Intelligent WAN
Download
Report
Transcript Intelligent WAN
Cisco Intelligent WAN (IWAN)
Распределенная корпоративная сеть следующего поколения
Oleg Koresh – Partner Systems Engineer
[email protected]
Agenda
•
Что такое IWAN?
•
Развитие IWAN 2.0. Основные компоненты
•
Портфолио IWAN
•
Вопросы и ответы
Что такое IWAN?
Стратегия IWAN
Cisco Intelligent WAN Vision
UNCOMPROMISED EXPERIENCE OVER ANY CONNECTION
Any
User
Private
Cloud
Hybrid
Cloud
Any
Application
Public
Cloud
Align Infrastructure to Better Business Outcomes
Application
Experience
Secure
Access
Lower
Costs
IT
Simplicity
Intelligent WAN (IWAN) Основные компоненты решения
AVC
Private
Cloud
MPLS
3G/4G-LTE
Virtual
Private
Cloud
Branch
Internet
WAAS
Akamai
Public
Cloud
PfRv3
Управление и мониторинг
Любой
транспорт
Интеллектуальный
контроль трафика
IPSec WAN Overlay
Удобная операционная
модель
Оптимальная маршрутизация
трафика приложений
Эффективное управление
полосой пропускания
DMVPN, PKI
Performance Routing (PfR)
QoS
Оптимизация
приложений
Cisco Prime
Безопасность
соединений
Performance monitoring
Шифрование
Оптимизация и
кэширование
Защита от внешних угроз
AVC, WAAS, Akamai
AES-256, CWS, ZBFW
IWAN: Системный архитектурный подход
• IWAN - это архитектурное решение
• Решает проблемы сети
• На основе отработанных кейсов
• Подход для развития сети
• Подготовлено. Проверено.
Совместимо.
•
Ограниченный масштаб сложности
•
Автоматизация и контроль качества
• Нацеленность на бизнес-задачи
• Уменьшает сложность эксплуатации
• Сокращает расходы на WAN каналы
• Улучшает работу приложений
• Прямой доступ в Интернет
IWAN
Развитие IWAN 2.0
Основные компонеты
Intelligent WAN (IWAN) Основные компоненты решения
AVC
Private
Cloud
MPLS
3G/4G-LTE
Virtual
Private
Cloud
Branch
Internet
WAAS
Akamai
Public
Cloud
PfRv3
Управление и мониторинг
Любой
транспорт
Интеллектуальный
контроль трафика
IPSec WAN Overlay
Удобная операционная
модель
Оптимальная маршрутизация
трафика приложений
Эффективное управление
полосой пропускания
DMVPN, PKI
Performance Routing (PfR)
QoS
Оптимизация
приложений
Cisco Prime
Безопасность
соединений
Performance monitoring
Шифрование
Оптимизация и
кэширование
Защита от внешних угроз
AVC, WAAS, Akamai
AES-256, CWS, ZBFW
Гибкий безопасный дизайн WAN для любого транспорта
Dynamic Multipoint VPN (DMVPN)
Независимость от
транспортной модели
Гибкость
Безопасность
Динамические
полносвязные
соединения
Упрощает дизайн WAN
Простой multi-homing через любые
транспортные сервисы
Автоматические site-to-site IPsec
туннели
Единая плоскость управления
маршрутизацией при минимуме
взаимодействия с провайдерами
Zero-touch конфигурация центра
(hub) для новых филиалов (spoke)
Согласованный дизайн для любого
транспорта
Высокий уровень
безопасности
Соответствие сертифицированным
стандартам шифрования и
межсетевого экранирования
Масштабируемый дизайн с высокой
производительностью криптографии
на аппаратном уровне
ASR 1000
Internet
ISR-G2
WAN
Branch
ASR 1000
MPLS
© 2013 Cisco and/or its affiliates. All rights reserved.
Data Center
Cisco Confidential
9
Независимый от транспорта дизайн WAN
Dynamic Multipoint VPN (DMVPN)
• mGRE инкапсулирует IPSec. Только WAN IP адреса
должны быть известны WAN провайдеру
•
Безопасные туннели по запросу
(On-Demand)
IP адрес WAN-интерфейса может быть использован как Tunnel Source
address
ASR 1000
Hub
• Филиальные (spoke) подразделения регистрируются в
центре (hub) и устанавливают IPsec tunnel
IPsec
VPN
• Обмен информацией об IP routing префиксах в каждом
ISR G2
Branch n
подразделении
•
Обычно используются BGP или EIGRP для масштабируемости
ISR G2
• Обмен трафиком через DMVPN-туннели
• При передаче трафика между филиалами центральный
машрутизатор (hub) способствует установлению site-tosite туннелей между spoke-маршрутизаторами
• Per-Tunnel QOS обеспечивает контроль переподписки
Branch 1
ISR G2
Branch 2
Traditional Static Tunnels
DMVPN On-Demand Tunnels
Static Known IP Addresses
Dynamic Unknown IP Addresses
филиальных маршрутизаторов (spoke) из центра (hub)
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
10
10
Гибридный дизайн WAN vs Традиционный и IWAN
iWAN
Hybrid
Traditional
Hybrid
Active/Standby Primary with Backup
WAN Paths
Active/Active WAN paths
Data Center
Data Center
ASR 1000
ASR 1000
2 IPsec Technologies
- MPLS/GETVPN
- Internet/DMVPN
SP V ISP A
ISP A
GETVPN
DMVPN
2 WAN Routing Domains
Internet
- MPLS: eBGP or static
- Internet: iBGP, EIGRP or OSPF
- Route Redistribution to force
primary path
- Route Filtering loop prevention
MPLS
ISR-G2
© 2013 Cisco and/or its affiliates. All rights reserved.
ASR 1000
ASR 1000
Branch
SP V
1 DMVPN IPsec Overlay
DMVPN
DMVPN
MPLS
Internet
ISR-G2
1 WAN Routing Domain
iBGP, EIGRP, or OSPF
Branch
Cisco Confidential
11
IWAN – независимый от транспорта дизайн
Одинаковый дизайн для MPLS, Internet, 3G/4G ...
iWAN
Hybrid
iWAN
Dual Internet
1 Active-Active WAN Paths
Data Center
1 DMVPN IPsec Overlay
ASR 1000
ISP C
Cable
DSL
DMVPN
DMVPN
MPLS
Internet
ISR-G2
© 2013 Cisco and/or its affiliates. All rights reserved.
ASR 1000
ASR 1000
SP V ISP A
ISP A
1 WAN Routing Domain
iBGP, EIGRP, or OSPF
Data Center
ASR 1000
Branch
DMVPN
DMVPN
Internet
Internet
ISR-G2
Branch
Cisco Confidential
12
Intelligent WAN (IWAN) Основные компоненты решения
AVC
Private
Cloud
MPLS
3G/4G-LTE
Virtual
Private
Cloud
Branch
Internet
WAAS
Akamai
Public
Cloud
PfRv3
Управление и мониторинг
Любой
транспорт
Интеллектуальный
контроль трафика
IPSec WAN Overlay
Удобная операционная
модель
Оптимальная маршрутизация
трафика приложений
Эффективное управление
полосой пропускания
DMVPN, PKI
Performance Routing (PfR)
QoS
Оптимизация
приложений
Cisco Prime
Безопасность
соединений
Performance monitoring
Шифрование
Оптимизация и
кэширование
Защита от внешних угроз
AVC, WAAS, Akamai
AES-256, CWS, ZBFW
Интеллектуальный контроль маршрутов
Гарантия производительности и защита приложений
Снижение расходов
на WAN
Использование
каналов низкой
стоимости
Максимальное
использование WAN
канала
Улучшение
производительности
приложений
Эффективное
распределение трафика
на основе параметров
канала
Выбор маршрута для
каждого приложения
на базе метрик
Высокая надежность
работы приложений
Защита от black holes
и brownouts в сети
провайдера
AVC
ASR 1000
Internet
ISR G2
ASR 1000
Branch
MPLS
WAAS
PfR
Data Center
Интеллектуальный контроль трафика
с помощью Performance Routing
Voice/Video take the best
delay, jitter, and/or loss path
MPLS
Private Cloud
Virtual Private
Cloud
Branch
Internet
Other traffic is load balanced
to maximize bandwidth
• PfR monitors network performance and routes applications
based on application performance policies
• PfR load balances traffic based upon link utilization levels
to efficiently utilize all available WAN bandwidth
Voice/Video will be rerouted if the current
path degrades below policy thresholds
Что такое PfR? Основные компоненты
The Decision Maker: Master Controller (MC)
• Discover BRs, collect statistics
• Apply policy, verification, reporting
• No packet forwarding/inspection required
Data Center
MC
BR
BR
The Forwarding Path: Border Router (BR)
• Gain network visibility in forwarding path (Learn, measure)
• Enforce MC’s decision (path enforcement)
• Does all packet forwarding
Cable
DSL
Optimize By:
• Reachability, Delay, Loss, Jitter, MOS,
• Throughput, Load, and/or $Cost
MC+BR
Branch
PfR расширяет возможности классической
маршрутизации
Классическая
маршрутизация
Контроль
маршрута
Метрики
Адаптивность
•
•
•
Состояние топологии
Наименьшая статическая
стоимость маршрута
Выбор администратора
•
•
Стоимость маршрута
Состояние интерфейса
Реакция на:
• Изменения состояния
каналов и устройств
(interface up/down)
PfR
•
•
•
+
Со знанием приложений
Контроль при помощи политик
Измерение производительности
•
•
•
Задержка
Jitter
Полоса пропускания
Реакция на:
• Измеряемые изменения
производительности (деградация)
Performance Routing v3
Running in an Enterprise Domain
Branch Master Controller
MC/BR
BR1
Branch
MPLS
MC
Central Site
BR2
Internet
Hub Master Controller
MC/BR
Branch
• One Master Controller defined as the Hub MC
• Centralized location for policy definition
18
Performance Routing v3
Passive Monitoring and Threshold Crossing Alerts
Threshold Crossing Alert (TCA)
Sent to source site for - loss, delay, jitter,
unreachable
Branch
MPLS
Central Site
Internet
Performance on Ingress
Branch
Bandwidth on egress
Per Traffic Class
RTP and TCP metrics
Per DSCP and site
19
Simplicity in PfRv3
Branch
domain one
vrf default
master branch
source-interface Loopback0
hub 10.8.3.3
border
master local
MPLS
source-interface Loopback0
Central Site
Internet
Branch
domain one
vrf default
master hub
source-interface Loopback0
enterprise-prefix prefix-list ENT
site-prefixes prefix-list DC1
Intelligent WAN (IWAN) Основные компоненты решения
AVC
Private
Cloud
MPLS
3G/4G-LTE
Virtual
Private
Cloud
Branch
Internet
WAAS
Akamai
Public
Cloud
PfRv3
Управление и мониторинг
Любой
транспорт
Интеллектуальный
контроль трафика
IPSec WAN Overlay
Удобная операционная
модель
Оптимальная маршрутизация
трафика приложений
Эффективное управление
полосой пропускания
DMVPN, PKI
Performance Routing (PfR)
QoS
Оптимизация
приложений
Cisco Prime
Безопасность
соединений
Performance monitoring
Шифрование
Оптимизация и
кэширование
Защита от внешних угроз
AVC, WAAS, Akamai
AES-256, CWS, ZBFW
Сеть IWAN со знанием приложений
На базе решения Cisco AVC (Application Visibility and Control)
Users/
Machines
Public
Cloud
Proliferation
of Devices
Private
Cloud
Branch
DC/Headquarters
Мониторинг и
производительность
приложений
• Статистика по трафику
• Метрики времени отклика
TCP-приложений
Cisco AVC
• Мониторинг медиатрафика
(Приложение, Jitter, потери
пакетов, задержки и т.д.)
Планирование ресурсов
• Более эффективное
использование полосы
пропускания дорогих каналов
связи
• Отчётность (по приложениям,
по филиалам и т.д.)
Соответствующие бизнесу
политики
• Не нужно настраивать
комплексные IP и port ACL
• Глубокий анализ HTTPпотоков для идентификации
специфичных облачных
приложений
60% IT-профессионалов считают низкую производительность
основной проблемой для облачных сервисов
Добавляем оптимизацию WAN (Cisco WAAS)
Увеличение скорости работы приложений и эффективное использование
существующих каналов связи
CSR
WAN
Users/
Machines
Private Cloud
vWAAS
AppNav-XE Controller
WAAS Express
Ускорение работы любого TCP-приложения
Branch
Приложения работают быстрее, больше
пользователей, меньше полоса пропускания
90% HD Video optimization and better user experience
Twice as many Citrix users over same WAN, 70% faster
Toyota: ROI in less than one year, 65% BW cost savings
Легкость и простота внедрения
Внедрение на базе существующих маршрутизаторов (и
существующих лицензий AX)
Масштабируемость
AppNav Controller and WAVE pool is scalable
Native HA capability
© 2013 Cisco and/or its affiliates. All rights reserved.
WAVE
Cisco Confidential
23
Extending Akamai to the Branch with Edge
Caching
COMPLETING THE LAST MILE WITH AKAMAI IN THE BRANCH
WAN/MPLS
Data Center
Branch
Internet
AKAMAI
CACHE
ISR-AX
Akamai
Intelligent
Platform
Optimal Experience Regardless of Device, Connectivity or Cloud
All HTTP Traffic in Private, Public, Akamai Cloud
Prepositioning | Dynamic HTTP Caching (YouTube) | Any Transport
Building On Cisco WAAS Solution
Edge Caching Enhances the User Experience
AKAMAI CONNECT
World’s Best Optimization Solution for HTTP Traffic
AKAMAI CACHING AND ACCELERATION
Intranet HTTP
Caching
Dynamic OTT
HTTP Caching
Akamai
Connected Cache
Content
Pre-positioning
CISCO WAAS
LZ
Compression
TCP
Optimization
Data
De-duplication
Application Specific
Acceleration
Now Supports
Akamai Cloud | Single-sided Optimization | Secure Direct Internet Access
Akamai Packaging and Licensing
Branch Offer
DC/HQ Offer
WAVE Appliances
ISR-AX
AVC
PfR
WAAS
Security
Akamai
WAAS
Hardware
Akamai
Ordering
FLEXIBLE
SIMPLE
•
Akamai Connect Integrated into Cisco WAAS
•
Add-on, one-time, perpetual license
•
SRE running native WAAS
•
On Cisco GPL (Cisco product)
•
UCS-E compute running vWAAS
•
No need to have Akamai contract
•
ISR-WAAS: Virtualized WAAS in Cisco IOS-XE (except 4321)
•
Available as:
•
WAVE Appliances
•
Option SKU – Ordered with platform
•
A-la-carte SKU – Added to existing platforms
Intelligent WAN (IWAN) Основные компоненты решения
AVC
Private
Cloud
MPLS
3G/4G-LTE
Virtual
Private
Cloud
Branch
Internet
WAAS
Akamai
Public
Cloud
PfRv3
Управление и мониторинг
Любой
транспорт
Интеллектуальный
контроль трафика
IPSec WAN Overlay
Удобная операционная
модель
Оптимальная маршрутизация
трафика приложений
Эффективное управление
полосой пропускания
DMVPN, PKI
Performance Routing (PfR)
QoS
Оптимизация
приложений
Cisco Prime
Безопасность
соединений
Performance monitoring
Шифрование
Оптимизация и
кэширование
Защита от внешних угроз
AVC, WAAS, Akamai
AES-256, CWS, ZBFW
Prime Infra workflow for IWAN
Prime Infra will provide:
•
•
•
•
•
•
•
•
•
•
IWAN workflow wizard with PnP
Template-based config for IWAN PINs
PfRv3 Domain, MC and BR
AVC One-Click provision
QoS Provisioning
Single or Dual Router Branch
CVD-based, Customizable
AVC Readiness Assessment
AVC, QoS, PfR Visibility
Leverages APIC EM services
IWAN Automation and Orchestration
Evolution
Prime
Cisco IWAN Apps
Traditional
Management
Systems
Cisco Prime
Capacity Planning, Troubleshooting,
Change control
Partners (future)
Early
CY2015
IWAN
Transport
PKI
Automation
PnP
Provisioning
Security
Intelligent
Path Control
Application
Experience
Apps
Evolution
REST APIs
APIC-EM Services (Partial)
PKI
Svc
NetFlow
Svc
Network
Svc
Events
Svc
Inventory
Svc
PnP
Svc
APIC-EM
Device Abstraction Layer
OnePK/Openflow
© 2013 Cisco and/or its affiliates. All rights reserved.
CLI
Cisco Confidential
29
Cisco IWAN Портфолио
Intelligent WAN Platforms
•
ISR G2
•
ISR 4000
•
ASR 1000
•
CSR 1000v *
•
WAVE
*Domain MC function only at this point in time
NEW!
IWAN Branch Services Routers
ISR4000 Series - IWAN AX Ready, Next Generation Branch
Appliance Level Performance
•
Service-Aware Dataplane
•
Resilient Service Virtualization
•
Multi-gigabit Fabric
Application Centric
1-2Gbps
ISR4451
ISR4431
NEW!
500Mbps/1Gbps
ISR 4351
NEW!
200/400Mbps
ISR 4331
NEW!
100/300Mbps
ISR4321
NEW!
50/100Mbps
• App/User policy-driven deployment
• APIC-EM Automation: deploy in minutes
• Pay-as-you-grow
• Up-to-75% cost savings
Integrated IWAN Services
•
IOS Firewall, VPN, IPSec, PfRV3, NBAR2,
AVC, AppNav, VRF, MPLS
•
Scalable on-chip service provisioning
Революционная архитектура платформы
Разработана для оптимального использования приложений
Converged Branch with
UCS® E-Series
Pay as You Grow
Производительность и
сервисы
Интегрированные
вычисления (до 8 ядер)
Service-Aware
Data Plane
Для эффективной
обработки трафика
Native L2-7 Services
Cisco ISR
4000
Virtualized Services
Framework
Производительность
уровня Приложений
Безопасность,
оптимизация трафика
В 4-10 раз Быстрее
Powering the Intelligent WAN
чем ISR G2 по
аналогичной цене
Архитектура Cisco ISR 4400
IOSd
Service containers
live here
Control Plane and
Services Plane
Data Plane
FPGE
ISR-WAAS
Multigigabit
Fabric
KVM - Hypervisor
Service Plane
(control plane CPU)
NIM
ISC
SM-X
Архитектура Cisco ISR 4300
IOSd
Service containers
live here
Control Plane
and Services Plane
Data Plane
FPGE
ISR-WAAS
Multigigabit
Fabric
KVM - Hypervisor
Service Plane
(control plane CPU)
NIM
ISC
SM-X
IWAN Roadmap Overview
IWAN 1.0
Intelligent Virtualization
IWAN 2.0
Automation
IWAN 2.1 Advanced DIA for Public
Cloud
(Q4 CY2014)
(Mid 2015)
More Scale (5000 branches)
Domain Scale
Hundreds of Branches
Large Scale (2000 Branches)
Transport
Independence
Secure VPN Overlay
(DMVPN Phase 2)
VPN Scalability (DMVPN Phase 3)
User Aware Transport (SGT Transport)
2nd Generation Path Control –
PfRv2
Simplified
Path Control – PfRv3
(Centralized Provisioning,
Large Scale)
Intelligent Path
Control
Application
Optimization
Secure Connectivity
Management
AVC
WAAS
IPSec Suite-B crypto
IOS ZBFW Firewall
Cloud Web Security (CWS)
Advanced Dual DC support
Multiple Enterprise Domains
Adaptive AVC
(Performance Optimization)
Adv. QoS
(Adaptive Shaping, Local Admission)
Akamai Connect
Adv. QoS (cont.)
(Ingress Congestion Control,
Remote Admission)
Key Management Automation
(PKI Certificate/Trust Automation)
CWS Enhancements
(Whitelisting, Multiple I/F)
Cisco Prime
Prime Infrastructure 2.2:
APIC-EM EFT:
APIC-EM Phase 1 FCS:
LiveAction
Transport Ind. Design (DMVPN)
Application Optimization (AVC),
Automated Deployment
Workflow Wizards
PKI Automation
Site-by-Site Provisioning
CVD-based Policies: QoS, AVC,
PfR
Transport Ind Design (DMVPN, ZTD)
Intelligent Path Control (PfRv3)
Application Optimization (AVC)
Glue Networks