Спонсор презентации: cisco connect...Архитектура intelligent wan (iwan)...

Спонсор презентации:

Cisco Connect Москва, 2017

Цифровизация: здесь и сейчас

Инновации Cisco для маршрутизации в корпоративных сетях

Сергей Полищук

Системный инженер

© 2017 Cisco and/or its affiliates. All rights reserved.

Цифровизация в филиалах

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3

ФИЛИАЛ

Обновления

ОС

HD

Video

Мобильные

приложения

Online

обучение

Social

Media

Гостевой

Wi-Fi

БОЛЬШЕ

ПОЛЬЗО-

ВАТЕЛЕЙ

БОЛЬШЕ

ПРИЛО-

ЖЕНИЙ

БОЛЬШЕ

УГРОЗ

80% клиентов и сотрудников

обслуживаются в

филиалах*

20-50% ежегодный рост

трафика WAN по

2018 г.**

30% угроз безопасности

направлено на

филиалы к 2016 (с 5%)

***

Omnichannel

приложения

SaaS

приложения

Цифровые

вывески

* Tech Target, Branch Office Growth Demands

New Devices., 2013

** Gartner, Forecast Analysis: Worldwide

Enterprise Network Services, Q2 2015 Update

*** Gartner: “Bring Branch Office Network Security

Up to the Enterprise Standard, Jeremy

D’Hoinne, 26 April. 2013.

Ещё несколько цифр...

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4

IT бюджетов

расходуется на

оплату каналов WAN

58%

приложений используются

поверх Интернет

50%

упоминают низкую производительность

работы приложений поверх WAN как

серьезную проблему

48.6%

считают проблемой

управление и

эксплуатацию

инфраструктуры филиала

32.4%

Source: IDC Worldwide SD-WAN Survey Special Report (May 2016)

Cisco Digital Network Architecture

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 5

Автоматизация

Абстракция и управление

политикой

Облачные сервисы

Политика | Оркестрация

Виртуализация

Физическая и виртуальная инфраструктура

Аналитика

Сетевая телеметрия и

контекст

Принципы

Cisco Intelligent WAN (IWAN)

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6

3G/4G-LTE

Филиал

Частное облако

Виртуальное частное облако

Публичное облако

MPLS (IP-VPN)

Internet

V

Всё больше бизнес-

процессов требуют

постоянно быть online

и трафик постоянно

растет! ...

... но в то же время

необходима оптимизация

IT бюджетов

Модели внедрения Intelligent WAN

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7

Dual MPLS

Internet

Самые надежные SLA

– Централизованный доступ в

интернет

– Дорого

Облако

MPLS

Филиал

MPLS

Больше полосы для приложений

Сбалансированные SLA

– Умеренная цена

Облако

Филиал

MPLS+

Internet

Лучшая цена/производительность

Наибольшая гибкость

– Отсутствие SLA

Internet

Филиал

Главный офис Облако

Hybrid Dual Internet

Internet

Главный офис

До 5 путей

в IWAN 2.1.1

Архитектура Intelligent WAN (IWAN)

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8

MPLS

Филиал

3G/4G-LTE

Internet

Частное облако

Виртуальное частное облако

Публичное облако

Оптимизация приложений

Улучшенная

производительность и

visibility

Безопасная связь

Целостность и

конфиденциальность

данных, защита от угроз

Интеллектуальный выбор пути

Маршрутизация с

учетом потребностей

приложений

Независимость от транспорта

Консистентный,

оптимальный дизайн

маршрутизации

Автоматизация управления

Независимость от транспорта с DMVPN

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9

• Упрощение эксплуатации • Overlay routing: DMVPN

• Топология Hub-n-Spoke, динамический full mesh

• Единый протокол маршрутизации (EIGRP, IBGP) независимо от типа используемого транспорта

• Проще, чем разные протоколы маршрутизации в дизайне без туннелей

• Консистентные топология, траблшутинг

• Гибкость и независимость от транспорта • Поверх любого транспорта: MPLS, Carrier Ethernet, Internet, 3G/4G

• Независимость от операторов

• Возможность изменения типов транспорта без влияния на архитектуру маршрутизации (4G при запуске, проводное подключение в дальнейшем)

• Надежность • Проверенные технологии

• Опции резервирования: платформа, площадка, транспорт

• Опции обеспечения безопасности

Филиал

Internet MPLS

DMVPN Purple

DMVPN Green

IWAN

Data Center

ISP A SP B

Как работает Cisco Performance Routing

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 10

ISR

ASR1K Изучение

активных

классов

BR BR

MC+BR MC+BR MC+BR MC+BR

Классы

трафика

MC

Измерения

производительности

BR BR

MC+BR MC+BR MC+BR MC+BR

MC Лучший

путь

BR BR

MC+BR MC+BR BR MC+BR

MC

Задание пути Измерение

производительности Изучение трафика Задание политик

MC & BR

Политика для класса

трафика

Классы трафика:

агрегация потоков на

один префикс с

одинаковым DSCP /

App ID

Performance Monitor

Пассивное: реальный

трафик

Активное: Smart Probes

Route Control

Enforcement

На основании политики

и результатов

измерений

Интеллектуальный выбор пути с PfRv3

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11

Позволяет создавать

гибридные WAN

Эффективное

распределение трафика

на основе загрузки или

препочтительного пути

Выбор пути для

трафика приложений

в зависимости от

качества канала

Реакция на проблемы

на пути трафика

(blackout, brownout в

сети оператора)

Оптимизация

расходов на WAN

Рациональное

использование

полосы WAN

Лучше

производительность

приложений

Выше доступность

приложений

Главный офис Филиал

ASR 1000

ASR 1000

ISR

MPLS

Internet

Application Visibility and Control (AVC)

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12

Филиал

Частное облако

ЦОД / главный офис

Публичное облако

Cisco AVC

Cisco Performance Monitor

• Распознавание приложений на основе NBAR2

• Экспорт данных с помощью NetFlow v9/IPFIX

• Интеграция в PI и другие средства управления

Комплексные метрики производительности

• Traffic Statistics

• Application Response Time

• Voice/Video Monitoring

• URL Collection

Выполнение бизнес-требований

• Мониторинг уровня обслуживания приложения

• Аналитика для настройки сетевых политик, планирования емкости

AVC AVC

Оптимизация WAN с WAAS и Akamai Connect

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13

Private Cloud

Филиал

DC/POP

Оптимизация приложений

• Улучшение производительности, компенсация задержки, экономия полосы

• DRE, LZ, TFO

• Оптимизация на уровне прикладных протоколов

Кэширование и препозиционирование

контента

Бизнес-результат

• Значительное повышение производительности работы приложений поверх WAN

• Возможность централизации ресурсов, выгоды TCO

• Высокая продуктивность работы с приложениями

vWAAS WAAS

WAAS

WAN

Улучшение производительности

работы приложений поверх WAN

• Оптимизация использования полосы и ускорение работы

• Интеллектуальное кеширование внутреннего и Интернет-контента

• Препозиционирование данных и мультимедийных объектов до того, как они потребуются

Безопасность в IWAN

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14

• Безопасный IPsec VPN overlay с технологиями шифрования нового поколения

Internet Key Exchange v2 (IKEv2)

AES Galois/Counter Mode (AES-GCM 256)

Secure Hash Algorithm (SHA2)

• Аутентификация оборудования и ПО Технологии Trust Anchor: Secure Boot, Secure Unique Device Identification (SUDI)

• Контроль доступа IOS Zone-based Firewall и ACLs

Role based access control с логированием действий администраторов

Front VRF для изоляции сети оператора

Control Plane Policing (CoPP)

MPLS Internet

Филиал

ASR 1000 ASR 1000

ISP A ISP C

Главный офис

Сеть, управляемая политикой

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15

Политики приложений: – AppID, полоса, задержка, потери, джиттер,...

Политики безопасности: – Сегментация, контроль доступа,

конфиденциальность, ...

Контроллер собирает данные из

сети и внедряет политику в сеть

Сеть

Контроллер SDN

Политика

1

2

3

Сеть выполняет политики

и сообщает статус и

события

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 16

Приложения

Безопасность Оркестрация Автоматизация

SOUTHBOUND ABSTRACTION LAYER

REST API

CATALYST® CISCO NEXUS® ASR ISR WIRELESS ASA OTHER

SDN Ideal: Controller as the

Application Platform

Контроллер

SDN как

платформа с

приложениями

Виртуализация IWAN

Cisco Application Policy Infrastructure Controller Enterprise Module (APIC-EM)

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17

Приложение Cisco IWAN (IWAN app)

Портфель средств управления Cisco IWAN

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18

• Когда нужны

продвинутый

провиженинг, управление

жизненным циклом,

кастомизированные

политики

• Средство обеспечения

консистентности сети

• Lean IT или IT Network team

Cisco

Prime

Infrastructure

• Когда нужна гибкость

настройки IWAN с

мониторингом end-to-end

• Единая система для

обширного портфолио

продуктов Cisco

• IT Network team

Управление и

мониторинг сети

Ecosystem Partners

IWAN App

• Когда нужна

значительная

автоматизация и

простота эксплуатации

• Требования, подходящие

под IWAN Validated Design

• Lean IT

Автоматизация

задания политик

• Когда нужны

продвинутый мониторинг

и визуализация

• Настройка QoS/ PfR/ AVC,

аналитика и траблшутинг в

реальном времени

• IT Network team

Управление

производитель-

ностью приложений

Продвинутая

оркестрация

Потребность виртуализации инфраструктуры филиала

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19

«Физический» филиал

Сервисы в виде отдельных аппаратных устройств Долгое, дорогостоящее внедрение

Сложность поддержки и модернизации Недостаточная гибкость

«Виртуализованный» филиал

Сервисы в виде программных функций Быстрое, оптимальное внедрение

Автоматизация эксплуатации Высокая гибкость

Представляем Cisco Enterprise NFV

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20

Cisco 4000 Series ISR + UCS® E-Series

Cisco® UCS C-Series

Enterprise Network Compute System (ENCS)

Network Functions Virtualization Infrastructure Software (NFVIS)

Cisco Enterprise Service Automation (ESA) + APIC-EM + PI

Virtual Router

(ISRv)

Virtual Firewall

(ASAv)

Virtual WAN

Optimization

(vWAAS)

Virtual Wireless

LAN Controller

(vWLC) Third-Party VNFs

Виртуальные функции для Вашей сети

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21

APIC-EM с

Enterprise

Service

Automation

vRouter

vFirewall

vWAN Optimization

vWLAN Controller

3rd party services

ISR/UCS E-Series

UCS C-Series

X86 Server

Выберите функции

сети 1

Выберите

платформу 2

Оркестрация и

автоматизация 3

IT Agility

Cisco Plug and Play

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22

PnP Agent

Работает на коммутаторах, маршрутизаторах, UCS-C, ECS-E, ENCS и т.д.

Автоматизирует обнаружение и провиженинг

PnP Server

Централизованный сервер (APIC-EM)

Автоматический провиженинг устройств конфигурациями и образами ПО

PnP Protocol

На основе HTTPS/XML

Network PnP Application UI

IWAN App

Topology Discovery

REST API

PnP

Servic

e APIC-EM Controller

4

PnP Helper App

Загружает изначальную конфигурацию, инициирует запуск подключения к APIC-EM

5 PnP Connect Service

Облачный сервис Enterprise

Service Automation

Запуск устройств в филиале с ESA

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23

WAN

SN

, IP fo

r host

Office

NFVIS

IPS

WAAS

vSwitch

Pro

file

to S

N

mappin

g

Pro

vis

ionin

g

Pro

vis

ionin

g

• ESA, PI и APIC-EM совместно работают при запуске филиала

APIC-EM / Prime Infrastructure PnP

Day 0/1 config

repository

REST

Enterprise Services Automation (ESA)

Аппаратные платформы Enterprise NFV

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24

Virtual Router

Virtual Services

UCS C-Series

Enterprise NFV

Physical Router

Virtual Services

4000 Series ISR +

UCS® E-Series

«Классика»

Physical Router

Cisco® 4000 Series ISR

Cisco ONE™ Портативность лицензий

Защита

инвестиций

Доступ к

инновациям

Virtual Router

Virtual Services

Enterprise Network

Compute System (ENCS)

Серия ENCS 5400

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25

6, 8, или 12-Core

Intel Xeon-D

16 – 64 GB

DRAM

Интегрированный 8-

портовый коммутатор с

опцией POE

Слот Network Interface

Module для LTE & WAN

Выделенный Board

Management Controller

2 HDD или SSD

RAID 0 & 1

Интегрированный

M.2 Storage

USB 3.0

Storage

2 порта Gigabit

Ethernet ports

с SFP

Опциональный

аппаратный RAID

контроллер

Интегрированный

блок питания

Аппаратная оптимизация

передачи трафика между

виртуальными машинами

Enterprise NFV: сервер UCS C220 M4

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26

Создан для широкого спектра нагрузок

Модульная вычислительная платформа 1RU CPU: Single/Dual Xeon E5-2600 (до 18 ядер на сокет)

Оперативная память: до 784 Гб

Хранение: 4 или 8 до 8 Тб (RAID 10)

Внешние интерфейсы: Два GE на борту

Два слота PCIe и слот mLOM

Cisco Integrated Management Controller (CIMC)

Резервирование компонентов (БП, вентиляторы, жесткие диски)

VM VM VM

NFVIS

Портфолио UCS E-Series

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27

Ма

сш

таб

ируе

мо

сть

Производительность

UCS-E160D

6-core, 2.0 GHz,

96 GB RAM

UCS-E180D

8-core, 1.8 GHz,

96 GB RAM

6-core, 1.9 GHz,

32 GB RAM

UCS-E140S

4-core, 1.8 GHz,

16 GB RAM

UCS-E160S

2-core, 2.0 GHz,

16 GB RAM

UCS-EN140N

4-core, 1.0 GHz,

8 GB RAM

UCS-EN120S

New

Сертифицированы с

VMware, Hyper-V, Citrix

Сервисные контейнеры в Cisco IOS-XE

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 28

Linux OS

KVM/LXC

IOSd

Control Plane

Cisco Apps (WAAS, Snort) Приложения

сторонних разработчиков

Platform-Specific Data Plane

Internal Services Blade

(UCS® E-Series)

External Services Blade

(UCS)

Virtual Ethernet

Архитектура Cisco ISR 4400

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 29

Control Plane (1

ядро) и Services

Plane (3 ядра)

Data Plane

(6 или 10 ядер)

Multigigabit

Fabric

FPGE

ISC

SM-X

NIM Service Plane

(control plane CPU)

Гипервизор KVM

Сервисный

контейнер

Здесь живут

сервисные

контейнеры:

75% CPU

IOS-XE

25% CPU

Маршрутизаторы для филиала: ISR4000

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 30

ФУНКЦИОНАЛ IWAN

ГИБКОСТЬ И УПРАВЛЯЕМОСТЬ

ВЫСОКАЯ И ПРЕДСКАЗУЕМАЯ

ПРОИЗВОДИТЕЛЬНОСТЬ

IOS Firewall, VPN, IPSec, PfRV3, NBAR2, AVC, AppNav, VRF, MPLS

Автоматизация с APIC-EM

Возможность программного апгрейда производительности

Интеграция сервисов

NFV

Разделение data, control, services plane

Предсказуемая производительность ISR4431

ISR4351

ISR4331

ISR4321

ISR4451

500Mbps/1Gbps

200/400Mbps

100/300Mbps

50/100Mbps

1-2Gbps

ISR4221 35/70Mbps New

Маршрутизаторы для агрегации: ASR1000

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 31

ФУНКЦИОНАЛ IWAN

ВЫСОКАЯ

ОТКАЗОУСТОЙЧИВОСТЬ

МОЩНЫЕ, КОМПАКТНЫЕ

МАРШРУТИЗАТОРЫ

IOS Firewall, VPN, IPSec, PfRV3, NBAR2, AVC, AppNav, VRF, MPLS

Отдельные control и data planes

Резервирование аппаратуры и ПО

In-service software upgrades

Производительность 2.5G ... 200G+ со включенными сервисами

Криптоподсистема 2G ... 60G+

Гибкость I/O: SPAs и Ethernet LCs

2.5G с апгрейдом до 5G, 10G, 20G

До 8G крипто

5G с апгрейдом до 10G, 20G, 36G

До 4G крипто

Модульный, до 200G

Резервирование RP/ESP

До 60G крипто

ASR1001-X

ASR1002-X

ASR1006-X

44G с апгрейдом до 100G

8, 16, 25G крипто

ASR1002-HX

ASR1001-HX

40G с апгрейдом до 60G

8G или 16G крипто

New

New

New

Подводя итоги: IWAN

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 32

Internet

Дизайн, независимый от транспорта

• Высокодоступная WAN нового поколения

Интеллектуальный выбор пути

• Эффективное использование ресурсов WAN и интеллектуальная балансировка нагрузки

Оптимизация приложений

• Application Visibility and Control (AVC) для мониторинга

• WAAS + Akamai для оптимизации производительности

Безопасная связь

• Защищенные туннели DMVPN

• Защита пользователей при доступе в Internet

IWAN: автоматизация и оркестрация

• APIC-EM IWAN-APP, Prime Infrastructure, LiveAction, GlueWare

DCI

WAN

Core

MC MC

20M Dn

2M Up

512M FD

BR BR

Mainland

MPLS

Island

ADSL

BR

ISR-AX

vWAAS ISR-AX

vWAAS

1.5M FD

256M FD

BR ASR-AX ASR-AX

WAAS WAAS

AVC

AVC AVC

ShowMe$$

DC-West DC-East

Internet Internet

Umbrella

Подводя итоги: Enterprise NFV

• Оптимизирует количество физических устройств в филиале

• Вместо нескольких разнотипных устройств и физической топологии – единое устройство с виртуальными сервисами и топологией

• Автоматизирует внедрение, управление, эксплуатацию

• Оптимизирует потребность в визитах IT-специалистов в филиал

• Оптимизирует логистику

• Облегчает реализацию лучших практик

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33

#CiscoConnectRu #CiscoConnectRu Спонсор презентации:

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410 www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia