PPT

Download Report

Transcript PPT 

PSU Week 2015 May
[RS-3]
IWANソリューション・PfRv3最新機能解説
~マルチDC対応~
Enterprise Networking Group – IWAN
テクニカル リーダー Jean-Marc Barozet
Core Software Group
ソフトウェア エンジニア 津田 悦幸
ハイブリッド WAN: インターネットの活用
安全な WAN トランスポートとインターネット・アクセス
安全な WAN
トランスポート
MPLS (IP-VPN)
プライベート
ネットワーク
仮想プライベート
ネットワーク
拠点
ダイレクト・
インターネット・
アクセス
Internet
パブリック
ネットワーク
プライベートと仮想プライベートネットワーク・アクセス
に対し、安全な WAN トランスポートの提供
WAN トランスポートの帯域と費用効果の
増加!
パブリックネットワークへのローカル・インターネット経
路とインターネット・アクセスの活用
アプリケーション・パフォーマンスの増加 (
フローの適所・最適化)
Cisco インテリジェントWAN (IWAN)
プライベート
ネットワーク
MPLS
ISR-AX
3G/4G-LTE
AVC, PfR, Akamai
ASR1000AX
仮想
プライベート
ネットワーク
拠点
インターネット
パブリック
ネットワーク
Management & Orchestration
Transport
Independence
 IPSec WAN Overlay
 Consistent Operational
Model
DMVPN
インテリジェント経路
制御
 アプリケーション経路制御の
最適化
Application
Optimization
Secure
Connectivity
 Performance monitoring
 NG Strong Encryption
 Optimization and Caching
 Threat Defense
 帯域利用の最適化
パフォーマンス・
ルーティング
AVC, WAAS, Akamai
Suite-B, CWS, ZBFW
ハイブリッドWAN: インテリジェント経路制御
インターネットの活用
音声/ビデオ/重要データは、
遅延とジッタの損失の小さい
最良の経路を通る。
MPLS
プライベート
ネットワーク
拠点
他のトラフィックは、帯域を
有効活用するため、負荷分
散される。
インターネット
• PfR は、ネットワーク・パフォーマンスをモニタし、パフォーマンス・ポリシィ
に基づいて、アプリケーションの経路制御を行う。
• PfR は、利用できるすべての WAN 帯域を有効利用するように、リンク
利用レベルに基づいて、負荷分散を行う。
仮想プライベート
ネットワーク
音声/ビデオ/重要データは、現在の
経路のパフォーマンスがポリシィ以
下になった場合、他の経路へルー
ティングされる。
パフォーマンス・ルーティング
DCn
DC1
DCI
WAN コア
IWAN POP1
トラフィック・ポリシィの定義





ドメイン・コントローラに集約
アプリケーション/DSCPに基づいたポリシィ
Preferred Path
負荷分散
パフォーマンスしきい値 (ロス, 遅延, ジッタ)
IWAN POP2
MC1
BR1
MC2
BR2
BR3
BR4
パフォーマンス測定

•


フローを検出し、パフォーマンスを測定する
パッシブ・モニタは、BRで行う
スマート・プローブ
ローカルMCへ通知
DMVPN
MPLS
DMVPN
INET
経路制御



ローカルMCで経路を決める
BRで経路制御を行う
ルーティング・テーブルは変わらない
MC/BR
MC/BR
ブランチ
ブランチ
MC/BR
BR
ブランチ
インテリジェント経路制御
パフォーマンス・ルーティングの発展
現在
現在
IWAN 2.0
IWAN 2.0
PfRv3
PfRv2
PfR/OER
• インターネット・エッジ
• 基礎的な WAN のみ
• サイト毎に、ポリシィを設定
すつ必要あり
• コンフィグは数千行
• ポリシィ設定の単純化
• アプリケーション経路選択
• ブラックアウト ~6秒
• ブラウンアウト ~9秒
• 大規模化: 500 サイト
• コンフィグは数十行
• ポリシィ設定の集約化
• AVC インフラ・サポート
• VRF サポート
• ブラックアウト ~ 1秒
• ブラウンアウト ~ 2秒
• 大規模化: 2000 サイト
• ハブのみの設定
識別/測定/制御
プライム・
インフラ・パートナー
NetFlow v9 / IPFIX メトリック・データの送信
アプリケーションの認識
(NBAR2)
トラフィック
パケットを詳細に検査すること
によって、千以上のアプリケー
ションを識別する
メトリックの収集
(ユニファイド・モニタ)
収集, 集約, アラート
Flexible NetFlow
メトリック・プロバイダ
DSCP
フローは、すでに
マーキングされている
トラフィックの統計
アプリケーション応答時間
メディア・パフォーマンス
URL 収集
制御: QoS, PfR
経路制御
アプリケーション毎の優先制御
アプリケーション毎の帯域管理
企業網への導入
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
8
インテリジェント WAN 導入モデル
二重化 MPLS
ハイブリッド
二重化 インターネット
インターネット
公衆網
企業網
公衆網
MPLS
+
MPLS
MPLS
インターネット
インターネット
拠点
拠点
拠点
価格とパフォーマンスは最も良い
サービス・プロバイダに依存
重要なアプリケーションに多くの帯
域を割当てられる
SLA はバランスしている
高価
価格は中間
企業が SLA に対して責任を持つ
より高い SLA が保障される
サービス・プロバイダに依存しない
Consistent VPN Overlay Enables Security Across Transition
ハイブリッド WAN の設計例
アクティブ/スタンバイ
WAN 経路
従来のハイブリッド
IWAN ハイブリッド
Primary With Backup
2つのIPSEC
GETVPN/MPLS
DMVPN/Internet
データセンター
データセンター
AS R 1000
ASR 1000
ISP A
SP V
1つの IPSEC
ASR 1000
ASR 1000
ISP A
アクティブ/アクティブ
WAN 経路
DMVPN
SP V
2つの WAN
ルーティング・ドメイン
MPLS: eBGP or Static
Internet: iBGP, EIGRP
or OSPF
Route Redistribution
Route Filtering Loop
Prevention
DMVPN
Internet
GETVPN
DMVPN
MPLS
Internet
DMVPN
MPLS
1つの WAN
ルーティング・ドメイン
iBGP, EIGRP, or OSPF
ISR-G2
ブランチ
ISR-G2
ブランチ
IWAN レイヤ
AVC
PfR
QoS
オーバーレイ・ルーティング・プロトコル (BGP, EIGRP)
インターネット・ルー
ティング
トンネル上のオーバーレ
イ・ルーティング
トランスポート・
オーバーレイ
トランスポートに依存しない設計 (DMVPN)
MPLS ルーティング
インテリジェント経
路選択
ZBFW
CWS
インフラ・ルーティング
IWAN 導入 – DMVPN
http://docwiki.cisco.com/wiki/PfR3:Solutions:IWA
N
• IWAN に準拠した設計 – DMVPN に基づいたトラ
ンスポートに依存しない設計
DCI
WAN コア
IWAN POP1
IWAN POP2
R83
• ブランチ/スポーク・サイトは、ハブ・サイトに対して、
IPSec トンネルの設定と確立を行う。
R84
R93
R85
R94
R95
• データ・トラフィックは、DMVPN トンネルを通る。
• WAN インターフェースの IP アドレスは、トンネルの
ソース・アドレスとなる。 (in a Front VRF)
ATBT
MPLS
• ユーザ VRF 当り、一つのトンネル
ISLAND
INET
• ルーティングに関して
• BGP と EIGRP は、大規模化に適している。
• IP ルーティング情報のやりとりを用いて、サイトのプレ
フィックス情報を交換する。
• トンネル QOS によって、ハブからスポーク・サイト
への帯域割当ての上限を決める。
12
R10
10.1.10.0/24
R11
10.1.11.0/24
R12
R13
10.1.12.0/24
10.1.13.0/24
IWAN ルーティング・プロトコル
どのプロトコルを用いるのが良いか?
• IWAN は、大規模化とインテリジェント経路制御を最適化するために、BGP と EIGRP に基づいて
いる。
• インテリジェント経路制御:
• PfR は、ルーティング・テーブル (RIB)に基づく、すべてのルーティング・プロトコルで用いられる。
• RIB のすべての経路が有効になるためには、すべての WAN 経路が ECMP であることが必要。.
• BGP と EIGRPについては、PfR は、プロトコルのトポロジィ情報を見て、ベスト・パスとセカンド・ベスト・パスを
決定するので、ECNP は必要ではない。
• PfRv3 は、常に、トラフィック・クラスをコントロールする前に、以下のように、ペアレント・ルートを
チェックする:
• NHRP ショートカット・ルートが存在するかどうか
• 存在しない場合、BGP, EIGRP, Static, RIB の順でルートを調べる。
• 宛先のサイトに対し、すべてのBRの、すべての external interface からルートが存在しないと、PfR は、効率
よくトラフィックをコントロールすることができない。
IWAN 導入 – EIGRP
• ブランチ、WAN、拠点 (POP) / ハブに 対し
R83
て、1つの EIGRP プロセスを設定。
• WAN の Hello/Hold タイマを延長。
Delay
1000
て、WANの経路選択を調整する。
MPLS プライマリ, INET セカンダリ
• ハブ:
• Route tag フィルタによって、DMVPN を跨ぐ
ルーティング・ループを防ぐ。
• spoke-spoke トンネルに対して、ブランチ・プレ
フィックスのサマリ・ルータを設定。
Hub MC
10.8.3.3/32
IWAN POP1
10.8.0.0/16
R84
• トンネル・インターフェースの「delay」によっ
•
10.9.0.0/16
IWAN POP2
ベスト・パスを設
定するために、イ
ンターフェースに
遅延を設定する。
R85
TAG
DMVPN-1
MPLS
DMVPN-1
TAG
DMVPN-2
Delay
2000
INET
DMVPN-2
Delay 1000
EIGRP
Stub
• スポーク:
R10
10.1.10.0/24
• 大規模化のために、EIGRP Stub
14
R11
10.1.11.0/24
R12
10.1.12.0/24
10.1.13.0/24
R13
IWAN 導入 – BGP
• 1つの iBGP ルーティング・ドメインを使用。
• WAN の Hello/Hold タイマを延長。
• ハブ:
• DMVPN ハブ・ルータは、スポークに対して、BGP
ルート・リフレクタとして機能する。
• BGP dynamic peer が、ルート・リフレクタにコンフィグ
される。
• スポークへ、summary route を設定する。
• サイト・ローカル・プレフィックスに対して、community
を設定する。
• スポーク:
• 各々の DMVPN の、ルート・リフレクタのペアに対して、
冗長経路を設定する。
• community に対する local-preference をセットする
ために、 Inbound route-map を設定する。
• 優先度の高い経路を MPLS とする。
15
10.9.0.0/16
IWAN POP2
Hub MC
10.8.3.3/32
R83
IWAN POP1
R84
10.8.0.0/16
R85
Community 10:84
Community 10:85
iBGP
iBGP
MPLS
INET
Local Pref
200
LP 50
R10
10.1.10.0/24
R11
10.1.11.0/24
R12
10.1.12.0/24
10.1.13.0/24
R13
1 – 拠点 (POP) 間にプライオリティが無い場合
• ルーティング: MPLS がプライマリで、NET がバ
ックアップと定義する。
• PfR: すべてのネキストホップを用いることができ
る。
プレフィックス
10.8.0.0/1
6
インターフェー
ス
ネキスト
ホップ
BGP LP
ステータ
ス
Tunnel10
0
R84
R94
200
200
アクティブ
アクティブ
Tunnel20
0
R85
R95
150
150
アクティブ
アクティブ
トランジット・サイト
サイトID = 10.9.3.3
ハブ・サイト
サイト ID = 10.8.3.3
R83
R84
10.8.0.0/16
R85
LP200
LP150
DMVPN
MPLS
R93
R94
LP200
10.8.0.0/16
R95
LP150
DMVPN
INET
• MPLSのネキストホップ(R84 and R94)
に、LP 200 を設定する。
R10
10.1.10.0/24
• INET のネキストホップ (R85 and R95)
に、LP 150 を設定する。
• ルーティングに関して、MPLS に優先度
がある。
2 – 拠点 (POP) 間にプライオリティがある場合
トランジット・サイト
ハブ・サイト
サイトID = 10.8.3.3
R83
R84
プレフィックス
10.8.0.0/1
6
インターフェー
ス
ネキストホップ
BGP LP
ステータス
Tunnel10
0
R84
R94
201
200
アクティブ
スタンバイ
Tunnel20
0
R85
R95
151
150
アクティブ
スタンバイ
10.8.0.0/16
R85
LP201
LP151
DMVPN
MPLS
R10
10.1.10.0/24
サイトID = 10.9.3.3
R93
10.8.0.0/16
R94
R95
LP200
LP150
DMVPN
INET
R11
10.1.11.0/24
PfRv3 Operations
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
18
先進的なトポロジィの例:
DC1
DCI
WAN Core
IWAN POP1
HMC
BR1
DC2
IWAN POP2
TMC
BR2
BR3
BR4
BR5
BR6
BR7
10.8.0.0/16
10.9.0.0/16
BR8
10.8.0.0/16
10.9.0.0/16
DMVPN
MPLS
• 拠点 (POP) と BR に対して、
複数の BR がある。
DMVPN
INET
• 拠点 (POP) 間で負荷分散
R10
10.1.10.0/24
R11
10.1.11.0/24
R12
R13
10.1.12.0/24
10.1.13.0/24
IWAN ドメイン
DCn
DC1
DCI
WAN Core
IWAN POP1
• 同じポリシィを共有するサイトの集
合
MC1
• 個々のサイトは、パフォーマンス・ル
ーティングを実行する。
• 企業網のドメインのペアリング・フレ
ームワークを通して、サービス情報
を交換する。
• コンフィグは、ドメイン・コントローラ
に集中されている。
BR1
IWAN
Domain
Controller
• トランスポートに対して、柔軟化や、
単純化のため、オーバーレイ・ネット
ワーク構成となっている。
20
Transit
IWAN POP2
MC2
Transit
BR2
DMVPN
MPLS
BR3
BR4
DMVPN
INET
MC/BR
MC/BR
Branch
Branch
MC/BR
BR
Branch
トラフィック・クラス – フローの集まり
MC/BR
DSCP に基づくポリシィ
Prefix
DC/MC
10.1.11.0/24
10.1.11.0/24
10.1.11.0/24
10.1.11.0/24
10.1.10.0/24
10.1.10.0/24
10.1.10.0/24
10.1.10.0/24
DSCP
BR
EF
AF41
AF31
0
EF
BR
AF41
AF31
0
AppID
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
トラフィック・クラス:



送信先プレフィックス
DSCP 値
アプリケーション (DSCP ポリシィが用いられる場
合は、必要無い)
Branch11
10.1.11.0/24
MPLS
Dest Site
Site 11
BR
Site 11
Site 11
Site 11
Site 10
アプリケーションに基づくポリシィ
Site 10
DSCP
AppID
DestBranch10
Site
Site 10 INET Prefix
10.1.10.0/24
10.1.11.0/24
EF
N/A
Site
11
MC/BR
Site 10
10.1.11.0/24
AF41
Skype
Site 11
10.1.11.0/24
AF41
Lync
Site 11
10.1.11.0/24
AF31
N/A
Site 11
10.1.11.0/24
0
N/A
Site 11
10.1.10.0/24
EF
N/A
Site 10
10.1.10.0/24
AF41
N/A
Site 10
10.1.10.0/24
AF31
N/A
Site 10
10.1.10.0/24
0
N/A
Site 10
PfR の構成要素:
MC1
MC2
意思決定機能: Master Controller (MC)




ポリシィを適用し、検証し、報告する。
パケット・フォワーディングや検査は行わない。
BR と結びつくが、単独で動作する。
VRF サポート
BR1
BR2
DMVPN
MPLS
BR3
BR4
DMVPN
INET
経路制御機能: Border Router (BR)



パケット・フォワーディング(や、認識や、測定)を行う。
MC の決定に基づき経路制御を行う。
VRF サポート
MC/BR
MC/BR
MC/BR
BR
PfR サイト:
POP1 - トランジット
サイトID = 10.8.3.3
トランジット・サイト:


MC1
企業内拠点 (POP)、または、ハブ
DC への、または、スポークからスポークへのトラ
ンジット
BR1
POP2 – トランジット
サイトID = 10.9.3.3
MC2
BR2
BR3
BR4
ブランチ・サイト:

スタブ
DMVPN
MPLS
DMVPN
INET
• サイトの定義:
– ローカル・マスタ・コントローラ (MC) によって制御さ
れる。
– サイト ID – MC ループバックの IP アドレス
– 1以上の BR
– 個々の BR は、1以上のリンクを持つ。
MC/BR
ブランチ・サイト
Site10
サイトID = 10.2.10.10
10.1.10.0/24
MC/BR
10.1.11.0/24
MC/BR
10.1.12.0/24
10.1.13.0/24
BR
ハブ・マスタ・コントローラ:
• MC のうちの1つは、ドメイン・コントローラ
(DC) の役割をする。
ハブ・サイト
サイトID = 10.8.3.3
DC/MC1
– DC + MC = ハブ・マスタ・コントローラ
ハブ MC
トランジット・サイト
サイトID = 10.9.3.3
トランジット MC
MC2
POP-ID 0
• ドメイン・ポリシィを提供する中心的な役
割をする。
• 個々の拠点 (POP) は、ドメイン内で一意
の POP-ID が割当てられる。
BR1
– ハブ MC POP-ID = 0
BR2
DMVPN
MPLS
domain IWAN
vrf default
master hub
source-interface Loopback0
MC/BR
ブランチ・サイト
Site10
Site ID = 10.2.10.10
10.1.10.0/24
BR3
BR4
DMVPN
INET
MC/BR
10.1.11.0/24
MC/BR
10.1.12.0/24
10.1.13.0/24
BR
ポリシィ (DSCP または アプリケーションに基づ
く)
domain IWAN
vrf default
master hub
load-balance
class MEDIA sequence 10
match application telepresence-media policy real-time-video
match application ms-lync policy real-time-video
path-preference MPLS fallback INET
class VOICE sequence 20
match dscp ef policy voice
path-preference MPLS fallback INET
class CRITICAL sequence 30
match dscp af31 policy low-latency-data
• ポリシィ:
– DSCP または アプリケーション
(NBAR2)に基づくポリシィ
– LAN インターフェース (BRのイングレ
ス・インターフェース)で、NBAR2を用い
て、DSCP マーキングをすることができ
る。
• デフォルト・クラスは、負荷分散。
組み込みポリシィ・テンプレート
既定義 テンプ
レート
Voice
Real-time-video
Low-latency-data
閾値の定義
priority 1 one-way-delay threshold 150 threshold 150 (msec)
priority 2 packet-loss-rate threshold 1 (%)
priority 2 byte-loss-rate threshold 1 (%)
priority 3 jitter 30 (msec)
既定義 テン
priority 1 packet-loss-rate threshold 1 (%)
priority 1 byte-loss-rate threshold 1 (%)
priority 2 one-way-delay threshold 150 (msec)
priority 3 jitter 20 (msec)
priority 1 one-way-delay threshold 100 (msec)
priority 2 byte-loss-rate threshold 5 (%)
priority 2 packet-loss-rate threshold 5 (%)
閾値の定義
プレート
Bulk-data
priority 1 one-way-delay threshold 300 (msec)
priority 2 byte-loss-rate threshold 5 (%)
priority 2 packet-loss-rate threshold 5 (%)
Best-effort
priority 1 one-way-delay threshold 500 (msec)
priority 2 byte-loss-rate threshold 10 (%)
priority 2 packet-loss-rate threshold 10 (%)
scavenger
priority 1 one-way-delay threshold 500 (msec)
priority 2 byte-loss-rate threshold 50 (%)
priority 2 packet-loss-rate threshold 50 (%)
IOS-XE 3.15
IOS 15.5(2)T
トランジット・マスタ・コントローラ
• 2番目のトランジット・サイトに対して、「トランジッ
ト・マスタ・コントローラ」の導入。
ハブ・サイト
サイトID = 10.8.3.3
MC1
ハブ MC
トランジット・サイト
サイト ID = 10.9.3.3
トランジット MC
MC2
POP-ID 1
• ポリシィの提供をしない他は、ハブ MC と同じ機
能を提供する。
BR1
BR2
BR3
BR4
• 各々の拠点 (POP) は、ドメイン内で一意の
POP-ID が割当てられる。
DMVPN
MPLS
domain IWAN
vrf default
master transit 1
source-interface Loopback0
MC/BR
10.1.10.0/24
DMVPN
INET
MC/BR
10.1.11.0/24
MC/BR
10.1.12.0/24
10.1.13.0/24
BR
ブランチ・サイト
• ハブ MC からの入力要求待ち。
• ブランチMC は、ハブMCに接続する。
• サービス情報交換
– タイマ
– ポリシィとマスタの設定情報
– サイト・プレフィックス
domain IWAN
vrf default
master branch
source-interface Loopback0
hub 10.8.3.3
border
source-interface Loopback0
master local
トランジット・サイト
サイトID = 10.9.3.3
ハブ・サイト
サイトID = 10.8.3.3
Policies
Monitors
MC1
ハブ MC
BR1
トランジットMC
MC2
BR1
BR3
BR4
MC Peering
MPLS
MC/BR
10.1.10.0/24
MC/BR
10.1.11.0/24
INET
MC/BR
10.1.12.0/24
10.1.13.0/24
BR
WAN インターフェース検出
• トランジットBR は、path 名を手動で設定しなけれ
ばならない。(例: MPLS, INET)
• トランジットBR は、検出したサイトに対して、path
名を含んだ検出パケットを送信する。
• 検出パケットは、ハブBRから送信される。
IWAN POP1
Hub MC
10.8.3.3/32
MC1
BR1
BR2
Path MPLS
Path INET
MPLS
INET
WAN Path is detected on the branch
- Path Name
- Path Id
- DSCP
R10
10.1.10.0/24
R11
10.1.11.0/24
R12
10.1.12.0/24
10.1.13.0/24
R13
WAN インターフェース – パフォーマンス・モニタ
• external インターフェースに対して、3つ のパフォーマンス・モニタ・
インスタンス (PMI) が設定される。
• モニタ1 – サイト・プレフィックスの検出 (egress の方向)
• モニタ2 – トラフィック・クラス単位の帯域測定 (egress の方向)
• モニタ3 – パフォーマンス測定 (ingress の方向)
• チャンネルの生成 (後述)
1
2
3
1
BR
2
3
パフォーマンス・モニタ:
パッシブ・モニタ
MC/BR
SITE2
Dual CPE
MPLS
MC
BR
BR
SITE1
SITE3
Single CPE
BR
INET
MC/BR
パフォーマンス・モニタ
egress方向の帯域を測定
トラフィック・クラス単位
• パフォーマンス・メトリックスの収集
• チャンネル単位
- DSCP単位
- 送信元/送信先サイト単位
- インターフェース単位
パフォーマンス・モニタ:
MC/BR
SITE2
Dual CPE
MPLS
MC
BR
BR
SITE1
SITE3
Single CPE
BR
INET
トラフィックを合成して作り出す:
• トラフィック・ドリブン – インテリ
ジェント on/off
• DSCP単位に、サイトからサイトへ
MC/BR
パフォーマンス・モニタ
• パフォーマンス・メトリックスの収集
• チャンネル単位
- DSCP単位
- 送信元/送信先サイト単位
- インターフェース単位
どのチャンネルをモニタするか
10.8.0.0/16
10.9.0.0/16
• チャンネル毎にパフォーマンスをモニタする
• 送信先に対して、チャンネル・リストを作る
MC1
BR1
Path MPLS
Id 1
DMVPN
MPLS
• PfRのラベルは、SPを経由するサイト間の
経路を一意に識別する
POP-ID
PATH-ID
Path INET
Id 2
POP ID 1
BR3
Path MPLS
Id 1
BR4
Path INET
Id 2
10.8.0.0/16
10.9.0.0/16
記録する
PATH-ID
BR2
Transit MC
10.8.0.0/16
10.9.0.0/16
• ハブの、すべての BR のパフォーマンスを
POP-ID
MC2
POP ID 0
• Will include channels going to all sites
owning that prefix
• プレフィックスが複数のトランジット・サイトで共
有している場合、拠点 (POP) 間で負荷分散が
おそらく行われる。
Hub MC
MC/BR
10.1.10.0/24
DMVPN
INET
パフォーマンス違反
MC/BR
SITE2
Dual CPE
MPLS
MC
BR
BR
SITE1
BR
INET
スレショールド・クロッシング・ア
ラート (TCA)
• 送信元サイトへ送る
• ロス, 遅延, ジッタ, 到達不可能
MC/BR
SITE3
Single CPE
Peパフォーマンス・違反 – NetFlow Export
MC/BR
SITE2
Dual CPE
MPLS
MC
BR
BR
SITE1
BR
INET
MC/BR
SITE3
Single CPE
ポリシィの決定
MC/BR
SITE2
Dual CPE
MPLS
MC
BR
BR
SITE1
BR
INET
• トラフィックを、2番目の経路を経由するように
転送する。
MC/BR
SITE3
Single CPE
Path Enforcement
• BR間に、オートトンネルが設定される。
1.
ネキストホップは、同じBRの場合
2.
ネキストホップは、他のBRで、オートトンネ
ルを経由して転送される。 (GRE トンネル
を使用)
MC
オートトンネル
mGRE インターフェース
Flow
Option2
BR
Option1
BR
WAN Interface
WAN Interface
PfR 導入例
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
38
Check Traffic Classes Summary
R83#sh domain one master traffic-classes summary
APP - APPLICATION, TC-ID - TRAFFIC-CLASS-ID, APP-ID - APPLICATION-ID
SP - SERVICE PROVIDER, PC = PRIMARY CHANNEL ID,
BC - BACKUP CHANNEL ID, BR - BORDER, EXIT - WAN INTERFACE
UC - UNCONTROLLED, PE - PICK-EXIT, CN - CONTROLLED, UK - UNKNOWN
Dst-Site-Pfx
Dst-Site-Id APP
DSCP
TC-ID APP-ID
State
SP
PC/BC
BR/EXIT
10.1.13.0/24
10.1.12.0/24
10.2.13.13
10.2.12.12
N/A
N/A
ef
ef
11
9
N/A
N/A
CN
CN
MPLS
MPLS
25/27
20/19
10.8.4.4/Tunnel100
10.8.4.4/Tunnel100
10.1.11.0/24
10.2.11.11
N/A
af31
6
N/A
CN
MPLS
24/22
10.8.4.4/Tunnel100
10.1.13.0/24
10.1.12.0/24
10.1.11.0/24
10.2.13.13
10.2.12.12
10.2.11.11
N/A
N/A
N/A
af31
8
af31
4
default 5
N/A
N/A
N/A
CN
CN
CN
MPLS
MPLS
INET
26/28
11/12
8/NA
10.8.4.4/Tunnel100
10.8.4.4/Tunnel100
10.8.5.5/Tunnel200
[SNIP]
Total Traffic
Classes:
12 –Site:
6 -Internet:
Traffic
Class
Site11
Critical 0TC
R83#
Id
Controlled
Path Information - Channels
Check Traffic Classes Details
MC1#sh domain one master traffic-classes dscp ef
Dst-Site-Prefix: 10.1.10.0/24
DSCP: ef [46] Traffic class id:66
TC Learned:
00:12:52 ago
Present State:
CONTROLLED
Current Performance Status: in-policy
Current Service Provider:
MPLS since 00:01:00 (hold until 29 sec)
Previous Service Provider: INET for 181 sec
BW Used:
30 Kbps
Present WAN interface:
Tunnel100 in Border 10.8.4.4
Present Channel (primary): 107
Backup Channel:
108
Destination Site ID:
10.2.11.11
Class-Sequence in use:
10
Class Name:
BUSINESS using policy User-defined
priority 2 packet-loss-rate threshold 5.0 percent
priority 1 one-way-delay threshold 150 msec
priority 2 byte-loss-rate threshold 5.0 percent
BW Updated:
00:00:22 ago
Reason for Route Change:
Backup to Primary path preference transition
Check Traffic Class
Voice for site 10
Active Path used
Check Channels
used (Primary and
Backup)
Policies and
reason for last
change
管理
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
46
Cisco IWAN マネージメント
On-Prem Management
Specialized Management
Cloud-Based Management
Prime
Infrastructure
2.2
End-to-End Assurance of Application
Experience
Application Aware Network
Performance Management
Automates Deployment
and Lifecycle Management
• Single-pane view of IWAN
• Integrates with Cisco AVC and PfR
• Eliminates manual building of WANs
• IWAN deployment workflows
• Monitor and analyze application traffic
• Automated SD-WAN orchestration
• Plug and Play
• End-to-end flow visualization
• Centralized hybrid WAN management
• DMVPN, QoS, AVC deployment and
• Flow & App-based Troubleshooting
• Quick config updates and IOS upgrades
• Fix and Verify in Realtime
• Leverages onePK and REST APIs
monitoring
• PfR v3 in Q1 2015
• License includes IWAN App and APIC-
EM controller!
LiveAction 4.3 と パフォーマンス・ルーティング
• PfR 経路変化の可視化
• PfR OOP イベント時にアラートとレポート
• トラフィック・クラス/アプリケーション経路変更時にレポート
ブラウン・アウトの前 (Northern Path)
ブラウン・アウトの後 (Southern Path)
Out-Of-Policy
Threshold Crossing Alert
PfRv3 Dashboard
All Alerts
Alerts / performance
by Site
Alerts / performance
by Application Group
IWAN Automation and Orchestration
Evolution
Prime
Capacity Planning, Troubleshooting,
Change control
Cisco IWAN Apps
Partners (future)
Mid
CY2015
IWAN
Transport
PKI
Automation
PnP
Provisioning
Security
Intelligent
Path Control
Application
Experience
Apps
REST APIs
APIC-EM Services (Partial)
PKI
Svc
NetFlow
Svc
Network
Svc
Events
Svc
Inventory
Svc
SAL - Service Abstraction Layer
Device Abstraction Layer - CLI
PnP
Svc
APIC-EM
2つの導入モデル for SDN led Provisioning
Control and Customization
FEATURE CONFIGURABLE NMS with APIC-EM
Prime Infra NMS integrated with APIC-EM
providing full GUI based configuration and
FCAPS management orchestrated by the
System of Automation
Custom apps utilizing
feature programmability
via Prime NB APIs for
configuration and data
Cisco Prime Infrastructure
Customer,
Partner or 3rd
party
developed
Automation
Business Driven
POLICY PRESCRIPTIVE APPS on APIC-EM
Cisco developed modular, policy
automated management apps with
common UI/UX framework with and
embedded service automation
Custom apps utilizing
policy programmability
via APIC-EM NB
REST APIs
Collab
Segme
ntation
Threat
Defense
.
.
IWAN
Access
Wireless
.
.
Customer,
Partner or 3rd
party
developed
Apps
Application Policy Infrastructure Controller (APIC) – Enterprise Module
(EM)
IWAN 展開 – Zero Touch Deployment
Embedded
Trust Devices
Deploy,
Search,
Retrieve,
Revoke
AX
4G
Secure Boot Strap
IWAN Application
Campus
Automatic Configuration and
Trust Establishment
Metro-E
Configuration
Orchestration
AX
Enterpris
e Core
Dynamic VPN Establishment
Large
Site
MPLS
Resilient WAN
POP
AX
ISP
Automatic Session Key Refresh
(IKEv2)
Trust Revocation
APIC
Key and
Certificate
Controller
DC
Branch
Intelligent
Branch
Optional External
Certificate Authority
まとめ
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
54
パフォーマンス・ルーティング – プラットホーム・サポート
Cisco CSR-1000
Cisco ASR-1000
Cisco ISR 4000
Cisco ISR G2 family
3900-AX
2900-AX
1900-AX
890
MC
BR
4400
4300
MC
BR
MC
BR
MC
BR
パフォーマンス・ルーティング (バージョン)
PfR/OER バージョン 1
IOS 12.3(8)T, XE 2.6.1
PfR バージョン 2
IOS 15.2(3)T, IOS-XE
3.6
PfR バージョン 3
IOS 15.4(3)M
IOS-XE 3.13
デバイス毎にポリシィを設定
する必要あり。
Traditional NetFlow (TNF)
によるパッシブ・モニタ
IP SLA によるアクティブ・モ
ニタ
jitter プローブは手動設定。
コンフィグは数千行。 (サイト
に対応するpfr-map)
デバイス毎にポリシィを設定
する必要あり。
Target Discovery (TD)
jitter プローブの自動生成。
Traditional NetFlow (TNF)
によるパッシブ・モニタ
IP SLA によるアクティブ・モ
ニタ
コンフィグは数十行。
•
•
•
•
•
ブラックアウト: 6秒
ブラウンアウト: 9秒
大規模化: 数十サイト
ブラックアウト: 6秒
ブラウンアウト: 9秒
大規模化: 500 サイト
•
•
•
•
•
•
•
PfR ドメイン
ポリシィ設定の集約化
サイトの自動検出
NBAR2 サポート
パッシブ・モニタ (パ
フォーマンス・モニタ)
スマート・プローブ
VRF サポート
IPv4/IPv6 (今後)
コンフィグは、数十行以下
に集約化。
ブラックアウト: 1秒以下
ブラウンアウト: 2秒以下
大規模化: 2000 サイト
PfR バージョン3
IOS 15.5(1)T
IOS-XE 3.14
•
•
ゼロ SLA
WCCP サポート
PfR バージョン3
IOS 15.5(2)T
IOS-XE 3.15
•
•
•
•
•
トランジット・サイト
DMVPNに対するマル
チ・ネキストホップ
マルチ拠点 (POP)
Syslog (TCA)
Show last 5 TCA
要点と制約事項
• 要点
• ポリシィは、DSCP または Application (NBAR2) に基づく
• グローバル・ルーティング・テーブルに基づいて、VRF毎に、トラフィックを制御する
• ユーザ・トラフィックをパッシブ・モニタする
• 必要に応じて、スマート・プローブを用いる
• サイト間で協調する
• PfR のデータは、NetFlow v9 を用いて、コレクタへ転送される
• 制約事項:
• IPv6 は、まだサポートしていない。(ロードマップ上にあり) – しかし、インフラに対しては、IPv6 サポート。
• NBAR2 with Asymmetric Routing is not yet supported
まとめ
•
IWAN インテリジェント経路制御は、パフォーマンス・ルーティング (PfR) に基づいて
いる。
•
•
•
•
•
•
WAN の帯域利用の最大化。
パフォーマンス劣化からアプリケーションを守る
インターネットを、WANトランスポートとして活用することができる
ネットワーク全体に対して、容易に、ポリシィを提供することができる
Appアプリケーションに基づくポリシィとフレームワークは、既存の AVC コンポーネントに深
く結びついている。
マルチ・サイトに対して、最適化/大規模化を考慮することによって、アプリケーションSLAを
促進するとともに、ネットワーク・リソースの利用を効率化する
•
PfRv3 は、WANやクラウドに基づくアプリケーションに対して、マルチ・サイトを考
慮した、第3世代の、帯域・経路制御を提供する
•
ASR1k, 4451-X, ISR-G2 に対し、今年の夏からサポート開始。
参考文献
• Cisco.com IWAN Page:
•
http://www.cisco.com/go/iwan
• PfRv3 Home Page
•
http://docwiki.cisco.com/wiki/PfRv3:Home
• CiscoLive 2015 Milan - Implementing Next Generation Performance Routing – PfRv3 – BRKRST-2362
•
https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION_ID=82003&backBtn=true
• CVD IWAN 2.0
•
IWAN Technical Design Guide:
http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-IWANDesignGuide-JAN15.pdf
•
Intelligent WAN Config Files:
http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-IWANConfigurationFilesGuide-JAN15.pdf
•
IWAN Security for Remote Site DIA and Guest
Wirelesshttp://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Mar2015/CVD-IWAN-DIADesignGuide-Mar15.pdf
•
IWAN Application Optimization using Cisco WAAS and Akamai
Connecthttp://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Mar2015/CVD-IWAN-WAASDesignGuide-Mar15.pdf
Backup Slides
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
61
Configuration – Simplification
PfRv2
pfr master
policy-rules IWAN-pfr-map
max-range-utilization percent 30
mc-peer domain 1 eigrp Loopback0
target-discovery
logging
!
border 10.0.0.30 key-chain PFR-KEYCHAIN
interface GigabitEthernet0/0.32 internal
interface GigabitEthernet0/0.31 internal
interface GigabitEthernet0/0.30 internal
interface Tunnel2 external
link-group internet
interface Tunnel1 external
link-group mpls
!
learn
traffic-class filter access-list DENY_GLOBAL_LEARN_LIST
list seq 10 refname LEARN_VOICE_VIDEO
traffic-class access-list VOICE_VIDEO filter BRANCH_PREFIX
count 2000 max 10000
throughput
list seq 20 refname LEARN_CRITICAL
traffic-class access-list CRITICAL filter BRANCH_PREFIX
count 2000 max 10000
throughput
list seq 30 refname LEARN_BEST_EFFORT
traffic-class prefix-list BEST_EFFORT_PREFIX
count 2000 max 10000
throughput
periodic 90
probe packets 20
!
!
pfr-map IWAN-pfr-map 10
match pfr learn list LEARN_VOICE_VIDEO
set periodic 90
set delay threshold 200
set mode monitor fast
set resolve delay priority 1 variance 5
set resolve loss priority 2 variance 5
set resolve jitter priority 3 variance 5
set loss threshold 50000
set jitter threshold 30
set probe frequency 8
set link-group mpls fallback internet
!
pfr-map IWAN-pfr-map 20
match pfr learn list LEARN_CRITICAL
set periodic 90
set delay threshold 100
set mode monitor fast
set resolve delay priority 1 variance 20
set resolve loss priority 5 variance 10
set probe frequency 8
set link-group mpls fallback internet
!
pfr-map IWAN-pfr-map 30
match pfr learn list LEARN_BEST_EFFORT
set periodic 90
set mode monitor passive
!
router eigrp IWAN
!
service-family ipv4 autonomous-system 1
!
sf-interface default
shutdown
exit-sf-interface
!
sf-interface Loopback0
no shutdown
hello-interval 200
hold-time 600
exit-sf-interface
!
topology base
exit-sf-topology
neighbor 10.0.0.91 Loopback0 remote 100
exit-service-family
!
!
ip prefix-list BEST_EFFORT_PREFIX seq 10 permit 0.0.0.0/0
!
ip prefix-list BEST_EFFORT_PREFIX seq 5 deny 10.0.0.0/16
ip prefix-list BEST_EFFORT_PREFIX seq 10 permit 0.0.0.0/0
!
!!
ip access-list extended CRITICAL
permit ip any any dscp af31
!
ip access-list extended VOICE_VIDEO
permit ip any any dscp ef
permit ip any any dscp af41
permit ip any any dscp cs4
!
PfRv3 MC Configuration on Hub site only
domain <MYNAME>
vrf <name>
master hub
source-interface Loopback0
password IWAN
load-balance
class VOICE sequence 10
match dscp ef policy voice
path-preference mpls fallback inet
class VIDEO sequence 20
match dscp af41 policy real-time-video
match dscp cs4 policy real-time-video
path-preference mpls fallback inet
class APPLICATION sequence 30
match dscp af31 policy low-latency-data
• 500 sites
• 2000 sites
• ~90 lines of configuration
• <20 lines of configuration, all under “domain”
• All MCs
• On the hub only
LiveAction 4.1 and Performance Routing
• PfR path change visualization
• Alert and report on PfR Out of Policy events
• Reports on traffic class/application path changes
Before Brown-Out (Northern Path)
After Brown-Out (Southern Path)
Out-Of-Policy
Threshold Crossing Alert
PfRv3 Dashboard
All Alerts
Alerts / performance
by Site
Alerts / performance
by Application Group