHz 8-core, 2.0GHz 12-core, 1.5GHz
PoE No 200W 200W
Capacity Guidance ISRv + 2 VNFs ISRv + 3 VNFs ISRv + 5 VNFs
CPU Clocking GHzThroughput ratio
VNFs
47
ASAv vWAAS vWLCISRv
Лучшие в своем классе проверенные сервисы от CiscoЕдинообразное ПО для физической и виртуальной инфраструктуры
Высокая
производительность
Разнообразные
функции
Комплексная
поддержка
Проверенное ПО
Лидер в квадранте
Gartner MQ
Устройство № 1
по поставкам
Превосходное
кэширование за счет
Akamai Connect
Устойчивость
и масштабируемость
Согласованность между
ЦОД и коммутаторами
Предназначено
для малых и средних
филиалов
Всеобъемлющая защита
Полная
функциональность
класса ЦОД
Предназначено для NFV
Экономическая
эффективность
благодаря NFV
• Решение позволяет создавать цепочки СЕТЕВЫХ сервисов
• В фазе 1 предполагается, что на одном хосте используется одна цепочка сервисов
• В последующих фазах их число возрастет
• Объединять приложения в цепочки нельзя
• Типичная цепочка функций VNF для фазы 1:
Создание цепочек сервисов в решении Enterprise NFV
vWAAS
WAN
Маршрутизатор/VPN Опт. WAN Межсетевой
экранIPS/IDS
Маршрутизатор/ VPN Межсетевой экран
vWAAS
LAN
Маршрутизатор/VPN Опт. WAN Межсетевой экран
IWAN
vWAAS
Опт. WAN
vWAAS
Опт. WAN IPS/IDS
WAN
WAN
LAN
LAN
WAN
WAN
LAN
LAN
IWAN
Оркестрация и управление Enterprise NFV
ISR+UCS-E CSX UCS
NFVOS
CSR
1000v ASAv vWAAS vFirePower VNFn App1 Appn App2
ESA + APIC-EM + Prime Infrastructure
… …
• Мониторинг работоспособности
• Динамическое масштабирование сервисов по требованию
• Оперативное управление соглашениями об уровне
обслуживания (SLA)
• Автоматическое развертывание
• Автоматическая оркестрация платформы
и функций VNF
• Объединение сервисов и их лицензирование
• Стандартные шаблоны для разных типов филиалов
• Определение политик на основании приоритетов для бизнеса
• Пользовательские или предписывающие дизайны
Автоматическая оркестрация, управление, применение политикEnterprise Service Automation (ESA)
Выбор используемых
устройств
Определение
местоположений филиаловРазработка профиля
и выбор функций
Присвоение шаблонов
и атрибутов
Выбор
утвержденных
технологий1 2 3
5
4
Enterprise Service Automation
Простой рабочий процесс
Перенос в филиалы
Виртуализация корпоративной сети — фаза 1
Вычислительная система корпоративной сети
(Enterprise Networking Compute System, ENCS)
Предназначена для рабочих нагрузок в филиалах
NFVIS — локальное управление
APIs, PnP, монитор
работоспособности
Управление
платформойГипервизор
Виртуальная
коммутация
Интегрированное управление для функцийPnP, приостановки работы WAN, небольшихразвертываний
Виртуальные функции / сервисы
vNF, vAF, vMF от Cisco и сторонних поставщиков
Виртуальные функции Cisco
Виртуальные сетевые функции сторонних поставщиков
Сервисы под управлением ОС сторонних поставщиков
Автоматизация и оркестрация
ESA
APIC-EM
PnP
APIC-EM
Инфраструктура
Cisco PrimeУправление
функциями
Решение Enterprise Service Automation (ESA) обеспечивает оркестрацию всех рабочих процессов
Функция PnP для первоначальной настройки
Пример интерфейса ESA
Пользовательский дизайнвиртуального филиала
• Выберите
компоненты
филиала
• Составьте
цепочку
сервисов
Определите
конфигурацию
функций VNF
Функциональные возможности ПО1
Cisco ONE™
Foundation
Cisco ONE упрощает приобретение
Беспроводная | Коммутация | Маршрутизация
Физическая | Виртуальная
Платформа2
Традиционная
Подписка
Корпоративная
модель
Модель покупки3
Advanced
Application
Advanced
Security