Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего поколения

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 Cisco Confidential 1 © 2013 Cisco and/or its affiliates. All rights reserved.

Константин Григорьев,

Системный инженер по направлению маршрутизация и коммутация

[email protected]

Распределенная корпоративная сеть следующего поколения

mailto:[email protected]

Consistent Network Wide Intelligence

Visibility Policy Operations

Cisco One Network Environment (ONE) Среднее кол-во #приложений

на одном устройстве*:

41

Источники:

* http://www.nielsen.com/us/en/newswire/2012/state-of-the-appnation-%C3%A2%C2%80%C2%93-a-year-of-change-and-growth-in-u-s-smartphones.html

** https://www.abiresearch.com/press/average-size-of-mobile-games-for-ios-increased-by-

*** http://www.wirelessandmobilenews.com/2013/05/samsung-galaxy-s3-iii-update-android-4.2.1-jelly-bean.html

http://theiphonewiki.com/wiki/Firmware#iPad_4

http://answers.microsoft.com/en-us/windows/forum/windows_other-windows_update/what-is-average-monthly-size-of-update-downloads/dfe9bb34-c2dd-478e-a6cb-0a26228cf552

Средний объём

приложения**:

23 MB (iOS)

6 MB (Android)

25 MB (Windows)

Размер файла OS update***:

750 MB (iOS 7 для Iphone)

168 MB (Jelly Bean 4.1)

400.0 MB (Windows 7)

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4

Меняются приложения и способы их доставки

Консолидация сервисов и приложений в ЦОДах и облаках

Прямой доступ в Internet из филиалов

Филиал

Облако

Центр Обработки

Данных

Облака

CIO ожидают

перехода к

облачной модели

сети к 2015 году

Мобильность

Увеличение

объёмов

мобильного

трафика к 2015

году

“Тяжелые” приложения

Объёмы трафика

видео приложений

в сети

Новые требования к WAN


Новые модели сети становятся жизнеспособными

Увеличение объёмов трафика, увеличение затрат

на каналы связи

Увеличение гибкости доступа с различных устройств

Улучшение производительности Internet


1. Internet Transit Pricing based on surveys & informal data collection primarily from Internet

Operations Forums – ‘street pricing’ estimates

2. Packet delivery based on 15 years of ping data from PingER for WORLD (global server sample)

from EDU.STANFORD.SLAC in California

Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER)

Альтернатива с низкой стоимостью

организаций

планируют

миграцию к

Internet

соединениям


ПРИМЕРЫ:

San Francisco MPLS VPN vs Dual Business Internet ($ в месяц)

Source: Telegeography MPLS VPN pricing for San Francisco as of March 2013; Comcast Web site; Verizon Web site

Assumes average Router upgrade is $3000; installation is $1000 and Support is $300

CoS2 refers to VPN services providing real-time data and middle priority

$665 в месяц x 12 месяцев x 100 сайтов

1.5 Mbps 10 Mbps

$220

MPLS VPN CoS2 $885

Dual Internet

Access Combined

for Ent SLA -75%

$ 800000 экономия

186% ROI

Возврат инвестиций – 6 месяцев

IWAN ROI Calculator:

https://cisco.impliedlogic.com/models/iwan

Frankfurt MPLS VPN vs Dual Business Internet ($ в месяц)

$643 в месяц x 12 месяцев x 100 сайтов

474

330

103

890

1.5 Mbps 10 Mbps

MPLS VPN CoS2 $1220

Dual Internet

Access

Combined for Ent

SLA

-53%

80

274

140

611

$577

$ 771000 экономия

Возврат инвестиций – 6-12 месяцев


Private Cloud

MPLS (IP-VPN)

Public Cloud

Internet

Безопасный

транспорт WAN с

использованием

IPSec

Прямой доступ

в Internet

• Увеличение эффективной полосы пропускания WAN; и более эффективная цена!

• Безопасный транспорт WAN для доступа к частным облачным сервисам

• Локальный прямой доступ в Internet и к публичным облачным сервисам

• Улучшение производительности приложений (прямой доступ к сервисам)

Virtual Private Cloud

Филиал


Private Cloud

WAN (IP-VPN)

Public Cloud

Internet Virtual Private Cloud

Branch

Internet как WAN с надёжностью .99999

SLA для бизнес критичных приложений

Существенное снижение затрат

на каналы связи WAN

Централизованная политика безопасности

для доступа в Internet

Безопасность

соединений

• Шифрование

• Комплексная защита с помощью ASA & IOS Firewall/IPS

• Cloud Web Security (CWS) для безопасного прямого доступа в Internet

Оптимизация

приложений

• Контроль работы приложений Application Visibility & Control (AVC)

• Оптимизация трафика приложений и увеличение производительности с использованием WAAS

Любой

транспорт

• Удобная операционная модель

• Простой процесс миграции

• Масштабируемый модульный дизайн

• Наложенный DMVPN IPsec

Internet

AVC

Филиал WAAS PfR

Интеллектуальный

контроль трафика

• Выбор маршрута для приложений по параметрам (delay, loss, jitter и т.д.)

• Балансировка нагрузки и эффективное использование

• Увеличение доступности

• Performance Routing (PfR)

3G/4G-LTE

MPLS

Private Cloud

Public Cloud

Virtual Private Cloud


Dual Internet Hybrid Dual MPLS

Public Public Enterprise

Internet MPLS Internet Internet

Internet

MPLS MPLS

Гибрид Больше BW для бизнес-приложений

Сбалансированный SLA

– Средняя стоимость

2 подключения Internet Лучшая цена/производительность

Наибольшая гибкость SP

– Организация ответственна за SLA

Наложенные и совместимые VPN технологии обеспечивают безопасность миграции

2 подключения MPLS Высокий гарантированный SLA

– Полная зависимость от SP

ẋ Дорого



Упрощает дизайн WAN

Простой multi-homing через любые

транспортные сервисы

Единая плоскость управления

маршрутизацией при минимуме

взаимодействия с провайдерами

Динамические

полносвязные соединения

Автоматические site-to-site IPsec

туннели

Zero-touch конфигурация центра

(hub) для новых филиалов (spoke)

Согласованный дизайн для любого

транспорта

Высокий уровень

безопасности

Соответствие сертифицированным

стандартам шифрования и

межсетевого экранирования

Масштабируемый дизайн с высокой

производительностью криптографии

на аппаратном уровне

Независимость от транспортной модели

Безопасность Гибкость

MPLS

Internet

Data Center Branch

ASR 1000

ASR 1000

ISR-G2 WAN


• mGRE инкапсулирует IPSec. Только WAN IP адреса должны быть известны WAN провайдеру

IP адрес WAN-интерфейса может быть использован как Tunnel Source address

• Филиальные (spoke) подразделения регистрируются в центре (hub) как NHRP клиенты и устанавливают IPsec tunnel

• Обмен информацией об IP routing префиксах в каждом подразделении

Обычно используются BGP или EIGRP для масштабируемости

• Обмен трафиком через DMVPN-туннели

• При передаче трафика между филиалами центральный машрутизатор (hub) способствует установлению site-to-site туннелей между spoke-маршрутизаторами (NHRP)

• Per-Tunnel QOS обеспечивает контроль переподписки филиальных маршрутизаторов (spoke) из центра (hub)

15

Traditional Static Tunnels

DMVPN On-Demand Tunnels

Static Known IP Addresses

Dynamic Unknown IP Addresses

Branch 2

ISR G2

Branch 1

Hub

IPsec

VPN Branch n

Безопасные туннели по запросу

(On-Demand)

ASR 1000

ISR G2 ISR G2


Internet MPLS

Data Center

Branch ISR-G2

ASR 1000 ASR 1000

ISP A SP V

DMVPN GETVPN

Internet MPLS

Data Center

Branch ISR-G2

ASR 1000 ASR 1000

ISP A SP V

DMVPN DMVPN

2 IPsec Technologies

- MPLS/GETVPN

- Internet/DMVPN

2 WAN Routing Domains

- MPLS: eBGP or static

- Internet: iBGP, EIGRP or OSPF

- Route Redistribution to force

primary path

- Route Filtering loop prevention

Active/Standby Primary with Backup

WAN Paths

1 DMVPN IPsec Overlay

1 WAN Routing Domain

iBGP, EIGRP, or OSPF

Active/Active WAN paths

Traditional Hybrid

iWAN Hybrid


Internet Internet

Data Center

Branch ISR-G2

ASR 1000 ASR 1000

ISP A DSL

ISP C Cable

DMVPN DMVPN

Internet MPLS

Data Center

Branch ISR-G2

ASR 1000 ASR 1000

ISP A SP V

DMVPN DMVPN

iWAN Hybrid

iWAN Dual Internet

1 DMVPN IPsec Overlay

1 WAN Routing Domain

iBGP, EIGRP, or OSPF

1 Active-Active WAN Paths


Отказоустойчивость и надёжность маршрутов

ISR G2

MPLS

ISR G2

MPLS MPLS Internet

ISR G2

MPLS

Один

маршрутизатор,

Один маршрут

Один

маршрутизатор,

Два маршрута

Два

маршрутизатора,

Два маршрута ISR G2

MPLS MPLS

ISR G2

Internet Internet

ISR G2

ISR G2

Internet

ISR G2

MPLS Internet

ISR G2 ISR G2

Internet Internet

ISR G2

99.95%

4h:23m / yr *

99.90%

8h:46m / yr *

99.998% 99.998% 99.997%

99.999% 99.9999% 99.9998%

Время

простоя

в год

4-9 часов

5 минут

24 минуты

Решение

IWAN

0:11/yr 0:11/yr 0:16/yr

>0:01/yr >0:01/yr >0:01/yr

1. Examples assume MPLS VPN link with 99.95% availability SLA, Business-Grade Broadband with 99.0% expected availability (some Internet services include 99.9% SLA)

Assumes $600 MRC for MPLS and $100 MRC for Internet, $1,500 net price for a router if MPLS only and $2,500 net price for a router if include multiple links and/or Internet;

calculations are more conservative than indicated by Cisco Advanced Services DAAP tool; actual Internet reliability may be better than shown


Гарантия производительности и защита приложений

• Снижение WAN расходов

Использование каналов связи с низкой стоимостью

• Полное использование дорогой полосы пропускания WAN

Эффективное распределение трафика на базе загрузки каналов связи, их стоимости и предпочтительных маршрутов

• Улучшение производительности


Выбор маршрута для каждого приложения на базе метрик (задержка, потери пакетов, jitter)

• Увеличение надежности работы


Защита от black holes и brownouts в сети провайдера

Internet

WAN

AVC

Branch Data Center WAAS PfR

ISR G2 ISR G2 ASR 1000

ASR 1000


Инструмент для интеллектуального контроля маршрутов

“Performance Routing (PfR) provides additional intelligence to classic routing technologies to track the performance of, or verify the quality of, a path between two devices over a Wide Area Networking (WAN) infrastructure to determine the best egress or ingress path for application traffic....”

Функциональность ПО Cisco IOS маршрутизатора

Две компоненты – Master Controller и Border Router

DSL Cable

Data Center

Branch MC+BR

BR BR

MC

Контроль

маршрута

Метрики

Адаптивность

Классическая

маршрутизация PfR

+

• Состояние топологии

• Наименьшая статическая

стоимость маршрута

• Выбор администратора

• Стоимость маршрута

• Состояние интерфейса

Реакция на:

• Изменения состояния

каналов и устройств

(interface up/down)

• Со знанием приложений

• Контроль при помощи политик

• Измерение

производительности

• Задержка

• Jitter

• Полоса пропускания

Реакция на:

• Измеряемые изменения

производительности

(деградация)

SP1 (MPLS) ISP (Internet)

Облачные сервисы и политика балансировки нагрузки

• Защита бизнес-критичных

облачных приложений

Потеря пакетов менее 5%

• Предпочтительный маршрут

для бизнес-критичных

приложений: SP1 (MPLS)

• Увеличение эффективности

полосы пропускания WAN с

балансировкой трафика

через все WAN каналы,

MPLS + Internet

• Защита качества голоса и

видео

Задержка менее 150 мс; Jitter

менее 20 мс

• Защита VDI приложений

Потеря пакетов менее 5%


для голоса и видео: ISP1


трафика VDI: ISP2

• Увеличение эффективности

использования полосы

Multimedia трафик и политика критичного трафика

Cloud Services

Hybrid WAN

Best-Effort Traffic

Обнаружена

потеря пакетов

более 5%

ISP1 (Cable) ISP2 (DSL)

Voice and Video

Dual Internet

WAN

Обнаружен

высокий jitter

VDI

Best-Effort Traffic


Применение политик трафика:

• Вычисление производительности маршрута

• Проверка на соответствие заданным

политикам для данного класса трафика Passive Mode: BW, Delay (TCP), Loss (TCP)

Active Mode: Delay, Loss, Jitter, MOS

Измерение характеристик:

Сетевая производительность

Пассивное: Данные Netflow (Throughput)

Активное: IP SLA пробы (Jitter, Delay)

Сетевая надёжность

Достижимость & информация о

топологии с использованием

процессов маршрутизации

Выбор маршрута:

• Передача информации о новом

маршруте каждому BR для

каждого класса трафика

• BR добавляет новый маршрут

в FIB

• Получение информации о

метриках производительности

нового маршрута

Обнаружение классов трафика:

• Prefix-based flows

• ACL-based flows

• Application flows

Проверка нового маршрута:

• Передаётся ли трафик по

новому маршруту ?

• Текущая производительность

канала связи соответствует

политике ?

2

3

4

5 1


Соберём всё вместе

Branch

MC BR

Branch

MC BR

HQ

ISP

SP

BR

MC

BR

Switches

1

• Learn traffic classes flowing thru WAN

• Prefix or Application-based learning

• Measure Path Performance: Delay, Jitter, MOS

• Active (IPSLA) or Passive (NF) Measurement

• Report to MC

2

• Analyse Path Performance based on

BR reports

• Compare to Policy: Path, Delay, Jitter, MOS

• Determine path per-App based to comply

with Policy

3 Inform BRs of new path 4 BRs reroute traffic to

Enforce policy




Private Cloud

Branch WAN2 (Internet)

WAN1 (IP-VPN)

Public Cloud

ISR Cloud

Connector to CWS

Firewall Servers

IWAN Tunnels

for HQ/DC

Traffic

CWS

Encapsulated

HTTP, HTTPS

Web Filtering,

Access Policy,

Malware Detection

Secure Public

Cloud &

Internet Access

CWS

Internet



Information

FTP IM

RPC

Collaboration SaaS

SOAP Video

HTTP is the new TCP

• Методы традиционной классификации в прошлом

• Статической классификации на портах теперь недостаточно

• Многие приложения непрозрачны и закрыты

• Приложения состоят из нескольких сессий (видео, голос, данные)

• Что делать, если время отклика бизнес-критичных приложений очень велико и не соответствует политикам?


На базе решения Cisco AVC (Application Visibility and Control)

Proliferation

of Devices

Users/ Machines

VDI | IaaS

Private Cloud

60% IT-профессионалов считают низкую производительность

основной проблемой для облачных сервисов

Storage

Database

Public Cloud

Мониторинг и производительность приложений

Соответствующие бизнесу политики Не нужно настраивать комплексные IP и port ACL Глубокий анализ HTTP-потоков для идентификации специфичных облачных приложений

Планирование ресурсов Более эффективное использование полосы пропускания дорогих каналов связи Отчётность (по приложениям, по филиалам и т.д.)

Branch HQ/DC

Cisco AVC

Статистика по трафику Метрики времени отклика TCP-приложений Мониторинг медиатрафика (Приложение, Jitter, потери пакетов, задержки и т.д.)


Увеличение скорости работы приложений и эффективное использование существующих каналов связи

Users/ Machines

Private Cloud

Ускорение работы любого TCP-приложения

Легкость и простота внедрения Внедрение на базе существующих маршрутизаторов (и существующих лицензий AX)

Приложения работают быстрее, больше пользователей, меньше полоса пропускания

90% HD Video optimization and better user experience Twice as many Citrix users over same WAN, 70% faster Toyota: ROI in less than one year, 65% BW cost savings

Масштабируемость AppNav Controller and WAVE pool is scalable Native HA capability

Branch

vWAAS

WAAS Express

WAVE

AppNav-XE Controller

WAN

CSR


Branch Aggregation With Internet WAN

DC1 DC2

HUB1

DMVPN

ADSL DMVPN

FTTH

HUB2

650 филиалов + 2 класса трафика

BR BR BR BR

MC MC ASR1002-X ASR1002-X

ISR 890 ISR 810

100M Dn

10M Up

20M Dn

2M Up

• Требования:

• Broadband Internet для снижения стоимости транспорта WAN

• Дизайн с двумя ISP-провайдерами для обеспечения надёжности

• Обеспечить качество multimedia-приложений при проблемах с качеством Internet

• Балансировка трафика для эффективного использования доступной полосы WAN

• Решение:

1. Политики для приложений:

Голос/Видео: задержка<150мс, Jitter<20мс, предпочтительный маршрут = FTTH

Данные: балансировка нагрузки, использование каналов связи на 90%

2. DMVPN для отказоустойчивого безопасного дизайна, независимого от транспорта

Per-tunnel QOS в центре для минимизации переподписки в филиалах

Site to Site dynamic tunnels для снижения задержки multimedia-приложений

3. Performance Routing (PfR) для защиты критичных приложений и эффективного

использования пропускной способности каналов связи

4. Расширенный QoS для приоритезации критичных приложений при перегрузках

5. Prime Plug-n-Play автоматизация для упрощения внедрений в филиалах



Firewall Internet

Internal resources

Corporate Network

Access Router WAAS

Application Visibility and Control

Firewall and VPN WAN Path

Control


Одно устройство Подход Cisco

Несколько устройств Обычный подход

Маршрутизация

Коммутация


Контроль


Голос

... Снижение CapEx

Небольшой OpEx

Просто управлять

UC UCS-E Cloud Connectors

Switching/WLAN

WAAS AVC ASR/ISR WAN Path Control

3G/4G

Дополнительные сервисы Необходимые сервисы

? ? ?

?

?

Internet WAN


L2-L3 Транспорт

L4-L7 Сервисы

Приложений

Эффективная доставка


Единая Сеть УНИФИЦИРОВАННЫЕ

СЕРВИСЫ

Платформа маршрутизации

Access Router

Firewall Internet

Internal Resources

Corporate Network

Application Visibility and Control

Firewall and VPN WAN Path

Control

WAAS

Контроль



Прозрачность


L2-L3 Transport

L4-L7 Application

Services

Возможности iWAN, интегрированные в маршрутизатор

Контроль


Прозрачность

Транспортно- Независимая Безопасная


ISR-AX

Маршрутизаторы Cisco AX 3900 | 2900 | 1900 | 800 | 4451 | ASR1002-X

Упрощение доставки


Единая сеть УНИФИЦИРОВАННЫЕ

СЕРВИСЫ

ASR1000-AX


Лицензия AX (Application eXperience) для маршрутизаторов ISR G2

Security UC

IP Base

AX

Расширяет и заменяет лицензию Data , предоставляя сервисы для эффективной доставки приложений. Содержит в себе все функции, которые ранее были включены в лицензию Data.

Содержит в себе полный набор функций Application Visibility and Control (AVC). Предоставляет богатый набор функций для мониторинга и управления работой приложений.

Right-To-Use лицензия для WAAS. Лицензия позволяет использовать WAAS Express, WAAS на SRE или WAAS на UCS-E без дополнительных затрат.

AX & Security включены в

ISR-AX


Спасибо за внимание!

Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего поколения

Technology

cisco confidential

cisco andor

sla wan internet

static internet

internet cio

isrg2 wan

dual internet access

internet sp sla vpn