Архитектура современной распределенной корпоративной сети IWAN 2.0

Архитектура современной распределенной
корпоративной сети IWAN 2.0
Денис Коденцев
Системный инженер-консультант, CCIE
dkodents@cisco.com
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

•  Предпосылки для Cisco IWAN
•  Развитие IWAN 2.0 в 2014-2015 годах
•  Почему Cisco IWAN?
Содержание

Предпосылки для Cisco IWAN
20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.4

Cisco Intelligent WAN
Бескомпромиссный уровень любого соединения
Снижение
затрат
Бизнес
приложения
Упрощение IT
процессов
Private
Cloud
Hybrid
Cloud
Public
Cloud
Безопасный
доступ
Any
Application
Подготовьте инфрастуктуру для реальных бизнес-задач
Any
User

Использование Интернет в качестве WAN
Недорогая альтернатива
организаций
планируют
переход от
выделенных на
Интернет-
подключения
1Internet Transit Pricing based on surveys and informal data collection
primarily from Internet Operations Forums—‘street pricing’ estimates
2Packet delivery based on 15 years of ping data from PingER for WORLD
(global server sample) from EDU.STANFORD.SLAC in California
Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER)
Стоимость Интернет и его надёжность, 1998-2012

Использование Интернет быстро окупается!
1.5 Mbps
10 Mbps
$220
$140
$830
$260
$885
$274
$1,014
$303
Пример: Сан-Франсиско MPLS сервис и двойное Интернет подключение ($ в месяц)
Двойное Интернет
подключение с SLA
$665 Экономия/
Месяц x
12 Месяцев X
1,000 узлов
= $8M
уменьшение
затрат
-75%
iWANMPLS VPN
CoS3
MPLS VPN
CoS2
MPLS VPN
CoS1
Источник: Telegeography MPLS VPN pricing for San Francisco as of March 2013; Comcast Web site; Verizon website
7

Искать компромисс?
Больше не требуется!
8
•  Масштабируемость 0
•  Доступность и надежность 0
•  Сетевая производительность 0
•  Безопасность 0
•  Эффективность управления 0
•  Удобство использования 0
•  Адаптируемость 0
•  Стоимость 0
---------------------------------------------------
Всего (не должно превышать 100) 0

Развитие архитектуры IWAN 2014-2015

Intelligent WAN – современная распределенная сеть
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private
Cloud
Virtual
Private
Cloud
Public
CloudWAAS
Akamai PfRv3
Любой транспорт
Интеллектуальный
контроль трафика
Оптимизация
приложений
Безопасность
соединения
!  IPSec WAN Overlay
!  Удобная операционная
модель
!  Оптимальное маршрутизация
!  Эффективное использование
полосы пропускания
!  Performance monitoring
!  Оптимизация и
кэширование
!  AES-256 шифрование
!  Защита от внешних угроз
DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW
Управление и мониторинг
Cisco Confidential
ISR-AX
ASR1000-AX

ISR G2
MPLS
Один
маршрутизатор,
один путь
ISR G2
Internet
99.95%* 99.90%*
Простои
в год
4–9 часов
Простои в год
8 часов
46 минут
ISR G2
MPLS MPLS Internet
ISR G2
MPLS
Один
маршрутизатор,
два пути Internet Internet
ISR G2
99.995% 99.995% 99.995%
26 минут
IWAN Solution
Два
маршрутизатора,
два пути
ISR G2
MPLS Internet
ISR G2 ISR G2
Internet Internet
ISR G2
99.999% 99.999%
5 минут
ISR G2
MPLS MPLS
ISR G2
99.999%
* Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool.
11
Построение высоконадёжных WAN с Cisco iWAN
Резервирование и выбор пути что-то да значат

Intelligent WAN – универсальный транспорт
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private
Cloud
Virtual
Private
Cloud
Public
CloudWAAS
Akamai PfRv3
модель
Cisco Confidential
ISR-AX
ASR1000-AX

Использует две проверенных технологии Отличительные особенности
DMVPN – это решение на базе Cisco IOS для простого, динамического и
масштабируемого построения IPsec+GRE VPN
•  Next-Hop Resolution Protocol (NHRP)
Создаёт распределённую таблицу
соответствия VPN (туннельного
интерфейса) и реального («белого»)
адресов
•  Multipoint GRE tunnel interface
Единый GRE интерфейс для поддержки
большого числа GRE/IPsec туннелей и
устройств
Уменьшает размер и сложность
конфигурации
Поддерживает динамическое создание
туннеля
•  Уменьшение конфигурации и простое
расширение топологии:
Транспортные протоколы (NBMA) IPv4 и IPv6
Клиенты с динамическими транспортными адресами
Клиенты - за динамическим NAT,
хабы – за статическим NAT
Динамические туннели между клиентами
Поддерживает MPLS; поддержка MPLS и VRF через
GRE туннели
Широкий выбор доступных топологий сети и опций
Что такое Cisco Dynamic Multipoint VPN?

Пример DMVPN
14
Динамический туннель
Spoke-to-spoke
Клиент A
Клиент B
192.168.2.0/24
.1
192.168.1.0/24
.1
192.168.0.0/24
.1
. . .
Физический: 172.17.0.1
Tunnel0: 10.0.0.1
Физический: динамический
Tunnel0: 10.0.0.11
Physical: dynamic
Tunnel0: 10.0.0.12
Статический туннель
Spoke-to-hub
Известный
IP адрес
Динамические
неизвестные
IP адреса
LAN могут иметь
частные адреса

Intelligent WAN – контроль трафика
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private
Cloud
Virtual
Private
Cloud
Public
CloudWAAS
Akamai PfRv3
модель
Cisco Confidential
ISR-AX
ASR1000-AX

Define Traffic Classes
and service level
Policies based on
Applications or Transport
Classifiers
ISR G2
ASR1K
Border Routers learn
current traffic classes
going to the WAN based
on classifier definitions
Learning
Active TCs
BR BR
MC+BR MC+BR MC+BR MC+BR
Traffic
Classes
MC
Measure the traffic flow
and network performance
and report metrics to the
Master Controller
Performance
Measurements
BR BR
MC+BR MC+BR MC+BR MC+BR
MC
Master Controller
commands path changes
based on traffic class
policy definitions
Best
Path
BR BR
MC+BR MC+BR BR MC+BR
MC
Как работает Perfomance Routing (PfR)?
Применение политикиИзмерениеИзучение трафикаОпределение политики
16

Performance Routing v3 - измерение
17
Branch
MPLS
Internet
Центральный сайт
Branch Доступная полоса
измеряется на выходе /
Для каждого класса
Производительность
измеряется на входе
Метрики RTP и TCP
для каждого DSCP и сайта
Threshold Crossing Alert (TCA)
Отправляются источнику - loss, delay,
jitter, unreachable

Интеллектуальное управление трафиком PfR
Voice/Video пример
Branch
MPLS
Internet
Virtual Private
Cloud
Private Cloud
Остальной трафик
сбалансирован для
максимальной утилизации
полосы пропускания Voice/Video будет перенаправлен в
случае деградации канала
Voice/Video выбирает
лучшие показатели
задеркжи, джиттера и
потерь

Топология IWAN 1.0 – 2014 год
10.1.10.0/24 10.1.11.0/24
10.1.12.0/24
10.1.13.0/24
R10 R11 R12 R13
MC
IWAN POP1 IWAN POP2
MC
DMVPN
MPLS
DMVPN
INET
BR1 BR3 BR5 BR7
10.8.0.0/16 10.9.0.0/16
•  Один активный Datacenter
•  Доп. Datacenters с
др.префиксами ограничено
поддерживаются
•  Один активный BR на Hub-е
10.8.0.0/16 10.9.0.0/16

Топология IWAN 2.0 – 2015 год
10.1.10.0/24 10.1.11.0/24
10.1.12.0/24
10.1.13.0/24
R10 R11 R12 R13
BR2
MC
IWAN POP1 IWAN POP2
MC
DMVPN
MPLS
DMVPN
INET
BR1 BR4BR3 BR6BR5 BR8BR7
10.8.0.0/16
10.9.0.0/16
10.8.0.0/16
10.9.0.0/16
•  Поддержка мульти-BRs
per cloud per POP
•  Балансировка нагрузки
между POPs
DC1 DCI
WAN Core
DC2

Поддержка Multiple Next Hop Support
Проблема:
§  Необходимо масштабировать кол-во BR
§  PfRv3 управляет трафиком внутри Tunnel Interfaces,
не внутри multiple tunnels в единомTunnel Interface
§  Spokes имеют несколько next hops на одном DMVPN
tunnel Interface
§  Определение канала:
—  local site id + remote site id + DSCP + Path(SP)
—  Нет механизма отличить трафик для одного SP канала
Решение: PfRv3 DMVPN Multiple Next Hop
§  New channel definition
—  local site id + remote site id + DSCP + Path(SP) + Int tag
§  BR1 использует tag 1, BR2 использует tag 2
XE 3.15 15.5(2)S / PI27 15.5(2)T – март 2015
21
DMVPN2DMVPN1
10.1.10.0/24 10.1.11.0/24
10.1.12.0/24
10.1.13.0/24
BR1 BR2 BR3 BR4
R10 R11 R12 R13
Hub MC
10.8.3.3/32
MC1
Next Hop 1 Next Hop 2
10.8.0.0/16
IWAN POP1
Увеличение полосы пропускания за счет multiple BRs per path

Поддержка Multiple Data Center
Проблема:
§  Необходимо разделить ЦОД / ЦО
§  Разделить префиксы от каждого ЦОД
до офисов
Решение:
§  ЦО могут анонсировать одинаковые
префиксы
§  ЦОД могут размещаться независимо
§  Офисы получают доступ к ЦОД / DMZ
через любой ЦО
§  И ЦОД / DMZ взаимодействуют с
офисами через любой ЦО
§  Поддержка нескольких BR на уровне
ЦО
XE 3.15 15.5(2)S / PI27 15.5(2)T releases, March
Все Prefix-ы доступны между Multiple BRs & Sites
10.1.10.0/24 10.1.11.0/24
10.1.12.0/24
10.1.13.0/24
IWAN ЦО1 IWAN ЦО2
MC1 MC2
R10 R11 R12 R13
ЦОД
10.8.0.0/16
10.9.0.0/16
10.8.0.0/16
10.9.0.0/16
10.8.0.0/16
10.9.0.0/16
0.0.0.0/0
DMVPN
MPLS
DMVPN
INET
BR1
BR1
BR2
BR2
BR3
BR3
BR4
BR4
EIGRP/BGP
10.8.0.0/16
10.9.0.0/16
10.0.0.0/8
0.0.0.0
EIGRP/BGP
10.8.0.0/16
10.9.0.0/16
10.0.0.0/8
0.0.0.0
Transit HubMaster Hub

Управление трафиком – дальнейшие планы
Branch Site
MPLS INET MPLS INET
R14
DMVPN
MPLS
DMVPN
INET
DC1 DC2
LTE
MPLS2 INET2 MPLS2 INET2
DC/MC MC
DC/MC MC
MC/BR
ASA
LTE
DMVPN
LTE
BR
23

Intelligent WAN Основные компоненты
MPLS
Branch
3G/4G-LTE
AVC
Internet
Private
Cloud
Virtual
Private
Cloud
Public
CloudWAAS
Akamai PfRv3
модель
Cisco Confidential
ISR-AX
ASR1000-AX

Cisco WAAS – оптимизация приложений
Решение
•  Снижение загрузки
Data redundancy elimination
(DRE), compression, and
TCP optimization
•  Оптимизация
Fewer protocol messages
and metadata caching
Проблема
•  Задержки на WAN
•  Доступная полоса WAN
Application bandwidth with Cisco® WAAS
Application bandwidth natively
Application latency natively
Application latency with Cisco WAAS 0 0
1
2
3
4
40
80
120
160
Доступная
полоса
Задержка
Полоса
(Mbps)
Задержка
(секунды)
Уменьшение
используемой
полосы
Уменьшение
задержки
25

IWAN 2.0
ЦОДОфис
Akamai
Intelligent
Platform
Optimal Experience Regardless of Device, Connectivity or Cloud
All HTTP Traffic in Private, Public, Akamai Cloud
Prepositioning | Dynamic HTTP Caching (YouTube) | Any Transport
ISR-AX
AKAMAI
КЭШ
WAN
IWAN – оптимизация приложений
с Akamai Connect

IWAN – оптимизация приложений
с Akamai Connect
Branch Office
WAAS
Service
Module/ UCSe
Branch Office
WAAS-XE
on ISR-4000
Branch Office
WAAS
Appliance
Regional Office
WAAS
Appliance
Data Center or
Private Cloud WAAS
Appliances
VPN
VMware ESXi
vWAAS
Appliances
Server VMs
AppNav +
WAAS
IWAN
vWAAS
WAE
Server
VMs
VMware ESXi Server
Nexus 1000v vPATH
UCS /x86 Server
FC SAN
Nexus 1000v VSM
Virtual Private CloudIWAN
2.0
27

Оптимизация приложений
Дальнейшее развитие
Internet
Branch
AVC PfR MPLS
Data CenterISR
ASR
APIC-EM
•  Obtain nearest edge
gateways from Akamai
•  Provision/Monitor 3rd
DMVPN over Akamai
Classify applications
WAN Path Selection
over Akamai
•  Select Akamai for apps &
sites
•  Assign capacity
•  Monitor usage
DMVPN
Optimal Routing &
Reliable Delivery
Akamai
Intelligent
Platform
28

Internet
VPN
Up to X Mbps Offered BW :
AVAILABLE BW Not always X, typically < X Mbps
Офис
ЦОД
Управление полосой пропускания в условиях
отсутствия SLA
•  Доступная полоса может меняться
(Internet)
•  В случае деградации канала, кто
принимает решение какие пакеты
отбрасывать?
•  Влияет на критичные приложения!
29

Оптимизация приложений
IWAN Adaptive QoS – доступно в 2015
30
Управляем полосой shaping на отправителе
Sender
Configure MQC Policy with Adaptive Shaping
DMVPN
Transport Monitoring Enable
Collect Periodic bandwidth
Stats on received traffic
Transport Received Rate
Calculate Available Bandwidth over the WAN
Adjust Egress Shaper to observed rate

IWAN – развитие автоматизации
APIC-EM
Device Abstraction Layer
REST APIs
APIC-EM Services (Partial)
CLIOnePK/Openflow
PKI
Svc
NetFlow
Svc
PnP
Svc
Network
Svc
Events
Svc
Inventory
Svc
Traditional
Management
Systems
CiscoPrime
Evolution
Apps
IWAN
Transport
PKI
Automation
Security
Intelligent
Path Control
Cisco IWAN Apps Partners (future)
Application
Experience
PnP
Provisioning
5 Nov
CY2015
Capacity Planning, Troubleshooting,
Change controlPrime

IWAN: SD-WAN анализ требований
Branch
Private
Cloud
Virtual
Private
Cloud
Public
Cloud
MPLS (IP-VPN)
Internet
CSR1000-AX
Physical or Virtual* devices
Zero Touch Deployment
L2/3 Interoperability
Management Dashboard
Open North-bound API
Dynamic Traffic Engineering
HA and Resilient WAN
App Visibility, Prioritization and
Steering
Active-Active Architecture
APIC
Prime
FIPS 140-2 w/ Cert Management
Optimized
Secure Transport
Direct
Internet
Access
33

IWAN – эффективная безопасность

Intelligent WAN — локальный доступ в Интернет
Direct Internet Access
Branch
MPLS (IP-VPN)
Internet
Direct
Internet
Access
Private
Cloud
Virtual
Private
Cloud
Public
Cloud
•  Использование локального подключения для облачных и
интернет сервисов
•  Повышение эффективности
Решение
Офис – Zone Based Firewall
Облако – Cloud Web Security
CWS
ISR-AX
ZBFW
35

Безопасный интернет доступ
Cloud Web Security (CWS)
Secure Public
Cloud and Internet
Access
ISR Connector to
CWS Firewall towers
Web Filtering,
Access Policy,
Malware Detect
WAN1
(IP-VPN)
CWS
Private
Cloud
Public
Cloud
Branch
WAN2
(Internet)
IWAN IPsec VPN
for Private Cloud
TrafficIOS Firewall to
protect Internet
Edge
Internet
36

Эффективная безопасность – планы
Direct Internet Access – Белые списки
•  Трафик для «белого списка»
направляется в Интернет локально,
остальной трафик в DMZ
•  Улучшает производительность для
«доверенных» облачных приложений
§  WebEx, Office365, SaleForce.com,…
•  Идеальный 1-й шаг для внедрения DIA
Branch Site
MPLS INET MPLS INET
R14
DMVPN
MPLS
DMVPN
INET
DC1 DC2
LTELTE
DMVPN
LTE
SAT
MPLS2 INET2 MPLS2 INET2
DC/MC MC
DC/MC MC
BRMC/BR
ASA
Internet
37

IWAN – поддержка в оборудовании

ISR G2
ISR 4000
ASR 1000
CSR 1000v *
WAVE
*Domain MC
Intelligent WAN Платформы
NEW!

Почему Cisco IWAN?

•  Уникальная архитектура универсального транспорта!
•  Надежность 99,995% даже при использовании Интернет-каналов
•  Портфолио оборудования для IWAN – от 10 Мбит/с до 200Гбит/с
•  Полная автоматизация внедрения
•  Проверено. Описано. Готово к внедрению.
•  Значительное сокращение IT затрат при повышение качества IT сервисов.
Почему Cisco IWAN?

Branch
MPLS (IP-VPN)
Internet
Private
Cloud
Virtual
Private
Cloud
Public
Cloud
Cisco Intelligent WAN (IWAN)
Secure WAN
Transport
Direct
Internet
Access
Любой транспорт с обеспечением высокой надежности
SLA для ключевых приложений
Централизованные политики
Радикальное уменьшение затрат на WAN
42

Traditional + Good
Enough Competitors
Security & Application
Optimization
Disruptive WAN
Start-Ups
Преимущества Cisco IWAN
WAN-focused
Unproven
Multiple Appliance
Complexity
Primitive routing and
path control
Frequent refresh
No Intelligent Path
Control
No App Optimization
Вендоры
Ограничения
Стратегия
! SD-WAN simplicity
! VPN Automation
! Controller-based
! Service or VPN overlay
! Over-the-top of the
WAN
! “Good enough”
! Price/Performance

Internet
Intelligent WAN Summary
Branch-1 Branch-513
DCI
WAN Core
MC MC
20M Dn
2M Up
512M FD
BR BR
ATBT
MPLS
Island
ADSL
BR
ISR-AX
vWAAS
ISR-AX
vWAAS
1.5M FD
256M FD
CWS
BR
ASR-AX ASR-AX
WAAS WAAS
AV
C
AV
C
AV
C
ShowMe$$
DC-WestDC-East
Internet Internet
Transport Independent Design
Highly available Hybrid WAN
Intelligent Path Control
Performance Routing (PfR) to protect critical applications
and load balance traffic to maximize expensive WAN bandwidth
Application Optimization
Application Visibility and Control (AVC) to monitor performance
WAAS + Akamai to reduce bandwidth consumption while improving
application experience
Secure Connectivity
Cloud Web Security (CWS) for improved performance of Public Cloud while
freeing up WAN bandwidth, without compromising security
IWAN Management
Prime, LiveAction, GlueWare or IWAN-APP with APIC-EM
44

IWAN Sites:
§  CCO: www.cisco.com/go/iwan
Intelligent WAN Technology Design Guide (IWAN 2.0)
§  http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-
IWANDesignGuide-JAN15.pdf
§  http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-
IWANConfigurationFilesGuide-JAN15.pdf
IWAN Demo
§  use dCloud (http://dcloud.cisco.com) search for IWAN (5 EMEAR demos
available)
Cisco IWAN. Полезные ресурсы.

IWAN 2015 Roadmap Overview
IWAN 2.0+
CY2015
Domain Scale TBD – testing dependent
Transport
Independence
Simplification
Spoke-to-Spoke QOS
Akamai Transport
Intelligent Path
Control
Horizontal Scaling and Increased Redundancy
Path of Last Resort
Identity/SGT Policies
Application
Optimization
Adaptive QOS
Domain Name Classification
Identity/SGT AVC Policies
WAAS/Akamai Single Sided SSL
Secure
Connectivity
SUDI based Trust Model
SNORT IPS
DIA White-Listing
Management
Prime Infrastructure 3.0
Additional Workflows;
Enhanced Visualization;
PnP & PKI APIC-EM Integration
APIC-EM / IWAN App
PKI Automation;
Site-by-Site Provisioning;
CVD-based: QoS, AVC, PfR;
47

Архитектура современной распределенной корпоративной сети IWAN 2.0

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Архитектура современной распределенной корпоративной сети IWAN 2.0

Ähnlich wie Архитектура современной распределенной корпоративной сети IWAN 2.0 (20)

Mehr von Cisco Russia

Mehr von Cisco Russia (20)

Архитектура современной распределенной корпоративной сети IWAN 2.0