Архитектура современной распределенной корпоративной сети IWAN 2.0

Архитектура современной распределенной корпоративной сети IWAN 2.0

Денис Коденцев Системный инженер-консультант, CCIE [email protected]

20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

•  Предпосылки для Cisco IWAN

•  Развитие IWAN 2.0 в 2014-2015 годах

•  Почему Cisco IWAN?

Содержание

Предпосылки для Cisco IWAN

20.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 4

Cisco Intelligent WAN

Бескомпромиссный уровень любого соединения

Снижение затрат

Бизнес приложения

Упрощение IT процессов

Private Cloud

Hybrid Cloud

Public Cloud

Безопасный доступ

Any Application

Подготовьте инфрастуктуру для реальных бизнес-задач

Any User

Использование Интернет в качестве WAN

Недорогая альтернатива

организаций планируют переход от

выделенных на Интернет-подключения

1Internet Transit Pricing based on surveys and informal data collection primarily from Internet Operations Forums—‘street pricing’ estimates

2Packet delivery based on 15 years of ping data from PingER for WORLD (global server sample) from EDU.STANFORD.SLAC in California Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER)

Стоимость Интернет и его надёжность, 1998-2012

Использование Интернет быстро окупается!

1.5 Mbps

10 Mbps

$220

$140

$830

$260

$885

$274

$1,014

$303

Пример: Сан-Франсиско MPLS сервис и двойное Интернет подключение ($ в месяц)

Двойное Интернет подключение с SLA

$665 Экономия/Месяц x

12 Месяцев X 1,000 узлов

= $8M уменьшение

затрат

-75%

iWAN MPLS VPN CoS3

MPLS VPN CoS2

MPLS VPN CoS1

Источник: Telegeography MPLS VPN pricing for San Francisco as of March 2013; Comcast Web site; Verizon website

7

Искать компромисс? Больше не требуется!

8

•  Масштабируемость 0 •  Доступность и надежность 0 •  Сетевая производительность 0 •  Безопасность 0 •  Эффективность управления 0 •  Удобство использования 0 •  Адаптируемость 0 •  Стоимость 0 --------------------------------------------------- Всего (не должно превышать 100) 0

Развитие архитектуры IWAN 2014-2015


Intelligent WAN – современная распределенная сеть

MPLS

Branch

3G/4G-LTE

AVC

Internet

Private Cloud

Virtual Private Cloud

Public Cloud WAAS

Akamai PfRv3

Любой транспорт Интеллектуальный контроль трафика

Оптимизация приложений

Безопасность соединения

!  IPSec WAN Overlay !  Удобная операционная

модель

!  Оптимальное маршрутизация приложения

!  Эффективное использование полосы пропускания

!  Performance monitoring !  Оптимизация и

кэширование

!  AES-256 шифрование !  Защита от внешних угроз

DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW

Управление и мониторинг

Cisco Confidential

ISR-AX

ASR1000-AX

ISR G2

MPLS

Один маршрутизатор, один путь

ISR G2

Internet

99.95%* 99.90%* Простои в год

4–9 часов

Простои в год 8 часов 46 минут

ISR G2 MPLS MPLS Internet

ISR G2 MPLS

Один маршрутизатор, два пути Internet Internet

ISR G2

99.995% 99.995% 99.995%

26 минут

IWAN Solution

Два маршрутизатора, два пути

ISR G2

MPLS Internet

ISR G2 ISR G2

Internet Internet

ISR G2

99.999% 99.999%

5 минут

ISR G2

MPLS MPLS

ISR G2

99.999%

* Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool. 11

Построение высоконадёжных WAN с Cisco iWAN Резервирование и выбор пути что-то да значат

Intelligent WAN – универсальный транспорт

MPLS

Branch

3G/4G-LTE

AVC

Internet

Private Cloud


Public Cloud WAAS

Akamai PfRv3





модель








Cisco Confidential

ISR-AX

ASR1000-AX

Использует две проверенных технологии Отличительные особенности

DMVPN – это решение на базе Cisco IOS для простого, динамического и масштабируемого построения IPsec+GRE VPN

•  Next-Hop Resolution Protocol (NHRP) Создаёт распределённую таблицу соответствия VPN (туннельного интерфейса) и реального («белого») адресов

•  Multipoint GRE tunnel interface Единый GRE интерфейс для поддержки большого числа GRE/IPsec туннелей и устройств

Уменьшает размер и сложность конфигурации

Поддерживает динамическое создание туннеля

•  Уменьшение конфигурации и простое расширение топологии: Транспортные протоколы (NBMA) IPv4 и IPv6 Клиенты с динамическими транспортными адресами Клиенты - за динамическим NAT, хабы – за статическим NAT Динамические туннели между клиентами Поддерживает MPLS; поддержка MPLS и VRF через GRE туннели Широкий выбор доступных топологий сети и опций

Что такое Cisco Dynamic Multipoint VPN?

Пример DMVPN

14

Динамический туннель Spoke-to-spoke

Клиент A

Клиент B

192.168.2.0/24 .1

192.168.1.0/24 .1

192.168.0.0/24 .1

. . .

Физический: 172.17.0.1 Tunnel0: 10.0.0.1

Физический: динамический Tunnel0: 10.0.0.11

Physical: dynamic Tunnel0: 10.0.0.12

Статический туннель Spoke-to-hub

Известный IP адрес

Динамические неизвестные

IP адреса

LAN могут иметь частные адреса

Intelligent WAN – контроль трафика

MPLS

Branch

3G/4G-LTE

AVC

Internet

Private Cloud


Public Cloud WAAS

Akamai PfRv3





модель








Cisco Confidential

ISR-AX

ASR1000-AX

Define Traffic Classes and service level Policies based on Applications or Transport Classifiers

ISR G2

ASR1K

Border Routers learn current traffic classes going to the WAN based on classifier definitions

Learning Active TCs

BR BR

MC+BR MC+BR MC+BR MC+BR

Traffic Classes

MC

Measure the traffic flow and network performance and report metrics to the Master Controller

Performance Measurements

BR BR

MC+BR MC+BR MC+BR MC+BR

MC

Master Controller commands path changes based on traffic class policy definitions

Best Path

BR BR

MC+BR MC+BR BR MC+BR

MC

Как работает Perfomance Routing (PfR)?

Применение политики Измерение Изучение трафика Определение политики

16

Performance Routing v3 - измерение

17

Branch MPLS

Internet

Центральный сайт

Branch Доступная полоса измеряется на выходе /

Для каждого класса

Производительность измеряется на входе Метрики RTP и TCP

для каждого DSCP и сайта

Threshold Crossing Alert (TCA) Отправляются источнику - loss, delay,

jitter, unreachable

Интеллектуальное управление трафиком PfR Voice/Video пример

Branch

MPLS

Internet


Private Cloud

Остальной трафик сбалансирован для максимальной утилизации полосы пропускания Voice/Video будет перенаправлен в

случае деградации канала

Voice/Video выбирает лучшие показатели задеркжи, джиттера и потерь

Топология IWAN 1.0 – 2014 год

10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24

R10 R11 R12 R13

MC

IWAN POP1 IWAN POP2

MC

DMVPN MPLS

DMVPN INET

BR1 BR3 BR5 BR7

10.8.0.0/16 10.9.0.0/16

•  Один активный Datacenter •  Доп. Datacenters с др.префиксами ограничено поддерживаются

•  Один активный BR на Hub-е

10.8.0.0/16 10.9.0.0/16

Топология IWAN 2.0 – 2015 год

10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24

R10 R11 R12 R13

BR2

MC

IWAN POP1 IWAN POP2

MC

DMVPN MPLS

DMVPN INET

BR1 BR4 BR3 BR6 BR5 BR8 BR7

10.8.0.0/16 10.9.0.0/16

10.8.0.0/16 10.9.0.0/16

•  Поддержка мульти-BRs per cloud per POP

•  Балансировка нагрузки между POPs

DC1 DCI WAN Core

DC2

Поддержка Multiple Next Hop Support

Проблема: §  Необходимо масштабировать кол-во BR §  PfRv3 управляет трафиком внутри Tunnel Interfaces,

не внутри multiple tunnels в единомTunnel Interface §  Spokes имеют несколько next hops на одном DMVPN

tunnel Interface §  Определение канала:

—  local site id + remote site id + DSCP + Path(SP)

—  Нет механизма отличить трафик для одного SP канала

Решение: PfRv3 DMVPN Multiple Next Hop §  New channel definition

—  local site id + remote site id + DSCP + Path(SP) + Int tag §  BR1 использует tag 1, BR2 использует tag 2

XE 3.15 15.5(2)S / PI27 15.5(2)T – март 2015

21

DMVPN2 DMVPN1

10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24

BR1 BR2 BR3 BR4

R10 R11 R12 R13

Hub MC 10.8.3.3/32

MC1

Next Hop 1 Next Hop 2

10.8.0.0/16

IWAN POP1

Увеличение полосы пропускания за счет multiple BRs per path

Поддержка Multiple Data Center

Проблема: §  Необходимо разделить ЦОД / ЦО §  Разделить префиксы от каждого ЦОД до офисов

Решение: §  ЦО могут анонсировать одинаковые префиксы

§  ЦОД могут размещаться независимо §  Офисы получают доступ к ЦОД / DMZ через любой ЦО

§  И ЦОД / DMZ взаимодействуют с офисами через любой ЦО

§  Поддержка нескольких BR на уровне ЦО

XE 3.15 15.5(2)S / PI27 15.5(2)T releases, March

Все Prefix-ы доступны между Multiple BRs & Sites

10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24

IWAN ЦО1 IWAN ЦО2

MC1 MC2

R10 R11 R12 R13

ЦОД

10.8.0.0/16 10.9.0.0/16

10.8.0.0/16 10.9.0.0/16

10.8.0.0/16 10.9.0.0/16 0.0.0.0/0

DMVPN MPLS

DMVPN INET

BR1 BR1 BR2

BR2 BR3 BR3 BR4

BR4 EIGRP/BGP 10.8.0.0/16 10.9.0.0/16 10.0.0.0/8 0.0.0.0

EIGRP/BGP 10.8.0.0/16 10.9.0.0/16 10.0.0.0/8 0.0.0.0

Transit Hub Master Hub

Управление трафиком – дальнейшие планы

Branch Site

MPLS INET MPLS INET

R14

DMVPN MPLS

DMVPN INET

DC1 DC2

LTE MPLS2 INET2 MPLS2 INET2

DC/MC MC DC/MC MC

MC/BR

ASA

LTE

DMVPN LTE

BR

23

Intelligent WAN Основные компоненты

MPLS

Branch

3G/4G-LTE

AVC

Internet

Private Cloud


Public Cloud WAAS

Akamai PfRv3





модель








Cisco Confidential

ISR-AX

ASR1000-AX

Cisco WAAS – оптимизация приложений

Решение

•  Снижение загрузки Data redundancy elimination (DRE), compression, and TCP optimization

•  Оптимизация приложений Fewer protocol messages and metadata caching

Проблема

•  Задержки на WAN •  Доступная полоса WAN

Application bandwidth with Cisco® WAAS

Application bandwidth natively

Application latency natively

Application latency with Cisco WAAS 0 0

1

2

3

4

40

80

120

160

Доступная полоса

Задержка приложения

Полоса (Mbps)

Задержка (секунды)

Уменьшение используемой

полосы

Уменьшение задержки

25

IWAN 2.0

ЦОД Офис

Akamai Intelligent Platform

Optimal Experience Regardless of Device, Connectivity or Cloud All HTTP Traffic in Private, Public, Akamai Cloud

Prepositioning | Dynamic HTTP Caching (YouTube) | Any Transport

ISR-AX

AKAMAI КЭШ

WAN

IWAN – оптимизация приложений с Akamai Connect

IWAN – оптимизация приложений с Akamai Connect

Branch Office

WAAS Service

Module/ UCSe

Branch Office WAAS-XE

on ISR-4000

Branch Office WAAS

Appliance

Regional Office WAAS

Appliance

Data Center or Private Cloud WAAS

Appliances

VPN

VMware ESXi

vWAAS Appliances

Server VMs

AppNav + WAAS

IWAN

vWAAS WAE

Server VMs

VMware ESXi Server

Nexus 1000v vPATH

UCS /x86 Server

FC SAN

Nexus 1000v VSM

Virtual Private Cloud IWAN 2.0

27

Оптимизация приложений Дальнейшее развитие

Internet

Branch

AVC PfR MPLS

Data Center ISR ASR

APIC-EM

•  Obtain nearest edge gateways from Akamai

•  Provision/Monitor 3rd DMVPN over Akamai

Classify applications WAN Path Selection over Akamai

•  Select Akamai for apps & sites

•  Assign capacity •  Monitor usage

DMVPN

Optimal Routing & Reliable Delivery

Akamai Intelligent Platform

28

Internet VPN

Up to X Mbps Offered BW : AVAILABLE BW Not always X, typically < X Mbps

Офис

ЦОД

Управление полосой пропускания в условиях отсутствия SLA

•  Доступная полоса может меняться

(Internet) •  В случае деградации канала, кто принимает решение какие пакеты отбрасывать?

•  Влияет на критичные приложения!

29

Оптимизация приложений IWAN Adaptive QoS – доступно в 2015

30

Управляем полосой shaping на отправителе

Sender

Configure MQC Policy with Adaptive Shaping

DMVPN

Transport Monitoring Enable

Collect Periodic bandwidth Stats on received traffic

Transport Received Rate

Calculate Available Bandwidth over the WAN Adjust Egress Shaper to observed rate

Intelligent WAN Основные компоненты

MPLS

Branch

3G/4G-LTE

AVC

Internet

Private Cloud


Public Cloud WAAS

Akamai PfRv3





модель








Cisco Confidential

ISR-AX

ASR1000-AX

IWAN – развитие автоматизации

APIC-EM

Device Abstraction Layer

REST APIs

APIC-EM Services (Partial)

CLI OnePK/Openflow

PKI Svc

NetFlow Svc

PnP Svc

Network Svc

Events Svc

Inventory Svc

Traditional Management Systems

Cis

co P

rime

Evolution

Apps IWAN

Transport PKI

Automation

Security Intelligent Path Control

Cisco IWAN Apps Partners (future)

Application Experience

PnP Provisioning

5 Nov CY2015

Capacity Planning, Troubleshooting, Change control Prime

IWAN: SD-WAN анализ требований

Branch

Private Cloud


Public Cloud

MPLS (IP-VPN)

Internet

CSR1000-AX

Physical or Virtual* devices Zero Touch Deployment

L2/3 Interoperability

Management Dashboard Open North-bound API

Dynamic Traffic Engineering

HA and Resilient WAN App Visibility, Prioritization and Steering

Active-Active Architecture

APIC Prime

FIPS 140-2 w/ Cert Management

Optimized Secure Transport

Direct Internet Access

33

IWAN – эффективная безопасность


Intelligent WAN — локальный доступ в Интернет Direct Internet Access

Branch

MPLS (IP-VPN)

Internet Direct

Internet Access

Private Cloud


Public Cloud

•  Использование локального подключения для облачных и интернет сервисов

•  Повышение эффективности

Решение Офис – Zone Based Firewall Облако – Cloud Web Security

CWS

ISR-AX ZBFW

35

Безопасный интернет доступ Cloud Web Security (CWS)

Secure Public Cloud and Internet

Access

ISR Connector to CWS Firewall towers

Web Filtering, Access Policy, Malware Detect

WAN1 (IP-VPN)

CWS

Private Cloud

Public Cloud

Branch

WAN2 (Internet)

IWAN IPsec VPN for Private Cloud

Traffic IOS Firewall to protect Internet

Edge

Internet

36

Эффективная безопасность – планы Direct Internet Access – Белые списки

•  Трафик для «белого списка» направляется в Интернет локально, остальной трафик в DMZ

•  Улучшает производительность для «доверенных» облачных приложений §  WebEx, Office365, SaleForce.com,…

•  Идеальный 1-й шаг для внедрения DIA

Branch Site

MPLS INET MPLS INET

R14

DMVPN MPLS

DMVPN INET

DC1 DC2

LTE LTE

DMVPN LTE

SAT MPLS2 INET2 MPLS2 INET2

DC/MC MC DC/MC MC

BR MC/BR

ASA

Internet

37

IWAN – поддержка в оборудовании


ISR G2

ISR 4000

ASR 1000

CSR 1000v *

WAVE

*Domain MC

Intelligent WAN Платформы

NEW!

Почему Cisco IWAN?


•  Уникальная архитектура универсального транспорта!

•  Надежность 99,995% даже при использовании Интернет-каналов

•  Портфолио оборудования для IWAN – от 10 Мбит/с до 200Гбит/с

•  Полная автоматизация внедрения

•  Проверено. Описано. Готово к внедрению.

•  Значительное сокращение IT затрат при повышение качества IT сервисов.

Почему Cisco IWAN?

Branch

MPLS (IP-VPN)

Internet

Private Cloud


Public Cloud

Cisco Intelligent WAN (IWAN)

Secure WAN Transport

Direct Internet Access

Любой транспорт с обеспечением высокой надежности

SLA для ключевых приложений

Централизованные политики

Радикальное уменьшение затрат на WAN

42

Traditional + Good Enough Competitors

Security & Application Optimization

Disruptive WAN Start-Ups

Преимущества Cisco IWAN

WAN-focused Unproven

Multiple Appliance Complexity

Primitive routing and path control

Frequent refresh No Intelligent Path

Control No App Optimization

Вендоры

Ограничения

Стратегия ! SD-WAN simplicity ! VPN Automation ! Controller-based

! Service or VPN overlay ! Over-the-top of the

WAN

! “Good enough” ! Price/Performance

Internet

Intelligent WAN Summary

Branch-1 Branch-513

DCI WAN Core

MC MC

20M Dn 2M Up

512M FD

BR BR

ATBT MPLS

Island ADSL

BR

ISR-AX vWAAS

ISR-AX vWAAS

1.5M FD

256M FD

CWS

BR ASR-AX ASR-AX

WAAS WAAS

AVC

AVC

AVC

ShowMe$$

DC-West DC-East

Internet Internet

Transport Independent Design Highly available Hybrid WAN

Intelligent Path Control Performance Routing (PfR) to protect critical applications and load balance traffic to maximize expensive WAN bandwidth

Application Optimization Application Visibility and Control (AVC) to monitor performance

WAAS + Akamai to reduce bandwidth consumption while improving application experience

Secure Connectivity Cloud Web Security (CWS) for improved performance of Public Cloud while freeing up WAN bandwidth, without compromising security

IWAN Management Prime, LiveAction, GlueWare or IWAN-APP with APIC-EM

44

IWAN Sites: §  CCO: www.cisco.com/go/iwan

Intelligent WAN Technology Design Guide (IWAN 2.0) §  http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-

IWANDesignGuide-JAN15.pdf §  http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-

IWANConfigurationFilesGuide-JAN15.pdf

IWAN Demo §  use dCloud (http://dcloud.cisco.com) search for IWAN (5 EMEAR demos

available)

Cisco IWAN. Полезные ресурсы.

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом #CiscoConnectRu

CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.

IWAN 2015 Roadmap Overview IWAN 2.0+

CY2015

Domain Scale TBD – testing dependent

Transport Independence

Simplification Spoke-to-Spoke QOS

Akamai Transport

Intelligent Path Control

Horizontal Scaling and Increased Redundancy Path of Last Resort

Identity/SGT Policies

Application Optimization

Adaptive QOS Domain Name Classification

Identity/SGT AVC Policies

WAAS/Akamai Single Sided SSL

Secure Connectivity

SUDI based Trust Model SNORT IPS

DIA White-Listing

Management

Prime Infrastructure 3.0 Additional Workflows;

Enhanced Visualization; PnP & PKI APIC-EM Integration

APIC-EM / IWAN App PKI Automation;

Site-by-Site Provisioning; CVD-based: QoS, AVC, PfR;

47