1. Развитие решений Cisco Service Control.
Использование DPI для контент-фильтрации.
Денис Коденцев
Системный инженер, CCIE
dkodents@cisco.com
Июнь 2014

2. 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Обзор решения Service Control
§ SCE 10000
§ vSCE
§ URL-фильтрация
§ Контент-фильтрация

3. 3© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Абоненты
SCE 10000

4. 4© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ 8x10G ports
§ 60 G and 480G (Cluster)
§ Support 20 million bi-
directional application flows
§ Up to 2M concurrent
subscribers and 2500 TPS
§ Backward compatible with
SM/ CM/ Insight and SCA BB
Subscribers
Throughput
5 Gbps 60 Gbps
1M
30 Gbps
2M
SCE10K
§ Pure SW Installable
§ Running on top of
hypervisor
Virtual SCE
§ 100 – 300G
§ 100G interfaces
SCE14K
300 Gbps
4M
SCE8000
§ 1G/10G ports
§ 30G/240G
(Cluster)
§ Up to 1M
concurrent
subscribers and
800 TPS
Сегодня
Июль’14
Середина’15
Июль’14
10 Gbps
20M

5. 5© 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000 и vSCE станут
доступны к заказу в Июле ’14!
Q3CY13 Q4CY13 Q1CY14 Q2CY14 Q3CY14 Q4CY14
5.0.0
4.2.0
4.1.0
PP35
4.0.0
PP37 PP38 PP39 PP40 PP41 PP42 PP43
! ! !
5.1.0
PP42 PP43
SCE 8000
SCE10000 и
vSCE
SCE 8000
SCE10000 и
vSCE! !
!

6. Cisco Confidential 6© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Обзор SCE10000

7. 7© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Производите-
льность – 60G
Больше
абонентов– 2M
Меньше
места в
стойке – 2RU
Меньше
потребление
– 1200W
Scale
Infra
Архитектура нового поколения
SCE10000 vSCE NG Cluster
SCE14000
Масштабируемость
Единая платформа
Быстрая интеграция
Быстрый выпуск новых
продуктов и решений
Уменьшение
Capex вложений
Уменьшение
TTM сервисов

8. 8© 2013-2014 Cisco and/or its affiliates. All rights reserved.

9. 9© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco SCE10K
S:N pair is part of
the same NIC

10. 10© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Автоматическая
настройка
интерфейса
управления

11. 11© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Позиционирование
§ SP/Enterprise/Public Sector/ Higher Education
customers looking for
§ Производительность до 60Gbps в одном
устройстве
§ Кластер до 480 Gbps
Скорая доступность к заказу
§ Июль 2014

12. 12© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Архитектура
§ SCE10000 использует архитектуру SCE8000
§ Результат: Уменьшение TTM до 12
месяцев в сравнении с 18-24 месяцами
средними для индустрии
§ Программная архитектура SCE10000 использует
аппаратную архитектуру SCE8000
§ Приоритезация трафика
§ Эффективность при большой пропускной
способности и сложности политик
§ Минимизация задержки
§ Эффективный пропуск трафика в случае
congestion

13. 13© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Совместимость с SCE8000
§ 70% CLI SCE10000 аналогичны SCE8000. Только
30% CLI созданы дополнительно
§ Обратная совместимость с SM/ CM/ SCA BB и
Broadhop QNS/ 3rd
party Policy Servers/ OSS
системами с минимальными затратами
§ Унифицированные SM/CM для всей линейки SCE

14. 14© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Аппаратное обеспечение
§ Встроенные Optical Bypass и SFP
§ Хранилище большого объема
§ В дальнейшем планируется использовать эту
опцию для различных приложений SCE10000
§ Легко выбрать подходящее решение
§ Выбирается только тип оптики LR или SR NIC
вместо комбинации Line Card + Optical Bypass +
Optics
§ Все фиксированные элементы объединены в
бандлы – SCE10000-8x10G-E
§ Выбор при заказе
§ NICs (SR or LR)
§ Storage (SSD or HDD)
§ Power Module (AC or DC)

15. 15© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Функциональность
§ Полная функциональная совместимость с SCE8K*
§ Встроенный оптический bypass
§ Возможность по внесению изменений в URL списки
и Зоны без применения политики
§ Отказоустойчивость для БП и хранилища
§ Мониторинг в реальном времени
* Кроме CNR LEG и ISG-SCE BUS

16. 16© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Компоненты Тип
Память (512 GB) Фиксировано
Процессор (4 CPUs x 10 Cores
каждый)
Фиксировано
NIC (4 карты каждая по 2x10G)
Встроенный оптический байпас
SFP встроенны
На выбор SR или LR
Блоки питания (Резервированные) На выбор AC или DC
Встроенное хранилище На выбор HDD или SSD

17. Cisco Confidential 17© 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000 vs SCE8000
Сравнение платформ

18. 18© 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000SCE8000
Интерфейсы
2 or 4 - 10G
8 or 16 – 1GBE
8 x 10G
Интерфейсы управления 2 x 10/ 100/ 1000 4 x 10/ 100/ 1000
Хранилище 4 GB
2x200 GB SSD or
2x300 GB HDD
Шасси 5 RU 2 RU
Потребление 1600 W 1200 W
Производительность 30 Gbps 60 Gbps
Макс.абонентов 1,000,000 2,000,000 #
# The values would be increased to 4M in CY15 release

19. 19© 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000SCE8000
Макс. Flows (Bi-Directional) 16 M 20 M
TPS (Gx & SM) 850 3000#
Gx + Gy 850 1400#
Quota TPS - QM 1000 1400#
Зоны
20K for v4/ 5K for
v6
32K for v4/ 8K for
v6
Subscriber/ Global Counters 48/ 192 64/ 256
RDR Rate 35K/sec 70K/sec
# The values would be increased in subsequent release

20. 20© 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Одновременная поддержка максимального числа абонентов и flow
SCE8000
250k Subs 16 M
500k Subs 15 M
750k Subs 14 M
1M Subs 13 M
SCE10000
2M Subs 20 M

21. 21© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Ключевой фактор, влияющий на максимальную производительность
SCE8000
* Ограничение backplane16 Gbps безотносительно размера
пакета

22. 22© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Ключевые факторы для SCE10K
• Max packets to be handled at FP, SP and PD
o PD – 16 mpps
o FD – 16 mpps
o SP – 14.5 mpps
• Max 10G links
Actual BW is throughput
achieved at SP
core #k
CPU
Management NIC
SP
FP
core #n
core #m
core #n
core #m
core #k
Data Path NIC
CP+MTP
core #k

23. 23© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Регион
Тип SP
SIMBA
status
64-1
27
128-
256
256-
511
512-1
023
1024-
1518
1519 and
above
Средний
размер
пакета
Европа Cable Single
SIMBA
30.80 5.59 2.05 2.32 59.22 Not present 988.09
Япония Broadband Dual
SIMBA
36.61 6.27 2.83 2.70 51.56 0.027 835.92
Средний восток Broadband Dual
SIMBA
41.75 5.62 2.47 2.83 32.37 15.05 824.60
Европа Broadband Single
SIMBA
43.77 4.78 2.51 2.90 44.32 1.69 782.75
Япония Mobile
provider
Single
SIMBA
46.44 4.80 3.34 3.13 42.27 Not present 693.88
The data is picked from support files for 36 hour interval to
eliminate discrepancies due to peak-hour and off-peak-hour

24. 24© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Source: Amsterdam Internet Exchange
(https://www.ams-ix.net/technical/statistics/sflow-stats/frame-size-distribution)
Тенденция к
увеличению
среднего
размера
пакета

25. 25© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Средний размер пакета Bandwidth
512 60 Gbps
576 (IPv4 Min MTU) 65 Gbps
620 70 Gbps
SCE10000 отлично
сбалансирован
для реальных
применений

26. Cisco Confidential 26© 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000
Планы по развитию

27. 27© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Решения
Parental Control
Video Caching
Targeted
Advertisements
Infra
NG Clustering Solution
Improve TPS
2nd IP to Management
Interface
DNS Assisted
Classification
Аналитика
Quota Reporting
NG clustering architecture
Design NG clustering solution without the need for exclusive load balancers. Targeted cluster throughput – 300 Gbps
TPS improvement – Both login/logout and Quota
Improve the TPS of both login/logout and Quota for SM/QM and Gx/Gy

28. 28© 2013-2014 Cisco and/or its affiliates. All rights reserved.
BRAS
Internet
Gateway
SCE
1
SCE
2
SCE
3
S to N
N to S
Cluster
interface
Cluster
interfaceCluster
interface
• Flows redirected to the handling SCE based on the IP address load balancing

29. 29© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Распределение интерфейсов
• 6 data ports and 12 cluster ports in each SCE10000
• 3 dual ports NICs for data
• 3 quad port NICs for cluster
• Max of 7 SCEs could be clustered
• All SCEs are connected in a mesh topology
• Max achievable throughput in 1st release is ~300 Gbps
• 6 data port à 3 S:N pair
• 45 Gbps throughput achievable in each SCE
• 2x10G connectivity between each pair of SCE in mesh
topology

30. Cisco Confidential 30© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Обзор vSCE

31. 31© 2013-2014 Cisco and/or its affiliates. All rights reserved.
• SDN/NFV are driving a shift to virtualized
platforms running on standard servers or
dedicated hardware
NFV/ SDN
• Preference for common HW and SW
• To reduce CAPEX and power consumption
• To reduce dependency on specialized skills to deploy custom HC
Generic HW
• Accelerate deployment of services by
reducing procure-design-integrate-deploy
cycle
Скорость внедрения
• Ability to rapidly scale up/down services as
required
Масштабируемость

32. 32© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Позиционирование
§ SP/Enterprise/Public Sector/ Higher Education
customers looking for
§ Производительность до 5Gbps для одной
VM
§ Service chaining (NFV/SDN)
Скорая доступность к заказу
§ Июль 2014

33. 33© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Функциональность
§ ПО запускается над гиперпизором KVM на любой x86
платформе
§ Полное функциональное соответствие с SCE10000
§ Network Function Virtualization (NFV) ready
§ Возможность опробовать решение до приобретения
больших платформ – SCE8K, SCE10K

34. 34© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Standalone
Application
vSCE running as
standalone application
on any COTS HW
Suitable for customers
opting for ‘try-before-
you-buy’ solution
Facilitates customer to
trial new solutions/
services
NFV Solution
vSCE acting as VNF
component running in
VM
vSCE is officially part of
Cisco Evolved Services
Platform
HW agnostic support

35. 35© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Абоненты
vSCE is compatible with external elements such as SM/ CM and SCA BB
Virtualization of external elements (SM/CM) is currently possible
Виртуальная
среда

36. 36© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Subscribers
Part of vSCE Virtual Appliance – On demand elasticity of independent elements is possible
LoadBalancer

37. 37© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Virtualization lends itself well for Functions
that have high control plane complexity,
require low Data Plane bandwidth, and where
higher latency is acceptable
§ In DPI, examples are:
– Where DPI function is already centralized (e.g
GiLAN)
– Where Data Plane requirement is low (e.g
enterprise customers, managed services)
§ Complexity moves from the operational
burden of managing hardware appliances to
the software mediation layer
Cloud Datacenter
GI-LAN | Consumer
DPI CGN WWW
FW CDN IPS
Virtual Private Cloud
NfV Services
DPI CPE WAAS
FW NAM IPS
Evolved Programmable
Network
SP
Data Center
Service Controller

38. 38© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ The mobile core of today is comprised of "many
boxes" built on "constrained" sheet metal NEs often
using custom "computer" blades
§ NfV maps those functions to
‒ COTS computer blades (no “custom” blade pricing)
‒ Unbounded data center (no chassis)
§ NfV also replaces
‒ Physical connectivity with flexible software defined
network
‒ Physical hosts with flexible virtualized compute
§ NfV results in lower TCO which allow the operators
cost structure to align with OTT competitors
‒ Lower capex structure
‒ Simplified cloud based operations
GGSN/
PGW
VRF Internet
VRFPhysical
Compute,
Network
Storage
Virtualized
Compute,
Network
Storage
MME/
SGSN
PCRF
QSB
VO
WO
Classific
ation
SDN
Control
NAT
FW
IDS/
IDP
SON
...
LTE
12
A
B
C
3
D
E
F
4
G
H
I
5
J
K
L
6
M
N
O
7
P
Q
R
S
8
T
U
V
9
W
X
Y
Z
*0#
Signal
Strength
RAN
3G
2G
Wi-­‐Fi
Virtualization
Quantum
Service
Bus
Quantum
Policy
Server
PDN
REST
PDN-­‐GW
/GGSN
Rx
Sd/Gx+
Gx
REST
SPR/
UDR
NEAF
Gx
API-­‐GW REST/XMPP
Quantum
vGi-­‐LAN
WOVO
NATDPI
URL
Filtering
Policy
VPNFW
MediaNet
Services
Quantum
SON
RATM CDE
WiFi3G
LTE
Small
Cell
12
A
B
C
3
D
E
F
4
G
H
I
5
J
K
L
6
M
N
O
7
P
Q
R
S
8
T
U
V
9
W
X
Y
Z
*0#
Signal
Strength
MSI
RAN
MSI
Quantum
Analytics
Analytics
Dashboard
Data
Analytics
Engine

39. 39© 2013-2014 Cisco and/or its affiliates. All rights reserved.

40. 40© 2013-2014 Cisco and/or its affiliates. All rights reserved.
10G*5G
# Performance is obtained using Intel NICs leveraging DPDK and CPU speed is 2.9 Ghz
* Will be available only in future releases, tentatively Dec ’14
Интерфейсы 8x1G 2x10G
Абоненты 225,000 450,000
Ядра CPU# 10 16
TPS (Login/ Logout) 300 500
VLinks 2048 2048
Flow Introduction/ Acquisition
Rate
195,000 flows/
sec
390,000 flows/
sec

41. 41© 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Ядра: 10 @ 2.9 Ghz
• Память: 32 GB
• Сетевые карты: 8x1G
Пример конфигурации UCS (UCS C220)#
UCSC-C220-M3L= UCS C220 M3 LFF w/o CPU, mem, HDD, PCIe, PSU, rail kit 1 Unit
UCS-CPU-E5-2667=
2.90 GHz E5-2667/130W 6C/15MB Cache/DDR3 1600MHz/
NoHeatSink
2 Units
UCSC-PCIE-IRJ45= Intel Quad GbE adapter 2 Units
UCS-MR-1X162RZ-A= 16GB DDR3-1866-MHz RDIMM/PC3-14900/dual rank/x4/1.5v 2 Units
UCSC-PSU-450W= 450W power supply for C-series rack servers 1 Unit
# The above configuration only lists essential components

42. Cisco Confidential 42© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Использование DPI для
контент-фильтрации

43. 43© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Задача фильтрации контента
§ URL-фильтрация (blacklisting)
§ Контент-фильтрация
§ Родительский контроль
§ Автоматизация URL-фильтрации
§ О чем стоит помнить

44. 44© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Выполнение ФЗ-139
§ http://78.rkn.gov.ru/directions/p4592/p11530/
§ Родительский контроль

45. Cisco Confidential 45© 2013-2014 Cisco and/or its affiliates. All rights reserved.
URL-фильтрация на базе SCE

46. 46© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco SCE
Абоненты
Сеть Интернет
HTTP GET
Разрешенный URL
HTTP GET
Разрешенный URLЗапрещенный URL
DROP
Cisco SCE
– Обработка только исходящего HTTP трафика (ассиметричный режим)
– Контроль на основе статических URL/Domain/IP списков
– Высокая масштабируемость

47. 47© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Предполагает, что список фильтруемых ресурсов статический либо
обновляется редко и не требует мгновенного применения
оператором
§ Метод применим для выполнения ФЗ-139
§ Список обновляется 2 раза в сутки
§ ФЗ требует применить ограничение к ресурсу в течение суток с момента
появления ресурса в списке
§ Описание процесса настройки:
§ http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/
rel41x/scabbug/scabbug/07_SCA_BB_UG.html#wp1175199

48. 48© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 1. Получение списка запрещенных ресурсов
§ Шаг 2. Формирование CSV файла в требуемом формате
§ http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/
broadband_app/rel41x/scabbrg/scabbrg/05_SCA_BB_RG.html#wp998977
§ Два варианта CSV - Standard (расширенный) и Easy (упрощенный)
§ Standard
§ flavor name,flavor index,flavor type,host suffix,params prefix,URI suffix,URI prefix
§ например - NEWS,0,HTTP_URL,*.reuters.com,,,/news/*
§ Easy
§ например http://*.rapidshare.com/cgi-bin/upload*

49. 49© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 3. Создание Flavor в SCA-BB

50. 50© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 3. Создание Flavor в SCA-BB

51. 51© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 4. Импорт CSV-файла

52. 52© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 5. Создание сервиса для URL-фильтрации

53. 53© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ HTTPS трафик
§ Глубина поиска HTTP GET в одном TCP потоке – влияет на
точность блокировки и производительность DPI
§ ClickStream – что делает сам абонент, а не web страница?

54. 54© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Простой процесс настройки
§ Высокая масштабируемость
§ Требуется адаптация списка Роскомнадзора в формат «понятный»
SCE
§ Возможно реализовать с помощью различного рода скриптов-парсеров
для текстовых/csv файлов
§ При изменении списка требует применения сервисной политики на
SCE
§ в следующих версиях ПО это ограничение будет снято

55. Cisco Confidential 55© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Использование DPI для
контент-фильтрации

56. 56© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Динамическая URL-фильтрация
• Cisco SCE
• Управление абонентскими контекстами
• экспорт URL для анализа с
использованием специального вида
RDR
• контроль HTTP трафика абонентов в
соответствии с заданной сервисной
политикой и текущим состоянием URL
кэша
• Внешняя система категоризации
• Определение категории URL,
полученных от Cisco SCE
• Обновление URL кэша на Cisco SCE
через API

57. 57© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Родительский контроль
• Cisco SCE
• Управление абонентскими
контекстами
• экспорт URL для анализа
• контроль HTTP трафика абонентов
• ЦАИР
• Определение категории URL,
полученных от Cisco SCE
• Обновление URL кэша на Cisco SCE

58. 58© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Динамическая URL-фильтрация. Выводы.
• При наличии возможности
внешняя система может быть
реализована оператором
самостоятельно.
• Необходимо реализовать всего 2
функции при взаимодействии с
SCE:
• Интерпретировать URL RDR
• По окончании процесса категоризации
запустить API функцию

59. Cisco Confidential 59© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Заключение и выводы

60. 60© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Линейка Cisco SCE получила долгожданное развитие
§ SCE10K и vSCE, которые дополняют, а НЕ замещают
существующее решение SCE8K!
§ Богатые планы по дальнейшему развитию линейки – SCE14K,
vSCE на ASR9K VSM
§ Реализация контентной и URL фильтрации
§ статической или динамической
§ самостоятельно или с помощью партнеров Cisco

61. Вопросы?

62. Спасибо!