Архитектура современной распределенной корпоративной сети IWAN 2.0
0 likes649 views
Документ описывает архитектуру Cisco Intelligent WAN (iWAN) 2.0, подчеркивая преимущества использования распределенных корпоративных сетей для снижения затрат и повышения надежности соединений. Основное внимание уделяется аспектам масштабируемости, безопасности и управлению трафиком, а также функциям оптимизации приложений. В рамках iWAN реализованы современные техники маршрутизации и управления полосой пропускания для улучшения производительности сети.
Архитектура современной распределенной корпоративной сети IWAN 2.0
- 2. Архитектура современной распределенной корпоративной сети IWAN 2.0 Денис Коденцев Системный инженер-консультант, CCIE dkodents@cisco.com 20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
- 3. • Предпосылки для Cisco IWAN • Развитие IWAN 2.0 в 2014-2015 годах • Почему Cisco IWAN? Содержание
- 4. Предпосылки для Cisco IWAN 20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.4
- 5. Cisco Intelligent WAN Бескомпромиссный уровень любого соединения Снижение затрат Бизнес приложения Упрощение IT процессов Private Cloud Hybrid Cloud Public Cloud Безопасный доступ Any Application Подготовьте инфрастуктуру для реальных бизнес-задач Any User
- 6. Использование Интернет в качестве WAN Недорогая альтернатива организаций планируют переход от выделенных на Интернет- подключения 1Internet Transit Pricing based on surveys and informal data collection primarily from Internet Operations Forums—‘street pricing’ estimates 2Packet delivery based on 15 years of ping data from PingER for WORLD (global server sample) from EDU.STANFORD.SLAC in California Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER) Стоимость Интернет и его надёжность, 1998-2012
- 7. Использование Интернет быстро окупается! 1.5 Mbps 10 Mbps $220 $140 $830 $260 $885 $274 $1,014 $303 Пример: Сан-Франсиско MPLS сервис и двойное Интернет подключение ($ в месяц) Двойное Интернет подключение с SLA $665 Экономия/ Месяц x 12 Месяцев X 1,000 узлов = $8M уменьшение затрат -75% iWANMPLS VPN CoS3 MPLS VPN CoS2 MPLS VPN CoS1 Источник: Telegeography MPLS VPN pricing for San Francisco as of March 2013; Comcast Web site; Verizon website 7
- 8. Искать компромисс? Больше не требуется! 8 • Масштабируемость 0 • Доступность и надежность 0 • Сетевая производительность 0 • Безопасность 0 • Эффективность управления 0 • Удобство использования 0 • Адаптируемость 0 • Стоимость 0 --------------------------------------------------- Всего (не должно превышать 100) 0
- 9. Развитие архитектуры IWAN 2014-2015 20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.9
- 10. Intelligent WAN – современная распределенная сеть MPLS Branch 3G/4G-LTE AVC Internet Private Cloud Virtual Private Cloud Public CloudWAAS Akamai PfRv3 Любой транспорт Интеллектуальный контроль трафика Оптимизация приложений Безопасность соединения ! IPSec WAN Overlay ! Удобная операционная модель ! Оптимальное маршрутизация приложения ! Эффективное использование полосы пропускания ! Performance monitoring ! Оптимизация и кэширование ! AES-256 шифрование ! Защита от внешних угроз DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW Управление и мониторинг Cisco Confidential ISR-AX ASR1000-AX
- 11. ISR G2 MPLS Один маршрутизатор, один путь ISR G2 Internet 99.95%* 99.90%* Простои в год 4–9 часов Простои в год 8 часов 46 минут ISR G2 MPLS MPLS Internet ISR G2 MPLS Один маршрутизатор, два пути Internet Internet ISR G2 99.995% 99.995% 99.995% 26 минут IWAN Solution Два маршрутизатора, два пути ISR G2 MPLS Internet ISR G2 ISR G2 Internet Internet ISR G2 99.999% 99.999% 5 минут ISR G2 MPLS MPLS ISR G2 99.999% * Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool. 11 Построение высоконадёжных WAN с Cisco iWAN Резервирование и выбор пути что-то да значат
- 12. Intelligent WAN – универсальный транспорт MPLS Branch 3G/4G-LTE AVC Internet Private Cloud Virtual Private Cloud Public CloudWAAS Akamai PfRv3 Любой транспорт Интеллектуальный контроль трафика Оптимизация приложений Безопасность соединения ! IPSec WAN Overlay ! Удобная операционная модель ! Оптимальное маршрутизация приложения ! Эффективное использование полосы пропускания ! Performance monitoring ! Оптимизация и кэширование ! AES-256 шифрование ! Защита от внешних угроз DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW Управление и мониторинг Cisco Confidential ISR-AX ASR1000-AX
- 13. Использует две проверенных технологии Отличительные особенности DMVPN – это решение на базе Cisco IOS для простого, динамического и масштабируемого построения IPsec+GRE VPN • Next-Hop Resolution Protocol (NHRP) Создаёт распределённую таблицу соответствия VPN (туннельного интерфейса) и реального («белого») адресов • Multipoint GRE tunnel interface Единый GRE интерфейс для поддержки большого числа GRE/IPsec туннелей и устройств Уменьшает размер и сложность конфигурации Поддерживает динамическое создание туннеля • Уменьшение конфигурации и простое расширение топологии: Транспортные протоколы (NBMA) IPv4 и IPv6 Клиенты с динамическими транспортными адресами Клиенты - за динамическим NAT, хабы – за статическим NAT Динамические туннели между клиентами Поддерживает MPLS; поддержка MPLS и VRF через GRE туннели Широкий выбор доступных топологий сети и опций Что такое Cisco Dynamic Multipoint VPN?
- 14. Пример DMVPN 14 Динамический туннель Spoke-to-spoke Клиент A Клиент B 192.168.2.0/24 .1 192.168.1.0/24 .1 192.168.0.0/24 .1 . . . Физический: 172.17.0.1 Tunnel0: 10.0.0.1 Физический: динамический Tunnel0: 10.0.0.11 Physical: dynamic Tunnel0: 10.0.0.12 Статический туннель Spoke-to-hub Известный IP адрес Динамические неизвестные IP адреса LAN могут иметь частные адреса
- 15. Intelligent WAN – контроль трафика MPLS Branch 3G/4G-LTE AVC Internet Private Cloud Virtual Private Cloud Public CloudWAAS Akamai PfRv3 Любой транспорт Интеллектуальный контроль трафика Оптимизация приложений Безопасность соединения ! IPSec WAN Overlay ! Удобная операционная модель ! Оптимальное маршрутизация приложения ! Эффективное использование полосы пропускания ! Performance monitoring ! Оптимизация и кэширование ! AES-256 шифрование ! Защита от внешних угроз DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW Управление и мониторинг Cisco Confidential ISR-AX ASR1000-AX
- 16. Define Traffic Classes and service level Policies based on Applications or Transport Classifiers ISR G2 ASR1K Border Routers learn current traffic classes going to the WAN based on classifier definitions Learning Active TCs BR BR MC+BR MC+BR MC+BR MC+BR Traffic Classes MC Measure the traffic flow and network performance and report metrics to the Master Controller Performance Measurements BR BR MC+BR MC+BR MC+BR MC+BR MC Master Controller commands path changes based on traffic class policy definitions Best Path BR BR MC+BR MC+BR BR MC+BR MC Как работает Perfomance Routing (PfR)? Применение политикиИзмерениеИзучение трафикаОпределение политики 16
- 17. Performance Routing v3 - измерение 17 Branch MPLS Internet Центральный сайт Branch Доступная полоса измеряется на выходе / Для каждого класса Производительность измеряется на входе Метрики RTP и TCP для каждого DSCP и сайта Threshold Crossing Alert (TCA) Отправляются источнику - loss, delay, jitter, unreachable
- 18. Интеллектуальное управление трафиком PfR Voice/Video пример Branch MPLS Internet Virtual Private Cloud Private Cloud Остальной трафик сбалансирован для максимальной утилизации полосы пропускания Voice/Video будет перенаправлен в случае деградации канала Voice/Video выбирает лучшие показатели задеркжи, джиттера и потерь
- 19. Топология IWAN 1.0 – 2014 год 10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24 R10 R11 R12 R13 MC IWAN POP1 IWAN POP2 MC DMVPN MPLS DMVPN INET BR1 BR3 BR5 BR7 10.8.0.0/16 10.9.0.0/16 • Один активный Datacenter • Доп. Datacenters с др.префиксами ограничено поддерживаются • Один активный BR на Hub-е 10.8.0.0/16 10.9.0.0/16
- 20. Топология IWAN 2.0 – 2015 год 10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24 R10 R11 R12 R13 BR2 MC IWAN POP1 IWAN POP2 MC DMVPN MPLS DMVPN INET BR1 BR4BR3 BR6BR5 BR8BR7 10.8.0.0/16 10.9.0.0/16 10.8.0.0/16 10.9.0.0/16 • Поддержка мульти-BRs per cloud per POP • Балансировка нагрузки между POPs DC1 DCI WAN Core DC2
- 21. Поддержка Multiple Next Hop Support Проблема: § Необходимо масштабировать кол-во BR § PfRv3 управляет трафиком внутри Tunnel Interfaces, не внутри multiple tunnels в единомTunnel Interface § Spokes имеют несколько next hops на одном DMVPN tunnel Interface § Определение канала: — local site id + remote site id + DSCP + Path(SP) — Нет механизма отличить трафик для одного SP канала Решение: PfRv3 DMVPN Multiple Next Hop § New channel definition — local site id + remote site id + DSCP + Path(SP) + Int tag § BR1 использует tag 1, BR2 использует tag 2 XE 3.15 15.5(2)S / PI27 15.5(2)T – март 2015 21 DMVPN2DMVPN1 10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24 BR1 BR2 BR3 BR4 R10 R11 R12 R13 Hub MC 10.8.3.3/32 MC1 Next Hop 1 Next Hop 2 10.8.0.0/16 IWAN POP1 Увеличение полосы пропускания за счет multiple BRs per path
- 22. Поддержка Multiple Data Center Проблема: § Необходимо разделить ЦОД / ЦО § Разделить префиксы от каждого ЦОД до офисов Решение: § ЦО могут анонсировать одинаковые префиксы § ЦОД могут размещаться независимо § Офисы получают доступ к ЦОД / DMZ через любой ЦО § И ЦОД / DMZ взаимодействуют с офисами через любой ЦО § Поддержка нескольких BR на уровне ЦО XE 3.15 15.5(2)S / PI27 15.5(2)T releases, March Все Prefix-ы доступны между Multiple BRs & Sites 10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24 IWAN ЦО1 IWAN ЦО2 MC1 MC2 R10 R11 R12 R13 ЦОД 10.8.0.0/16 10.9.0.0/16 10.8.0.0/16 10.9.0.0/16 10.8.0.0/16 10.9.0.0/16 0.0.0.0/0 DMVPN MPLS DMVPN INET BR1 BR1 BR2 BR2 BR3 BR3 BR4 BR4 EIGRP/BGP 10.8.0.0/16 10.9.0.0/16 10.0.0.0/8 0.0.0.0 EIGRP/BGP 10.8.0.0/16 10.9.0.0/16 10.0.0.0/8 0.0.0.0 Transit HubMaster Hub
- 23. Управление трафиком – дальнейшие планы Branch Site MPLS INET MPLS INET R14 DMVPN MPLS DMVPN INET DC1 DC2 LTE MPLS2 INET2 MPLS2 INET2 DC/MC MC DC/MC MC MC/BR ASA LTE DMVPN LTE BR 23
- 24. Intelligent WAN Основные компоненты MPLS Branch 3G/4G-LTE AVC Internet Private Cloud Virtual Private Cloud Public CloudWAAS Akamai PfRv3 Любой транспорт Интеллектуальный контроль трафика Оптимизация приложений Безопасность соединения ! IPSec WAN Overlay ! Удобная операционная модель ! Оптимальное маршрутизация приложения ! Эффективное использование полосы пропускания ! Performance monitoring ! Оптимизация и кэширование ! AES-256 шифрование ! Защита от внешних угроз DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW Управление и мониторинг Cisco Confidential ISR-AX ASR1000-AX
- 25. Cisco WAAS – оптимизация приложений Решение • Снижение загрузки Data redundancy elimination (DRE), compression, and TCP optimization • Оптимизация приложений Fewer protocol messages and metadata caching Проблема • Задержки на WAN • Доступная полоса WAN Application bandwidth with Cisco® WAAS Application bandwidth natively Application latency natively Application latency with Cisco WAAS 0 0 1 2 3 4 40 80 120 160 Доступная полоса Задержка приложения Полоса (Mbps) Задержка (секунды) Уменьшение используемой полосы Уменьшение задержки 25
- 26. IWAN 2.0 ЦОДОфис Akamai Intelligent Platform Optimal Experience Regardless of Device, Connectivity or Cloud All HTTP Traffic in Private, Public, Akamai Cloud Prepositioning | Dynamic HTTP Caching (YouTube) | Any Transport ISR-AX AKAMAI КЭШ WAN IWAN – оптимизация приложений с Akamai Connect
- 27. IWAN – оптимизация приложений с Akamai Connect Branch Office WAAS Service Module/ UCSe Branch Office WAAS-XE on ISR-4000 Branch Office WAAS Appliance Regional Office WAAS Appliance Data Center or Private Cloud WAAS Appliances VPN VMware ESXi vWAAS Appliances Server VMs AppNav + WAAS IWAN vWAAS WAE Server VMs VMware ESXi Server Nexus 1000v vPATH UCS /x86 Server FC SAN Nexus 1000v VSM Virtual Private CloudIWAN 2.0 27
- 28. Оптимизация приложений Дальнейшее развитие Internet Branch AVC PfR MPLS Data CenterISR ASR APIC-EM • Obtain nearest edge gateways from Akamai • Provision/Monitor 3rd DMVPN over Akamai Classify applications WAN Path Selection over Akamai • Select Akamai for apps & sites • Assign capacity • Monitor usage DMVPN Optimal Routing & Reliable Delivery Akamai Intelligent Platform 28
- 29. Internet VPN Up to X Mbps Offered BW : AVAILABLE BW Not always X, typically < X Mbps Офис ЦОД Управление полосой пропускания в условиях отсутствия SLA • Доступная полоса может меняться (Internet) • В случае деградации канала, кто принимает решение какие пакеты отбрасывать? • Влияет на критичные приложения! 29
- 30. Оптимизация приложений IWAN Adaptive QoS – доступно в 2015 30 Управляем полосой shaping на отправителе Sender Configure MQC Policy with Adaptive Shaping DMVPN Transport Monitoring Enable Collect Periodic bandwidth Stats on received traffic Transport Received Rate Calculate Available Bandwidth over the WAN Adjust Egress Shaper to observed rate
- 31. Intelligent WAN Основные компоненты MPLS Branch 3G/4G-LTE AVC Internet Private Cloud Virtual Private Cloud Public CloudWAAS Akamai PfRv3 Любой транспорт Интеллектуальный контроль трафика Оптимизация приложений Безопасность соединения ! IPSec WAN Overlay ! Удобная операционная модель ! Оптимальное маршрутизация приложения ! Эффективное использование полосы пропускания ! Performance monitoring ! Оптимизация и кэширование ! AES-256 шифрование ! Защита от внешних угроз DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW Управление и мониторинг Cisco Confidential ISR-AX ASR1000-AX
- 32. IWAN – развитие автоматизации APIC-EM Device Abstraction Layer REST APIs APIC-EM Services (Partial) CLIOnePK/Openflow PKI Svc NetFlow Svc PnP Svc Network Svc Events Svc Inventory Svc Traditional Management Systems CiscoPrime Evolution Apps IWAN Transport PKI Automation Security Intelligent Path Control Cisco IWAN Apps Partners (future) Application Experience PnP Provisioning 5 Nov CY2015 Capacity Planning, Troubleshooting, Change controlPrime
- 33. IWAN: SD-WAN анализ требований Branch Private Cloud Virtual Private Cloud Public Cloud MPLS (IP-VPN) Internet CSR1000-AX Physical or Virtual* devices Zero Touch Deployment L2/3 Interoperability Management Dashboard Open North-bound API Dynamic Traffic Engineering HA and Resilient WAN App Visibility, Prioritization and Steering Active-Active Architecture APIC Prime FIPS 140-2 w/ Cert Management Optimized Secure Transport Direct Internet Access 33
- 34. IWAN – эффективная безопасность 20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.34
- 35. Intelligent WAN — локальный доступ в Интернет Direct Internet Access Branch MPLS (IP-VPN) Internet Direct Internet Access Private Cloud Virtual Private Cloud Public Cloud • Использование локального подключения для облачных и интернет сервисов • Повышение эффективности Решение Офис – Zone Based Firewall Облако – Cloud Web Security CWS ISR-AX ZBFW 35
- 36. Безопасный интернет доступ Cloud Web Security (CWS) Secure Public Cloud and Internet Access ISR Connector to CWS Firewall towers Web Filtering, Access Policy, Malware Detect WAN1 (IP-VPN) CWS Private Cloud Public Cloud Branch WAN2 (Internet) IWAN IPsec VPN for Private Cloud TrafficIOS Firewall to protect Internet Edge Internet 36
- 37. Эффективная безопасность – планы Direct Internet Access – Белые списки • Трафик для «белого списка» направляется в Интернет локально, остальной трафик в DMZ • Улучшает производительность для «доверенных» облачных приложений § WebEx, Office365, SaleForce.com,… • Идеальный 1-й шаг для внедрения DIA Branch Site MPLS INET MPLS INET R14 DMVPN MPLS DMVPN INET DC1 DC2 LTELTE DMVPN LTE SAT MPLS2 INET2 MPLS2 INET2 DC/MC MC DC/MC MC BRMC/BR ASA Internet 37
- 38. IWAN – поддержка в оборудовании 20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.38
- 39. ISR G2 ISR 4000 ASR 1000 CSR 1000v * WAVE *Domain MC Intelligent WAN Платформы NEW!
- 40. Почему Cisco IWAN? 20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.40
- 41. • Уникальная архитектура универсального транспорта! • Надежность 99,995% даже при использовании Интернет-каналов • Портфолио оборудования для IWAN – от 10 Мбит/с до 200Гбит/с • Полная автоматизация внедрения • Проверено. Описано. Готово к внедрению. • Значительное сокращение IT затрат при повышение качества IT сервисов. Почему Cisco IWAN?
- 42. Branch MPLS (IP-VPN) Internet Private Cloud Virtual Private Cloud Public Cloud Cisco Intelligent WAN (IWAN) Secure WAN Transport Direct Internet Access Любой транспорт с обеспечением высокой надежности SLA для ключевых приложений Централизованные политики Радикальное уменьшение затрат на WAN 42
- 43. Traditional + Good Enough Competitors Security & Application Optimization Disruptive WAN Start-Ups Преимущества Cisco IWAN WAN-focused Unproven Multiple Appliance Complexity Primitive routing and path control Frequent refresh No Intelligent Path Control No App Optimization Вендоры Ограничения Стратегия ! SD-WAN simplicity ! VPN Automation ! Controller-based ! Service or VPN overlay ! Over-the-top of the WAN ! “Good enough” ! Price/Performance
- 44. Internet Intelligent WAN Summary Branch-1 Branch-513 DCI WAN Core MC MC 20M Dn 2M Up 512M FD BR BR ATBT MPLS Island ADSL BR ISR-AX vWAAS ISR-AX vWAAS 1.5M FD 256M FD CWS BR ASR-AX ASR-AX WAAS WAAS AV C AV C AV C ShowMe$$ DC-WestDC-East Internet Internet Transport Independent Design Highly available Hybrid WAN Intelligent Path Control Performance Routing (PfR) to protect critical applications and load balance traffic to maximize expensive WAN bandwidth Application Optimization Application Visibility and Control (AVC) to monitor performance WAAS + Akamai to reduce bandwidth consumption while improving application experience Secure Connectivity Cloud Web Security (CWS) for improved performance of Public Cloud while freeing up WAN bandwidth, without compromising security IWAN Management Prime, LiveAction, GlueWare or IWAN-APP with APIC-EM 44
- 45. IWAN Sites: § CCO: www.cisco.com/go/iwan Intelligent WAN Technology Design Guide (IWAN 2.0) § http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD- IWANDesignGuide-JAN15.pdf § http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD- IWANConfigurationFilesGuide-JAN15.pdf IWAN Demo § use dCloud (http://dcloud.cisco.com) search for IWAN (5 EMEAR demos available) Cisco IWAN. Полезные ресурсы.
- 46. CiscoRu Cisco CiscoRussia Ждем ваших сообщений с хештегом #CiscoConnectRu CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.
- 47. IWAN 2015 Roadmap Overview IWAN 2.0+ CY2015 Domain Scale TBD – testing dependent Transport Independence Simplification Spoke-to-Spoke QOS Akamai Transport Intelligent Path Control Horizontal Scaling and Increased Redundancy Path of Last Resort Identity/SGT Policies Application Optimization Adaptive QOS Domain Name Classification Identity/SGT AVC Policies WAAS/Akamai Single Sided SSL Secure Connectivity SUDI based Trust Model SNORT IPS DIA White-Listing Management Prime Infrastructure 3.0 Additional Workflows; Enhanced Visualization; PnP & PKI APIC-EM Integration APIC-EM / IWAN App PKI Automation; Site-by-Site Provisioning; CVD-based: QoS, AVC, PfR; 47