Next Generation Campus Architecture
0 likes184 views
Документ содержит информацию о новых и старых подходах к построению локальных сетей с акцентом на архитектуру и автоматизацию процессов с использованием Cisco Digital Network Architecture. Рассматриваются возможности программирования, централизации управления, безопасности и оптимизации сети, а также детали о различных моделях коммутаторов и их функционале. В документе также обсуждаются практики и принципы для упрощения управления и мониторинга сетей.
![© 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco
Выбор коммутатора доступа
Коммутаторы
Доступ / Access
Точка «входа» в сеть
1. Правильная точка идентификации клиента сети
2. Необходимая точка применения сетевых сервисов
3. Возможная точка применения политик безопасности
4. Интересная точка сбора статистики
[Q1] В чём специфика портов доступа?
НУЖЕН УМНЫЙ «ДОСТУП» технологии](https://image.slidesharecdn.com/1-1aovrashkngcampus007shortpublic-180227132717/85/Next-Generation-Campus-Architecture-14-320.jpg)
![© 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco
Управление и мониторинг
Cisco Prime Infrastructure v3
Централизовання система управления сетевыми устройствами
Cisco APIC-EM / DNA-C
SDN-автоматизация сценариев
Embedded Event Manager (EMM)
Програмируемость сетевых устройст
[Q2] Как упростить управление?
[Q3] Как упростить управление политиками досутпа?
Cisco Identity Services Engine
Ролевой и контекстный доступ к сети пользователей и устройств
[Q3] Как упростить мониториг сети?
Cisco StealthWatch
Сбор и анализ сетевой статистики (NetFlow)](https://image.slidesharecdn.com/1-1aovrashkngcampus007shortpublic-180227132717/85/Next-Generation-Campus-Architecture-15-320.jpg)
![57
Что «под капотом» SD-Access?
Набор софта:
- Веб-интерфейс (DNA-C) на базе SDN-контроллера (Cisco APIC-EM v2)
- Cisco ISE для контроля ролевого и контекстного доступа к сети
- [опция] NDP для мониторинга
- [опция] StealthWatch для мониторинга (включая ETA) и Rapid Threat Containment (RTC)
Совместимое железо:
- Поддержка LISP
- Поддержка VXLAN
- Поддержка SGT enforcement
- Поддержка Campus Fabric
- Поддержка VRF
- [рекомендуемая опция] Оборудование созданное с заделом на SD-Access (Catalyst 9k)
Cisco Validated Design
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/CVD-Software-Defined-Access-Design-Guide-2017AUG.pdf](https://image.slidesharecdn.com/1-1aovrashkngcampus007shortpublic-180227132717/85/Next-Generation-Campus-Architecture-53-320.jpg)
Next Generation Campus Architecture
- 1. Оврашко Андрей aovrashk@cisco.com Systems Engineer Старые и новые подходы к построению локальных сетей Next Generation Campus Architecture 14 November 2017
- 2. Cisco 4© 2013-2014 Cisco and/or its affiliates. All rights reserved. Example of Computer Network (Enterprise)
- 3. Иерархический кампус ЦОДWAN Интернет Доступ Распределение Ядро Распределение Доступ SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi
- 5. Новая архитектура с использованием «фабрики»
- 6. Существующая модель управления сетью Security QoS Path Optimization Ручная настройка каждой отдельной коробки и так кажда отдельная фича …
- 7. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco . . . Programmability Reason #1 Делать повторяемые вещи проще Блокнот – самое распространённое средство автоматизации Блокнот – не самое лучшее средство автоматизации
- 8. Абстракция Zero touch deployment Day 0 to Day N Lower TCO Published NB API’s Cisco and Partner Apps Openness Преимущества от Enterprise SDN Автоматизация Brownfield and Greenfield Embedded best practices Massive Simplicity Программируемость Контроль Centralized policy Network wide deployment Dynamic Network Agility
- 9. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Automation Abstraction & Policy Control from Core to Edge Open & Programmable | Standards-Based Open APIs | Developers Environment Cloud Service Management Policy | Orchestration Virtualization Physical & Virtual Infrastructure | App Hosting Analytics Network Data, Contextual Insights Network-enabled Applications Cloud-enabled | Software-delivered Principles Cisco Digital Network Architecture DNA Overview Insights & Experiences Automation & Assurance Security & Compliance
- 10. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Идеи, заложенные в Cisco DNA 1. Любое повторяемое и хорошо описанное действие можно автоматизировать. 2. Автоматизация на сети предполагает превращение сети в единый организам (абстракция). 3. В идеале автоматизация – программно управляемая (SDN). 4. Любая автоматизация требует обратной связи (аналитика). 5. Имея готовую аналитику есть смысл её переиспользовать (ИБ, планирование, работа с клиентами и тп.). 6. Виртуализация сетевых функций даёт возможность разворачивать сервисы (сетевые приложения) по требованию (Enterprise NfV). 7. Потребление сетевых услуг в идеале должно быть «как из облака» (сервисный портал). 8. Безопасность должна быть учтена везде от А до Я.
- 11. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Automation Abstraction & Policy Control from Core to Edge Open & Programmable | Standards-Based Open APIs | Developers Environment Cloud Service Management Policy | Orchestration Virtualization Physical & Virtual Infrastructure | App Hosting Network-enabled Applications Cloud-enabled | Software-delivered Principles Cisco Digital Network Architecture DNA Overview SDA, IWAN & ENFV Insights & Experiences Automation & Assurance Security & Compliance Analytics Network Data, Contextual Insights DNA Center APIC-EM + ISE + NDP
- 12. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Архитектура Как строим локальные сети? Коммутаторы Ядро / Core Агрегация / Aggregation Доступ / Access Системы управления Управление сетью Управление политиками доступа Мониторинг
- 13. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Какие бывают коммутаторы Cisco? Коммутаторы Кампусная сеть IoTЦОД
- 14. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Выбор коммутатора доступа Коммутаторы Доступ / Access Точка «входа» в сеть 1. Правильная точка идентификации клиента сети 2. Необходимая точка применения сетевых сервисов 3. Возможная точка применения политик безопасности 4. Интересная точка сбора статистики [Q1] В чём специфика портов доступа? НУЖЕН УМНЫЙ «ДОСТУП» технологии
- 15. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Управление и мониторинг Cisco Prime Infrastructure v3 Централизовання система управления сетевыми устройствами Cisco APIC-EM / DNA-C SDN-автоматизация сценариев Embedded Event Manager (EMM) Програмируемость сетевых устройст [Q2] Как упростить управление? [Q3] Как упростить управление политиками досутпа? Cisco Identity Services Engine Ролевой и контекстный доступ к сети пользователей и устройств [Q3] Как упростить мониториг сети? Cisco StealthWatch Сбор и анализ сетевой статистики (NetFlow)
- 16. DNA – системы управления и мониторинга Традиционное управление через визарды, шаблоны и задания Ролевые политики доступа SDN сценарии (applications) автоматизации Prime Infrastructure APIC-EM ISE StealthWatchПродвинутый мониторинг сетевого трафика, аномалей и угроз
- 17. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Cisco Catalyst 2960-L Поддерживает: Простой визард первичной настройки Кластеризация (не стекируемый) Централизованное управление с Cisco PIv3 0-day deployment (SDN) Ограничения: - LAN LITE - Ограниченная поддержка .1х Дешёвый гигабитрый коммутатор Простая настройка Есть 10G аплинки
- 18. Routed Access – будет доступен везде! 2960L Lan Lite includes Routed Access Default-route Static RIP 2960X Lan Base includes Routed Access RIP EIGRP Stub OSPF(200 routes) PBR PIM Stub Multicast (up to 200 routes) 3650/3850/4500E Lan Base includes Routed Access RIP EIGRP Stub OSPF (1000 routes) PBR PIM Stub Multicast (up to 1000 routes) 3650/3850/4500E IP Base includes Routed Access & VRF 3 Virtual Networks for SD-Access IOS 15.2(6)E IOS 15.2(6)E IOS XE 16.6/3.10E IOS XE 16.6/3.10E IOS XE 16.5 C9K Network Essentials includes Routed Access RIP EIGRP Stub OSPF (1000 routes) PBR PIM Stub Multicast (up to 1000 routes)
- 19. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Простота первичной настройки одной коробки
- 20. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Простота сопроводжения
- 22. System Dashboard – Overview
- 24. Вся сеть на одной странице
- 25. Детализация по каждому инциденту
- 26. Настройка параметров оповещения • Выбор событий для срабатывания оповещений • Назначение оповещений на Device Groups/Location Groups, Port Groups
- 27. Инвентаризация Доступ к полной информации об оборудовании
- 28. Конфигурация оборудования Использование преднастроенных шаблонов Создание собственных шаблонов
- 29. Управление конфигурациями • Архивирование • Восстановление • Сравнение
- 30. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Централизованный 0-day deployment 5 способов первичной настройки в нулевой день БЕЗ участия админа Prime Infrastructure v3 APIC-EM PnP PnP Cloud
- 31. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Cisco Catalyst 2960-Х Гигабитный стекируемый коммутатор (L2+/L3) Самый распространённый коммутатор доступа Поддерживает: Централизованное управление с Cisco PIv3 Поддерживает большенство сценариев работы с ISE Автоматизация настройки QoS (AutoQoS) Может «маркировать» трафик метками безопасности (SXP) Экспорт Full NetFlow 4 SPAN/RSPAN
- 32. Cisco Public© 2013-2014 Cisco and/or its affiliates. All rights reserved. 802.1x Port Modes EMPLOYEE and VOICE VLAN Multi Domain (Single MAC allowed in Data and Voice Domains) EMPLOYEE and VOICE VLANMulti Auth (Single MAC allowed in Voice Domain Multi MAC allowed in Data Domain per MAC per VLAN in Data Domain) EMPLOYEE VLAN Multi Host (Only First MAC need to Authenticate Following MACs are not Authenticated) EMPLOYEE VLAN Single Host (Default; Single MAC allowed in Data Domain)
- 33. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco TrustSec Simplified access control with Group Based Policy VLAN BVLAN A Campus Switch DC Switch or Firewall Application Servers ISE Enterprise Backbone Enforcement Campus Switch Voice Employee Supplier Non-CompliantVoiceEmployeeNon-Compliant Shared Services Employee Tag Supplier Tag Non-Compliant Tag DC switch receives policy for only what is connected Classification Static or Dynamic SGT assignments Propagation Carry “Group” context through the network using only SGT Enforcement Group Based Policies ACLs, Firewall Rules 37
- 34. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Security Group Access Control Lists
- 35. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco TrustSec SGT Propagation & Enforcement Options Heterogeneous L2 / L3 Networks TrustSec Capable L2 / L3 Networks WAN WAN (GETVPN, DMVPN Switch Router Router Firewall DC Switch ServerUser SGT over FabricSGT over VPN ClassificationClassification Switch Router Router Firewall DC Switch ServerUser SXP SXP SGFW SGACL Classification SGACL SGACL Switch Switch SGT over Fabric SGACL SGFW Classification 39BRKCRS-2810
- 36. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Cisco Catalyst 3650 Гигабитный стекируемый коммутатор (L3) Поддержка mGig и UPoE Програмируемый ASIC UA-DP Поддерживает: Централизованное управление с Cisco PIv3 ISE: SGT-ACL L2 шифрование MACSec (IEEE 802.1AE) Экспорт Full NetFlow + возможность реакции на аномалии MPLS VXLAN LISP SPAN / RSPAN / ERSPAN
- 37. © 2016 Cisco and/or its affiliates. All rights reserved Features / Scale Catalyst 3650 Catalyst 3850 Stacking BW 160G / 9 480G / 9 Stackpower No Stackpower Uplinks Fixed uplinks Modular uplinks Stacking Module Optional Built-in Memory/Flash 4GB /2GB 4GB / 2GB Power Dual (FRU) Dual (FRU); XPS L3 Features OSPF, PIM, BGP, EIGRP OSPF, PIM, BGP, EIGRP Smart Operations Client, Director Client, Director Trustsec SGT MACSEC SGT MACSEC AVC Flexible Netflow, CPRC Wireshark Flexible Netflow, CPRC Wireshark HA SSO SSO Catalyst 3850/3650 Differences & Similarities For Your Reference
- 38. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Cisco Catalyst 3850 Новый стекируемый коммутатор (L3) Встроенные стек-модули для данных и питания Програмируемый ASIC UA-DP следующего поколения Медные / оптические порты 1G/10G + выбор аплинковых модулей Поддерживает: Централизованное управление с Cisco PIv3 ISE: SGT-ACL L2 шифрование MACSec (IEEE 802.1AE) Экспорт Full NetFlow + возможность реакции на аномалии MPLS VXLAN LISP SPAN / RSPAN / ERSPAN
- 39. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Стекирование (данные) на 3650/3850 Catalyst 3850 Catalyst 3650 3 lengths of cable: 0.5m, 1m, and 3m 3 rings vs 1 ring in 3650 480G 160G
- 40. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco The Stack Ring 480 Gbps capacity Stack Interface of UADP ASIC Stack Interface of UADP ASIC 6 Rings in the Stack UADP ASIC Assuming 4 x 24-port 3850 Switches • 6 rings in total • 3 rings go East • 3 rings go West • Each ring is 40Gbps • 240Gbps uni-direction • Spatial Reuse= 480Gbps
- 41. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Стекирование (питание) на 3850 • Provides RPS functionality with Zero RPS Footprint • Pay-as-you-grow architecture – similar to the Data Stack • 1+N Redundancy with Inline Power • Up to 4 Switches in a StackPower • Multiple StackPower Possible within one Data Stack • Flexible Installation, Better Efficiency “Zero-Footprint” RPS deployment
- 42. Что такое MACSec ? MACSec был спроектирован для использования совместно с IEEE 802.1X Шифрование Ethernet кадров на скорости работы сетевого порта Полностью прозрачно для пользователей и приложений Дёшево (значительно дешевле, чем IPSec-VPN) Bob EAPoL DHCP, HTTP, etc. HTTP До 802.1X После 802.1X без MACSec Сетевой доступ без MACSec Bob EAPoL DHCP, HTTP, etc. #$%& До 802.1X После 802.1X с MACSec Сетевой доступ с MACSec
- 43. Где мне нужен MACsec? Data Center Campus Cat3K Cat9K Cat4K (Sup7E/8E,4500X) Cat6K Servers ASR1 K WLC 2500/5500 Metro Ethernet Network *WLC 5760 Cat3K Cat9K ISR SM-X Eth Branch Data Center SiSi Cat3850/3650 UCS Cisco AnyConnect End to End MACsec 1. Host-to-Switch 2. Wireless AP to Switch 3. Switch-to-Switch 4. Wireless Controller-to-Switch 5. Router-to-Switch 6. Router-to-Router over WAN 7. Router-to-switch in a Branch 8. Router-to-Router in a DCI 9. Server-to-Switch in Data Center 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 3 3 *
- 44. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public • Filter Monitoring Over Ingress/Egress interfaces and direction • Identify Top Talkers • Monitor Data over 2, 24 or 48 hours • Monitor percentage Bandwidth usage AVC on Catalyst 3850/9K BRKCRS-3300 48
- 45. Используйте свою сеть по максимуму Анализ NetFlow Сеть как сенсор (NaaS) Динамическая сегментация при обнаружении атаки Сеть как защитник (NaaE) Обнаружение аномалий Обеспечение видимости всего сетевого трафика Обнаружение нарушений политик пользователями Внедрение контроля доступа на критических участках Динамические политики доступа и контроля
- 46. Flexible NetFlow Unprecedented Application Visibility Lower CapEx • Better insight for capacity planning, network upgrade Lower OpEx • Better service and user experience • Increased IT staff productivity BENEFITS • Unprecedented visibility with new L2–7 fields • Scalable, flexible flow monitors • On-box customizable policy action with EEM • Broad collector partner ecosystem FLEXIBLE NETFLOW CAPABILITIES IP, Ports TCP Flags L2 MAC L2 VLAN UDP Flags IPv6 IP Options Multicast … Control with EEM Integration Day0 Attacks Detect Anomaly Compliance SLA App. M&T Capacity Planning Flexible NetFlow Visibility Collector Ecosystem Campus Branch
- 47. Обзор системы StealthWatch NetFlow / NBAR / NSEL Сетевые устройства StealthWatch FlowCollector • Сбор и анализ • До 4000 источников • До 240,000 потоков в сек SPAN StealthWatch FlowSensor Генерация Netflow Не-Netflow устройство • Управление и отчетность • До 25 FlowCollector • До 6 млн потоков в сек StealthWatch Management Console
- 48. Интеграция сетевых устройств, системы сбора NetFlow (StealthWatch) и ISE Network-as-an-Enforcer (NaaE) Monitor Detect Analyze Respond Оценка «нормального» поведения сети Наблюдаемость трафика в реальном времени Поведенческий анализ Распознаване аномального поведения и атак Хранение и анализ данных Готовность к аудитам Поиск первопричин Расследоване инцидентов Скорость поиска проблем и обнаружения атак Автоматическа реакция на аномалии и атаки «Забрать доступ» или «поместить в карантин»
- 49. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Line of business – BU segmentation Payment Card Industry Hospital Network Bring-Your-Own-Device (BYOD) Mergers and Acquisitions Multi-Tenancy POS Network Other Network Doctor Staff Medical Device MPLS on Catalyst 3850/9K INTERNET BRKCRS-3300 53
- 50. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Campus Fabric CLI or API form of the new overlay Fabric solution for your enterprise Campus access networks. CLI approach provides backwards compatibility and customization, Box-by-Box. API approach provides automation via NETCONF / YANG. APIC-EM, ISE, NDP are all separate. BB Что такое SD-Access? Campus Fabric + DNA Center (Automation & Assurance) APIC-EM 1.X SD-Access GUI approach provides automation & assurance of all Fabric configuration, management and group-based policy. Leverages DNA Center to integrate external Service Apps, to orchestrate your entire LAN, Wireless LAN and WAN access network. Campus Fabric ISE NDP APIC-EM 2.0 ISE NDP DNA Center BRKCRS-2810 54 C
- 51. Simplification Creates Agility Applications Are the Vehicle for Digital Business DO-IT-YOURSELF ASSEMBLY AND INTEGRATION READY TO GO Faster Time to Market and Lower OpEx SDN SD-Access
- 52. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco APIC-EM 2.0 App Policy Infra Controller – EN Module Cisco ISE 2.3 Identity Services Engine Cisco NDP 1.0 Network Data Platform Cisco Switches | Cisco Routers | Cisco Wireless DNA Center 1.0 AAA RADIUS EAPoL HTTPS NetFlow Syslogs NETCONF SNMP SSH API API API API API Campus Fabric SD-Access DNA Center – Service Components Design | Provision | Policy | Assurance BRKCRS-2810 56
- 53. 57 Что «под капотом» SD-Access? Набор софта: - Веб-интерфейс (DNA-C) на базе SDN-контроллера (Cisco APIC-EM v2) - Cisco ISE для контроля ролевого и контекстного доступа к сети - [опция] NDP для мониторинга - [опция] StealthWatch для мониторинга (включая ETA) и Rapid Threat Containment (RTC) Совместимое железо: - Поддержка LISP - Поддержка VXLAN - Поддержка SGT enforcement - Поддержка Campus Fabric - Поддержка VRF - [рекомендуемая опция] Оборудование созданное с заделом на SD-Access (Catalyst 9k) Cisco Validated Design https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/CVD-Software-Defined-Access-Design-Guide-2017AUG.pdf
- 54. SD-Access – поддержка на оборудовании Полная защита инвестиций Switching Wireless AIR-CT5520 AIR-CT8540 Wave 2 Aps (1800, 2800,3800) Wave 1 Aps (1700, 2700,3700)* NEW NEW NEW Catalyst 9400 Catalyst 9300 Catalyst 9500 Catalyst 4500E Catalyst 6K Nexus 7700 Catalyst 3850 and 3650 Routing ASR-1000-X ASR-1000-HX ISR 4430 CSRv ISR 4450 Subtended Nodes CDB 2960-CX 3560-CX
- 55. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Catalyst 9K enables the New Era of Networking IOS XE16.5.1 Hosted AppsIOSd LXC * LXC * IOS-XE DB Common Infrastructure / HA Management Interface Module Drivers Kernel LXC *Wire shar k IOSd Blob IOS Sub Syst ems IOS Sub Syst ems IOS Sub Syst ems UADP 2.0 IOS XE 16.5 Catalyst 9K Family Foundational Components Catalyst 9K – Built to see you through Next Decade Encrypted Traffic Analytics (ETA) Resiliency with Patching & GIR Programmability & Automation Standards Leadership .3bt, .3bz, etc Real time Streaming Telemetry SD Access Trustworthy Systems 3rd Party App Hosting Fabric Enabled Wireless X86 Based CPU Larger Storage Usability&OperationalEfficiency BRKARC-2035 59
- 56. © 2017 Cisco and/or its affiliates. All rights reserved. 60 Семейство коммутаторов Catalyst 9K Catalyst 9300 Lead Fixed Access Catalyst 9400 Модульный доступ Catalyst 9500 Lead Fixed Core Единое ПО, возможности, лицензирование Cisco Catalyst 9000 инновации UADP 2.0 Cisco IOS® XE Software SD-Access x86 CPU and containers Encrypted Traffic Analytics (ETA)* AES256/MACSEC256* Trustworthy systems StackWise® Virtual* IEEE1588 and AVB* NBAR2 Perpetual/fast PoE Model-driven programmability Patching/GIR Streaming telemetry*
- 57. © 2017 Cisco and/or its affiliates. All rights reserved. 61 Up to 32MB Packet Buffer Up to 64K x2 Netflow RecordsEmbedded CPUs Shared Lookup Up to 240GE Bandwidth 384K Flex Counters Up to 2X to 4X forwarding + TCAM Universal Deployments Adaptable Tables Enhanced Scale/Buffering Multicore resource share Investment Protection Flexible Pipeline UADP 2.0 – Инновационный программируемый ASIC
- 58. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco 240G ASIC connectivity UADP 1.0 Xconnect 6MB Buffers UADP 1.0 Buffers 12K TCAM UADP 1.0 TCAM 375 MHz 56 Gbps UADP 1.0 MHz 1/10G Ports UADP 1.0 Ports Single Core UADP 1.0 Cores Dual Core UADP 2.0 1/10/25/ 40G Ports UADP 2.0 500/625/ 750 MHz Up to 240Gbps UADP 2.0 32MB Buffers UADP 2.0 54K TCAM UADP 2.0 Up to 720G ASIC connectivity UADP 2.0 UADP Evolution – 1.0 vs 2.0 BRKARC-2035 62
- 59. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco
- 60. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco
- 61. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Dynamic ALGs ( FTP, TFTP, ICMP) NAT/PAT on Catalyst 9500 INSIDE OUTSIDE A X B Y C Z A B C X Y Z NAT in Hardware Up to 8K flow Static 14K Scale (3/5-tuple) 65
- 62. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public ETA 66BRKCRS-1560 Network Requirements from Security Before Malware & Threat Detection through behavioral analytics Rapid threat containment through automated incident response Reduce Attack Surface by Segmentation, Access Control & Encryption Software Defined Access During After NaaE
- 63. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKCRS-1560 67 Encrypted Traffic is increasing Volume of encrypted traffic increased 21% 40% from 2015 2016 (90% year over year) Gartner Predicts - 80% of all the web traffic will be encrypted by 2019 77% of all requests to Google servers are encrypted (in Feb 2016) 97% of Youtube traffic is encrypted SSL/TLS encrypted trafficgrew 90% year overyear from July2015 to July2016.* * Source:NSSLabs 2015 40% 2016 75% 2019 21%
- 64. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Как узнать в шифрованном трафике «зло»? (v: 1.0.1r) (v: 52.0) + + = = BRKCRS-1560 68 6 лет сбора статистики + машинное обучение + аналитика 180 патентов Множество методов и техник Точность 99% Ложных срабатываний 0,01%
- 65. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Encrypted Traffic Analytics: Example Incident BRKCRS-1560 69
- 66. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Краткое сравнение Prime Infra v3 APIC- EM L3 SPAN NetFlo w SGT- ACL MACSec MPLS ETA 2960L PnP LAN Lite 1 SPAN 2960X PnP, PT, QoS Routed access 4 SPAN / RSPAN NaaS SXP 3650 SDA IP Serv VRF ERSPAN NaaE 1500 Все порты 3850 SDA IP Serv VRF ERSPAN NaaE 1500 Все порты 9000 SDA IP Serv VRF ERSPAN NaaE 5000 Все порты