Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации

Развитие решений Cisco Service Control.
Использование DPI для контент-фильтрации.
Денис Коденцев
Системный инженер, CCIE
dkodents@cisco.com
Июнь 2014

2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§  Обзор решения Service Control
§  SCE 10000
§  vSCE
§  URL-фильтрация
§  Контент-фильтрация

Абоненты
SCE 10000

§  8x10G ports
§  60 G and 480G (Cluster)
§  Support 20 million bi-
directional application flows
§  Up to 2M concurrent
subscribers and 2500 TPS
§  Backward compatible with
SM/ CM/ Insight and SCA BB
Subscribers
Throughput
5 Gbps 60 Gbps
1M
30 Gbps
2M
SCE10K
§  Pure SW Installable
§  Running on top of
hypervisor
Virtual SCE
§  100 – 300G
§  100G interfaces
SCE14K
300 Gbps
4M
SCE8000
§ 1G/10G ports
§ 30G/240G
(Cluster)
§ Up to 1M
concurrent
subscribers and
800 TPS
Сегодня
Июль’14
Середина’15
Июль’14
10 Gbps
20M

SCE10000 и vSCE станут
доступны к заказу в Июле ’14!
Q3CY13 Q4CY13 Q1CY14 Q2CY14 Q3CY14 Q4CY14
5.0.0
4.2.0
4.1.0
PP35
4.0.0
PP37 PP38 PP39 PP40 PP41 PP42 PP43
! ! !
5.1.0
PP42 PP43
SCE 8000
SCE10000 и
vSCE
SCE 8000
SCE10000 и
vSCE! !
!

Cisco Confidential 6© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Обзор SCE10000

Производите-
льность – 60G
Больше
абонентов– 2M
Меньше
места в
стойке – 2RU
Меньше
потребление
– 1200W
Scale
Infra
Архитектура нового поколения
SCE10000 vSCE NG Cluster
SCE14000
Масштабируемость
Единая платформа
Быстрая интеграция
Быстрый выпуск новых
продуктов и решений
Уменьшение
Capex вложений
Уменьшение
TTM сервисов

Cisco SCE10K
S:N pair is part of
the same NIC

Автоматическая
настройка
интерфейса
управления

Позиционирование
§  SP/Enterprise/Public Sector/ Higher Education
customers looking for
§  Производительность до 60Gbps в одном
устройстве
§  Кластер до 480 Gbps
Скорая доступность к заказу
§  Июль 2014

Архитектура
§  SCE10000 использует архитектуру SCE8000
§  Результат: Уменьшение TTM до 12
месяцев в сравнении с 18-24 месяцами
средними для индустрии
§  Программная архитектура SCE10000 использует
аппаратную архитектуру SCE8000
§  Приоритезация трафика
§  Эффективность при большой пропускной
способности и сложности политик
§  Минимизация задержки
§  Эффективный пропуск трафика в случае
congestion

Совместимость с SCE8000
§  70% CLI SCE10000 аналогичны SCE8000. Только
30% CLI созданы дополнительно
§  Обратная совместимость с SM/ CM/ SCA BB и
Broadhop QNS/ 3rd
party Policy Servers/ OSS
системами с минимальными затратами
§  Унифицированные SM/CM для всей линейки SCE

Аппаратное обеспечение
§  Встроенные Optical Bypass и SFP
§  Хранилище большого объема
§  В дальнейшем планируется использовать эту
опцию для различных приложений SCE10000
§  Легко выбрать подходящее решение
§  Выбирается только тип оптики LR или SR NIC
вместо комбинации Line Card + Optical Bypass +
Optics
§  Все фиксированные элементы объединены в
бандлы – SCE10000-8x10G-E
§  Выбор при заказе
§  NICs (SR or LR)
§  Storage (SSD or HDD)
§  Power Module (AC or DC)

Функциональность
§  Полная функциональная совместимость с SCE8K*
§  Встроенный оптический bypass
§  Возможность по внесению изменений в URL списки
и Зоны без применения политики
§  Отказоустойчивость для БП и хранилища
§  Мониторинг в реальном времени
* Кроме CNR LEG и ISG-SCE BUS

Компоненты Тип
Память (512 GB) Фиксировано
Процессор (4 CPUs x 10 Cores
каждый)
Фиксировано
NIC (4 карты каждая по 2x10G)
Встроенный оптический байпас
SFP встроенны
На выбор SR или LR
Блоки питания (Резервированные) На выбор AC или DC
Встроенное хранилище На выбор HDD или SSD

SCE10000 vs SCE8000
Сравнение платформ

SCE10000SCE8000
Интерфейсы
2 or 4 - 10G
8 or 16 – 1GBE
8 x 10G
Интерфейсы управления 2 x 10/ 100/ 1000 4 x 10/ 100/ 1000
Хранилище 4 GB
2x200 GB SSD or
2x300 GB HDD
Шасси 5 RU 2 RU
Потребление 1600 W 1200 W
Производительность 30 Gbps 60 Gbps
Макс.абонентов 1,000,000 2,000,000 #
# The values would be increased to 4M in CY15 release

SCE10000SCE8000
Макс. Flows (Bi-Directional) 16 M 20 M
TPS (Gx & SM) 850 3000#
Gx + Gy 850 1400#
Quota TPS - QM 1000 1400#
Зоны
20K for v4/ 5K for
v6
32K for v4/ 8K for
v6
Subscriber/ Global Counters 48/ 192 64/ 256
RDR Rate 35K/sec 70K/sec
# The values would be increased in subsequent release

•  Одновременная поддержка максимального числа абонентов и flow
SCE8000
250k Subs 16 M
500k Subs 15 M
750k Subs 14 M
1M Subs 13 M
SCE10000
2M Subs 20 M

Ключевой фактор, влияющий на максимальную производительность
SCE8000
* Ограничение backplane16 Gbps безотносительно размера
пакета

Ключевые факторы для SCE10K
•  Max packets to be handled at FP, SP and PD
o  PD – 16 mpps
o  FD – 16 mpps
o  SP – 14.5 mpps
•  Max 10G links
Actual BW is throughput
achieved at SP
core #k
CPU
Management NIC
SP
FP
core #n
core #m
core #n
core #m
core #k
Data Path NIC
CP+MTP
core #k

Регион
Тип SP
SIMBA
status

64-1
27

128-
256

256-
511

512-1
023

1024-
1518

1519 and
above

Средний
размер
пакета
Европа Cable Single
SIMBA
30.80 5.59 2.05 2.32 59.22 Not present 988.09
Япония Broadband Dual
SIMBA
36.61 6.27 2.83 2.70 51.56 0.027 835.92
Средний восток Broadband Dual
SIMBA
41.75 5.62 2.47 2.83 32.37 15.05 824.60
Европа Broadband Single
SIMBA
43.77 4.78 2.51 2.90 44.32 1.69 782.75
Япония Mobile
provider
Single
SIMBA
46.44 4.80 3.34 3.13 42.27 Not present 693.88
The data is picked from support files for 36 hour interval to
eliminate discrepancies due to peak-hour and off-peak-hour

Source: Amsterdam Internet Exchange
(https://www.ams-ix.net/technical/statistics/sflow-stats/frame-size-distribution)
Тенденция к
увеличению
среднего
размера
пакета

Средний размер пакета Bandwidth
512 60 Gbps
576 (IPv4 Min MTU) 65 Gbps
620 70 Gbps
SCE10000 отлично
сбалансирован
для реальных
применений

SCE10000
Планы по развитию

Решения
Parental Control
Video Caching
Targeted
Advertisements
Infra
NG Clustering Solution
Improve TPS
2nd IP to Management
Interface
DNS Assisted
Classification
Аналитика
Quota Reporting
NG clustering architecture
Design NG clustering solution without the need for exclusive load balancers. Targeted cluster throughput – 300 Gbps
TPS improvement – Both login/logout and Quota
Improve the TPS of both login/logout and Quota for SM/QM and Gx/Gy

BRAS

Internet

Gateway

SCE
1

SCE
2

SCE
3

S to N
N to S
Cluster
interface
Cluster
interfaceCluster
interface
•  Flows redirected to the handling SCE based on the IP address load balancing

Распределение интерфейсов
•  6 data ports and 12 cluster ports in each SCE10000
•  3 dual ports NICs for data
•  3 quad port NICs for cluster
•  Max of 7 SCEs could be clustered
•  All SCEs are connected in a mesh topology
•  Max achievable throughput in 1st release is ~300 Gbps
•  6 data port à 3 S:N pair
•  45 Gbps throughput achievable in each SCE
•  2x10G connectivity between each pair of SCE in mesh
topology

Обзор vSCE

• SDN/NFV are driving a shift to virtualized
platforms running on standard servers or
dedicated hardware
NFV/ SDN
• Preference for common HW and SW
• To reduce CAPEX and power consumption
• To reduce dependency on specialized skills to deploy custom HC
Generic HW
• Accelerate deployment of services by
reducing procure-design-integrate-deploy
cycle
Скорость внедрения
• Ability to rapidly scale up/down services as
required
Масштабируемость

Позиционирование
§  SP/Enterprise/Public Sector/ Higher Education
customers looking for
§  Производительность до 5Gbps для одной
VM
§  Service chaining (NFV/SDN)
Скорая доступность к заказу
§  Июль 2014

Функциональность
§  ПО запускается над гиперпизором KVM на любой x86
платформе
§  Полное функциональное соответствие с SCE10000
§  Network Function Virtualization (NFV) ready
§  Возможность опробовать решение до приобретения
больших платформ – SCE8K, SCE10K

Standalone
Application
vSCE running as
standalone application
on any COTS HW
Suitable for customers
opting for ‘try-before-
you-buy’ solution
Facilitates customer to
trial new solutions/
services
NFV Solution
vSCE acting as VNF
component running in
VM
vSCE is officially part of
Cisco Evolved Services
Platform
HW agnostic support

Абоненты
vSCE is compatible with external elements such as SM/ CM and SCA BB
Virtualization of external elements (SM/CM) is currently possible
Виртуальная
среда

Subscribers
Part of vSCE Virtual Appliance – On demand elasticity of independent elements is possible
LoadBalancer

§  Virtualization lends itself well for Functions
that have high control plane complexity,
require low Data Plane bandwidth, and where
higher latency is acceptable
§  In DPI, examples are:
–  Where DPI function is already centralized (e.g
GiLAN)
–  Where Data Plane requirement is low (e.g
enterprise customers, managed services)
§  Complexity moves from the operational
burden of managing hardware appliances to
the software mediation layer
Cloud Datacenter
GI-LAN | Consumer
DPI CGN WWW
FW CDN IPS
Virtual Private Cloud
NfV Services
DPI CPE WAAS
FW NAM IPS
Evolved Programmable
Network
SP
Data Center
Service Controller

§  The mobile core of today is comprised of "many
boxes" built on "constrained" sheet metal NEs often
using custom "computer" blades
§  NfV maps those functions to
‒  COTS computer blades (no “custom” blade pricing)
‒  Unbounded data center (no chassis)
§  NfV also replaces
‒  Physical connectivity with flexible software defined
network
‒  Physical hosts with flexible virtualized compute
§  NfV results in lower TCO which allow the operators
cost structure to align with OTT competitors
‒  Lower capex structure
‒  Simplified cloud based operations
GGSN/
PGW
VRF Internet

VRFPhysical
Compute,
Network
Storage
Virtualized
Compute,
Network
Storage
MME/
SGSN
PCRF
QSB
VO
WO
Classific
ation
SDN
Control
NAT
FW
IDS/
IDP
SON
...
LTE
12
A
B
C
3
D
E
F
4
G
H
I
5
J
K
L
6
M
N
O
7
P
Q
R
S
8
T
U
V
9
W
X
Y
Z
*0#
Signal

Strength
RAN
3G
2G
Wi-‐Fi
Virtualization
Quantum
Service
Bus
Quantum
Policy
Server
PDN
REST
PDN-‐GW
/GGSN
Rx
Sd/Gx+
Gx
REST
SPR/
UDR
NEAF
Gx
API-‐GW REST/XMPP
Quantum
vGi-‐LAN
WOVO
NATDPI
URL
Filtering
Policy
VPNFW
MediaNet

Services
Quantum
SON
RATM CDE
WiFi3G
LTE
Small

Cell
12
A
B
C
3
D
E
F
4
G
H
I
5
J
K
L
6
M
N
O
7
P
Q
R
S
8
T
U
V
9
W
X
Y
Z
*0#
Signal

Strength
MSI
RAN
MSI
Quantum
Analytics
Analytics
Dashboard
Data
Analytics
Engine

10G*5G
# Performance is obtained using Intel NICs leveraging DPDK and CPU speed is 2.9 Ghz
* Will be available only in future releases, tentatively Dec ’14
Интерфейсы 8x1G 2x10G
Абоненты 225,000 450,000
Ядра CPU# 10 16
TPS (Login/ Logout) 300 500
VLinks 2048 2048
Flow Introduction/ Acquisition
Rate
195,000 flows/
sec
390,000 flows/
sec

•  Ядра: 10 @ 2.9 Ghz
•  Память: 32 GB
•  Сетевые карты: 8x1G
Пример конфигурации UCS (UCS C220)#
UCSC-C220-M3L= UCS C220 M3 LFF w/o CPU, mem, HDD, PCIe, PSU, rail kit 1 Unit
UCS-CPU-E5-2667=
2.90 GHz E5-2667/130W 6C/15MB Cache/DDR3 1600MHz/
NoHeatSink
2 Units
UCSC-PCIE-IRJ45= Intel Quad GbE adapter 2 Units
UCS-MR-1X162RZ-A= 16GB DDR3-1866-MHz RDIMM/PC3-14900/dual rank/x4/1.5v 2 Units
UCSC-PSU-450W= 450W power supply for C-series rack servers 1 Unit
# The above configuration only lists essential components

Использование DPI для
контент-фильтрации

§  Задача фильтрации контента
§  URL-фильтрация (blacklisting)
§  Контент-фильтрация
§  Родительский контроль
§  Автоматизация URL-фильтрации
§  О чем стоит помнить

§  Выполнение ФЗ-139
§  http://78.rkn.gov.ru/directions/p4592/p11530/
§  Родительский контроль

URL-фильтрация на базе SCE

Cisco SCE
Абоненты
Сеть Интернет
HTTP GET
Разрешенный URL
HTTP GET
Разрешенный URLЗапрещенный URL
DROP
Cisco SCE
–  Обработка только исходящего HTTP трафика (ассиметричный режим)
–  Контроль на основе статических URL/Domain/IP списков
–  Высокая масштабируемость

§  Предполагает, что список фильтруемых ресурсов статический либо
обновляется редко и не требует мгновенного применения
оператором
§  Метод применим для выполнения ФЗ-139
§  Список обновляется 2 раза в сутки
§  ФЗ требует применить ограничение к ресурсу в течение суток с момента
появления ресурса в списке
§  Описание процесса настройки:
§  http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/
rel41x/scabbug/scabbug/07_SCA_BB_UG.html#wp1175199

§  Шаг 1. Получение списка запрещенных ресурсов
§  Шаг 2. Формирование CSV файла в требуемом формате
§  http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/
broadband_app/rel41x/scabbrg/scabbrg/05_SCA_BB_RG.html#wp998977
§  Два варианта CSV - Standard (расширенный) и Easy (упрощенный)
§  Standard
§  flavor name,flavor index,flavor type,host suffix,params prefix,URI suffix,URI prefix
§  например - NEWS,0,HTTP_URL,*.reuters.com,,,/news/*
§  Easy
§  например http://*.rapidshare.com/cgi-bin/upload*

§  Шаг 3. Создание Flavor в SCA-BB

§  Шаг 4. Импорт CSV-файла

§  Шаг 5. Создание сервиса для URL-фильтрации

§  HTTPS трафик
§  Глубина поиска HTTP GET в одном TCP потоке – влияет на
точность блокировки и производительность DPI
§  ClickStream – что делает сам абонент, а не web страница?

§  Простой процесс настройки
§  Высокая масштабируемость
§  Требуется адаптация списка Роскомнадзора в формат «понятный»
SCE
§  Возможно реализовать с помощью различного рода скриптов-парсеров
для текстовых/csv файлов
§  При изменении списка требует применения сервисной политики на
SCE
§  в следующих версиях ПО это ограничение будет снято

Использование DPI для
контент-фильтрации

Динамическая URL-фильтрация
•  Cisco SCE
•  Управление абонентскими контекстами
•  экспорт URL для анализа с
использованием специального вида
RDR
•  контроль HTTP трафика абонентов в
соответствии с заданной сервисной
политикой и текущим состоянием URL
кэша
•  Внешняя система категоризации
•  Определение категории URL,
полученных от Cisco SCE
•  Обновление URL кэша на Cisco SCE
через API

Родительский контроль
•  Cisco SCE
•  Управление абонентскими
контекстами
•  экспорт URL для анализа
•  контроль HTTP трафика абонентов
•  ЦАИР
•  Определение категории URL,
полученных от Cisco SCE
•  Обновление URL кэша на Cisco SCE

Динамическая URL-фильтрация. Выводы.
•  При наличии возможности
внешняя система может быть
реализована оператором
самостоятельно.
•  Необходимо реализовать всего 2
функции при взаимодействии с
SCE:
•  Интерпретировать URL RDR
•  По окончании процесса категоризации
запустить API функцию

Заключение и выводы

§  Линейка Cisco SCE получила долгожданное развитие
§  SCE10K и vSCE, которые дополняют, а НЕ замещают
существующее решение SCE8K!
§  Богатые планы по дальнейшему развитию линейки – SCE14K,
vSCE на ASR9K VSM
§  Реализация контентной и URL фильтрации
§  статической или динамической
§  самостоятельно или с помощью партнеров Cisco

Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации

More Related Content

What's hot (20)

Similar to Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации (20)

More from Cisco Russia (20)

Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации