Обзор PFRv3 в iWAN 2.2

Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

Обзор PFRv3
в iWAN 2.2
Михайловский Василий
Team Lead (команда Routing Protocols)
Cisco TAC - Польша (Краков)
© 2017 Cisco and/or its affiliates. All rights reserved.

Содержание презентации
• Что такое iWAN
• Что такое PFRv3 и как работает этот протокол
• Новые возможности - iWAN 2.2
• Дальнейшие планы развития (roadmap)
• Вопросы
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 03

Что такое iWAN

Классический WAN дизайн
5
Branch
Private
Cloud
Virtual
Private
Cloud
Public
Cloud
1. Использование MPLS без
дополнительной защиты
2. Использование Интернет (+IPSec) как
резервного канала
4 Возможен вариант прямого доступа в
Интернет, но встречается нечасто
MPLS (IP-VPN)
Internet

Что не устраивает в статус-кво?
(По данным IDC Worldwide SA-WAN survey – май 2016)
6
58%:
большие затраты на услуги WAN
50%:
доступность приложения
напрямую через Интернет
48.6%:
существенная зависимость
производительности приложений
от задержек в WAN
32.4%:
сложность управления WAN на
удаленных сайтах

Intelligent WAN
7
Оптимизация
Branch
Прямой доступ
в Интернет
Private
Cloud
Virtual
Private
Cloud
Public
Cloud
1. Безопасность через любой транспорт
2. Использование локального доступа в
Интернет удаленных офисов
4 Увеличение доступной полосы пропускания
и интеллектуальная реакция на проблемы
транспорта
4 Увеличение производительности
приложений
MPLS (IP-VPN)
Internet

Элементы Cisco iWAN
8
MPLS
Стандартный
офис
3G/4G-LTE
Internet
Private
Cloud
Virtual
Private
Cloud
Public
Cloud
Оптимизация
приложений
Расширенные возможности
анализа трафика и
оптимизации приложений
Элементы
безопасности
Интеллектуальное
управление
Маршрутизация приложений,
а не адресов
Унифицированный
транспорт
DMVPN
Использование Hybrid WAN
Автоматизация управления
IPSec, Threat defense

Что такое PFRv3
и как работает этот протокол

Интеллектуальный протокол
маршрутизации – PfRv3
10
отделение
MPLS
Интернет
Virtual Private
Cloud
Private Cloud
• PfR контролирует производительность и качество каналов
и маршрутизирует приложения в соответствии с SLA
• PfR может маршрутизировать приложения по всем доступным
каналам, что позволяет максимально использовать доступную
полосу пропускания
Прочий трафик может
использовать оба канала
Голосвидео начнет использовать
другой канал, если на первом
обнаружится нарушение SLA
Голосвидео используют
маршрут с наилучшим
loss/jitter/delay

Домен iWAN/PFRv3
• Домен: совокупность сайтов,
использующих единый набор политик
• Master controller: функционал принятия
решений;
• Border Router: функционал мониторинга
и data-plane
сайт
MC/BR MC/BR MC/BR BR
BR1 BR2 BR3 BR4
MC1
IWAN POP1 IWAN POP2
MC2
DMVPN
MPLS
DMVPN
INET
DCI
WAN Core
DC1 DCn
сайт сайт

Компоненты протокола PfRv3
12
сайт
BR1 BR2 BR3 BR4
MC1
IWAN DC1 IWAN DC2
MC2
DMVPN
MPLS
DMVPN
INET
DCI
WAN Core
DC1 DCn
сайт сайт
Политики маршрутизации
§ Централизованная настройка (MC1)
§ На основе приложений или DSCP значений
§ Предпочтение каналов
§ Балансировка нагрузки
§ Параметры качества (loss, delay, Jitter)
Измерение производительностикачества:
§ Обнаружение потоков и оценка параметров
§ Выполняется ролью “BR”
§ Пассивный мониторинг
§ Механизм smart-probes
§ Экспорт данных на устройства MC
Маршрутизация
§ Решения принимаются ролью “MC”
§ Маршрутизация выполнятся ролями “BR”
§ Не влияет на таблицу маршрутизации

Политики маршрутизации iWAN/PFRv3
13
Голос
Интерактивное видео
Критически-важные
данные
§ Preferred Path
§ Fallback Path
§ Задержки
§ Потери трафика
§ Вариация задержки
§ Preferred Path
§ Fallback Path
§ Задержки
§ Вариация задержки
§ Preferred Path
§ Fallback Path
§ Задержки
Весь остальной трафик
§ N/A § Балансировка
Административные политики Политики производительности
DSCP
Application
DSCP
Application
DSCP
Application
Default class
Класс трафика Определение

Измерение производительностикачества
14
На каждом WAN-интерфейсе (туннеле) роль BR
запускает три элемента мониторинга:
• Monitor 1 – Site Prefix (исходящий)
• Monitor 2 – Оценка полосы пропускания
(исходящий) на каждый traffic-class
• Monitor 3 – Оценка производительности
(входящее направление)
Все собранные данные передаются на локальную
(на данном сайте) роль MC
BR
2 31 2 31
сайт
BR1 BR2 BR3 BR4
MC1
IWAN DC1 IWAN DC2
MC2
DMVPN
MPLS
DMVPN
INET
DCI
WAN Core
DC1 DCn
сайт сайт

INETMPLS
10.1.10.0/24 10.1.11.0/24
10.1.12.0/24
10.1.13.0/24
MC1
BR1 BR2
R10 R11 R12 R13
Hub MC
10.8.3.3/32
Измерение качества каналов
Если трафик не передается по каналу:
BR отправляют друг другу пакеты “smart
probes” в частотой 20 pps*
“Smart probes” представляют собой RTP
пакеты, на основе данных которых
выполняется расчет loss/jitter/delay
Если трафик передается по каналу:
Оценка качества канала на основании
информации в передаваемом трафике
Нет необходимости поддерживать
интенсивный обмен пакетами “smart probes”
Частота снижается до 1/3 “monitoring interval”,
который (по умолчанию) составляет 30 сек
* - поведение можно изменить конфигурацией
3
IWAN DC
15

INETMPLS
10.1.10.0/24 10.1.11.0/24
10.1.12.0/24
10.1.13.0/24
IWAN DC
MC1
BR1 BR2
R10 R11 R12 R13
Hub MC
10.8.3.3/32
Качество каналов: TCA
(threshold crossing alerts)
16
Когда BR обнаруживает, что качество
канала упало ниже допустимого
(политикой), то генерируется сообщение
“TCA”.
Генерируется на основе анализа данных
входящего трафика
Оценка выполняется каждый “monitoring
interval” (по умолчанию 30 сек.)
Случай потери связи называется
“Unreachable” TCA и обнаруживается в
течение 4 секунд.
3
R10
Channel Dst-Site-id DSCP Path BW Delay Jitter Loss
5 Hub AF41 Tu1 24 250 2 1
R10
TCA Delay
DSCP AF41
Path MPLS

Маршрутизация: site-prefix
17
Site Prefix List
Hub 10.8.0.0/16
R10 10.1.10.0/24
R11 10.1.11.0/24
R12 10.1.12.0/24
R12 10.1.13.0/24 INETMPLS
10.1.10.0/24
Id:10.10.10.10
10.1.11.0/24
Id:10.11.11.11
10.1.12.0/24
10.1.13.0/24
Id:10.12.12.12
DC/ Hub
MC1
BR1 BR2
R10 R11 R12 R13
Hub MC
10.8.3.3/32

Маршрутизация: traffic-class
18
INETMPLS
10.1.10.0/24 10.1.11.0/24
IWAN POP
MC1
BR1 BR2
R10 R11 R12 R13
Политики учитывающие имена приложения
Префикс DSCP AppID Сайт Next-Hop
10.1.11.0/24 EF N/A Site 11 ?
10.1.11.0/24 AF41 App1 Site 11 ?
10.1.11.0/24 AF41 App2 Site 11 ?
10.1.11.0/24 AF31 N/A Site 11 ?
10.1.11.0/24 0 N/A Site 11 ?
10.1.10.0/24 EF N/A Site 10 ?
10.1.10.0/24 AF41 N/A Site 10 ?
10.1.10.0/24 AF31 N/A Site 10 ?
10.1.10.0/24 0 N/A Site 10 ?
10.1.12.0/24 EF N/A Site 10 ?
10.1.12.0/24 AF41 N/A Site 10 ?
10.1.12.0/24 AF31 N/A Site 10 ?
10.1.12.0/24 0 N/A Site 10 ?
10.1.12.0/24Traffic Class описывается полями:
§ Префикс (адрес назначения)
§ Значение DSCP
§ Имя приложения (если задано политиками)

Маршрутизация data-plane: auto-tunnel
Предположим, трафик из LAN
сначала приходит на BR1.
Вариант 1: трафик отправляется
через локальный интерфейс
(«вмешательство» не требуется)
Вариант 2: трафик должен быть
отправлен через BR2 (тогда BR1
пересылает его через mGRE туннель)
Auto-tunnel
mGRE interface
Трафик
WAN туннель WAN туннельВариант 1
Вариант 2
MC
BR1 BR2
19
Сайт - LAN
PFR Auto-tunnel – mGRE туннель, построенный на loopback интерфейсах

Конфигурация PFRv3: BR роль
BR роль сайта:
domain <name>
vrf default
border
source-interface loopback0
master <ip-address MC>
либо master local
Interface Tunnel<X>
domain <name> path <path-id>
BR роль хаба:
domain <name>
vrf default
border
master <ip-address MC>
Interface Tunnel<X>
domain <name> path <path-id>

Конфигурация PFRv3: MC роль
MC роль сайтов:
domain <name>
vrf default
master branch
hub <ip-address Hub MC>
MC роль хаба:
domain <name>
vrf default
master hub
site-prefix prefix-list <HUB_PREF>
class <NAME1> sequence 10
match dscp ef policy voice
class <NAME2> sequence 20
match dscp af41 policy real-time-video
path-preference MPLS
...
21

Представляем Вам iWAN 2.2

Новые возможности iWAN 2.2
На Hub BR можно настраивать несколько
WAN туннелей (multi-tunnel termination)
Стало возможным благодаря функционалу
“secondary” path в протоколах BGP/EIGRPи
изменению логики работы NHRP
10.1.10.0/24
BR1 BR2 BR3 BR4
MC1
IWAN DC1 IWAN DC2
MC2
DMVPN
MPLS
DMVPN
INET
DCI
WAN Core
DC1 DCn
сайт сайт

На Hub BR можно настраивать несколько
WAN туннелей (multi-tunnel termination)
router eigrp IWAN
address-family ipv4 unicast autonomous-system 100
topology base
[no] maximum-secondary-paths <1-32>
router bgp 65530
address-family ipv4 unicast
[no] maximum-secondary-paths ibgp <1-32>

На Hub BR можно настраивать до пяти
WAN туннелей.
“Site prefix splitting”
10.1.10.0/24
BR1 BR2 BR3 BR4
MC1
IWAN DC1 IWAN DC2
MC2
DMVPN
MPLS
DMVPN
INET
DCI
WAN Core
DC1 DCn
сайт сайт
TC: 10.1.10.0/25
TC: 10.1.10.128/25

domain IWAN
vrf default
master hub
advanced
[no] minimum-mask-length <1-32>
[no] minimum-mask-length enterprise <1-32>

Оптимизация “smart-probes”
domain IWAN
[vrf default]
master hub
advanced
[no] smart-probes burst 20 packets every 5 seconds
[no] smart-probes burst 20 quick packets every 5 seconds
10.1.10.0/24
BR1 BR2 BR3 BR4
MC1
IWAN DC1 IWAN DC2
MC2
DMVPN
MPLS
DMVPN
INET
DCI
WAN Core
DC1 DCn
сайт сайт

Оптимизация “smart-probes”
DIA: Threat defense (ZBFW, SNORT +
OpenDNS on IOS-XE)
PFR monitoring and assurance
10.1.10.0/24
BR1 BR2 BR3 BR4
MC1
IWAN DC1 IWAN DC2
MC2
DMVPN
MPLS
DMVPN
INET
DCI
WAN Core
DC1 DCn
сайт сайт

iWAN 2.2 поддержка сложных сетей
Масштабируемость до 2000 сайтов.
Поддержка DMVPN phase 3.
Снимается требование DCI.
Количество DC: до трех.
Количество туннелей:
- до 3 на каждый BR (сайт или хаб);
- до 5 на сайт с 2 BR.
Поддержка VRF: до 20.
DIA: поддержка ZBFW/NAT/SNORT
Протоколы маршрутизации overlay:
- EIGRP, iBGP, OSPF
DMVPN
Hubs
DMVPN Hubs
DMVPN
Hubs
DMVPN
Hubs
Customer DC1 Customer DC2
DMVPN
MPLS1
DMVPN Spoke1 DMVPN Spoke 2
DMVPN
INET1
DMVPN
MPLS2
DMVPN
INET2
DMVPN
INET4G
MC
BR1-1
TMC
BR1-2 BR2-1 BR2-2 BR1-1 BR1-2 BR2-1 BR2-2

Дизайн и внедрение iWAN
• iWAN является «решением», а не набором технологий
• CVD является очень важным документом, следование которому является
залогом успеха внедрения iWAN
• CiscoAPIC-EM и Prime, наряду с приложениями третьих сторон (gluenetworks,
LiveAction и т.д.) поддерживают автоматизацию развертывания iWAN в том
числе zero-touch deployment
• Эти же приложения предоставляют возможности мониторинга системы без
использования командной строки устройств
• В случае, если вы «вручную» пишете конфигурацию иили «вручную»
выполняете развертывание iWAN, крайне рекомендуется провести всесторонний
анализ (Proof-of-Concept на этапе разработки) и тестирование (на этапе
пилотного внедрения) Вашей системы
• В любой непонятной ситуации обращайтесь в Cisco TAC

Миграция между версиями iWAN
• Как правило, имеет место обратная совместимость версий iWAN
• BU для каждой версии разрабатывает рекомендуемый план обновления
Типовой план:
• Обновление начинается с Hub MC;
• Рекомендуется максимально быстро обновить Hub BR устройства;
• После обновления главного Hub, рекомендуется переходить на остальные Hubs;
• Обновление сайтов может быть постепенным, однако рекомендуется выполнять
обновление сайта (если на нем присутствует несколько устройств) за одно MW
• Использованиенастройка нового функционала, как правило, возможно после
миграции на новый релиз всех устройств домена

iWAN: версии релизов и приложений
Платформа iWAN 2.1 iWAN 2.1.1 iWAN 2.2
IOS-XE 3.16.1 3.16.2 16.3.3
IOS 15.5(3)M1 15.5(3)M2a 15.6(3)M2
WAAS 5.5.3 5.5.5a 6.2.3
iWAN APP 1.0 1.1 1.4
Prime 3.0.2 3.1 3.1.5
LiveAction 4.2.4 5.0.1 5.2

iWAN Roadmap / 2017-2018

iWAN 2.2.1 roadmap (август 2017)
• PFRv3 – inter-DC оптимизация трафика
• Поддержка ролей Hub BR на CSR
• Гибкая настройка оптимизации smart-probes (для каждого интерфейса)
• Поддержка Flex VPN (underlay)
• AVC – встроенная поддержка сценариев ассиметричного трафика
• Расширенная поддержка решений с несколькими VRF (с различными
протоколами)
• Поддержка VRF для MTT (multi-tunnel termination)
• Улучшение алгоритмов автоматического обнаружения site-prefix
Поддерживаемая версия: Polaris - 16.6.1, IOS – 15.7(3)M
Приведенные данные являются предварительными!

iWAN 2.3 roadmap (I кв. 2018)
• Direct CloudAccess
• Масштабируемость до 2500 сайтов
• Polaris – iWAN patchability
• Polaris – workflow for iWAN troubleshooting
Поддерживаемая версия: 16.6.?
Приведенные данные являются предварительными!

Дополнительная информация
Cisco iWAN, AVC, PFRv3:
www.cisco.com/go/iwan
www.cisco.com/go/avc
www.cisco.com/go/pfr
Docwiki PFR:
http://docwiki.cisco.com/wiki/PfR:Home
dCloud:
http://dcloud.cisco.com
iWAN CVD 2.1.1 (Октябрь 2016):
http://www.cisco.com/c/en/us/solutions/en
terprise/design-zone-branch-
wan/index.html#~designs

Вопросы
?

#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении конференции
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia

Cisco Connect 2017 39
R 0
G 75
B 175
R 4
G 159
B 217
R 196
G 214
B 237
R 57
G 57
B 59
R 158
G 158
B 162
R 232
G 235
B 241
R 255
G 160
B 0
R 255
G 115
B 0
R 139
G 16
B 1
R 171
G 194
B 51
R 0
G 133
B 22
R 108
G 192
B 74
Cisco color palette

Обзор PFRv3 в iWAN 2.2

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Обзор PFRv3 в iWAN 2.2

Similar to Обзор PFRv3 в iWAN 2.2 (20)

More from Cisco Russia

More from Cisco Russia (20)

Обзор PFRv3 в iWAN 2.2