Inteligentny WAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

Transkrypt

1 Inteligentny WAN Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

2 IWAN NIE-Groźny J Nowości Sprzętowe AX, czyli Application experience Podstawowe Komponenty IWAN Podsumowanie 2

3 3

4 I Enterprise Interconnect Interconnect Profile/szablony konfiguracyjne Uproszczone zarządzanie, monitorowanie i usuwanie problemów Wysokodostępny skalowalny GETVPN Headend ASR1K ASR1K Kampus Data Center ASR1K Wysokodostępny skalowalny DMVPN Headend ASR1K Optymalizowana utylizacja łączy Inteligentny Routing w oparciu o potrzeby aplikacje Bezpieczeństwo pełne i skalowalne od końca do końca Dowolny Transport WAN ASR1K SP A MPLS OC3, GE ASR1K Bardzo ważne biuro/ zdalny kampus (Ultra High-End) SP B MPLS DS3, FE ISR G2 ISR G2 Duże biuro (High End) Internet Serial, Ethernet ISR G2 Biuro średnie lub małe ISR G2 Cisco Prime 3G/4G/LTE Satelita Biuro mobilne 4

5 Aplikacje przenoszone do Data Center oraz chmury chmura Brzeg Internetowy przenosi się do biur zdalnych Biuro DC Chmura CIO spodziewa się, że będą operować w chmurze do 2015 Mobilność więcej danych mobilnych do 2015 Aplikacje ruchu mobilnego będzie ruchem Video 5

6 Efektywność kosztowa Koszt dostępu do Internetu vs. niezawodność, % Organizacji planuje budowę (lub migrację) sieci WAN w oparciu o sieć Internet 1 Internet Transit Pricing based on surveys and informal data collection primarily from Internet Operations Forums street pricing estimates 2 Packet delivery based on 15 years of ping data from PingER for WORLD (global server sample) from EDU.STANFORD.SLAC in California Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER) 6

7 Sieć nakładkowa MPLS (IP-VPN) Chmura prywatna Wirtualna chmura prywatna Branch Internet Direct Internet Access (DIA) Chmura publiczna Bezpieczny transport WAN dla dostępu do chmur prywatnych Lokalne wyjście dla dostępu do chmur publicznych i Internetu Efektywne kosztowo zwiększenie pojemności sieci WAN Optymalne działanie aplikacji (dynamiczny dobór łącz) 7

8 ü ü Podwójny MPLS Hybryda Podwójny Internet Internet Public Enterprise Public MPLS MPLS MPLS+ Internet Internet Branch Branch Branch ü Najwyższa gwarancja SLA Silna zależność od operatora ẋ Wysoki Koszt ü Więcej pasma dla kluczowych aplikacji ü Zbalansowany poziom SLA Średni Koszt ü Najlepszy współczynnik cena/wydajność ü Największa elastyczność Własna odpowiedzialność za SLA 8

9 Pojedynczy router Pojedyncza ścieżka Pojedynczy router Dwie ścieżki Dwa routery Dwie ścieżki Przestój w roku 4 godziny 23 minuty 99.95% MPLS Przestój w roku 24 minuty % Przestój w roku 5 minut % Przestój w roku 8 godzin 46 minut 99.90% Internet MPLS lub Internet MPLS lub Internet MPLS lub Internet MPLS lub Internet ISR -AX ISR-AX ISR-AX Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9

10 AVC MPLS 3G/4G-LTE ASR1000- AX Chmura prywatna Wirtualna chmura prywatna Oddział WAAS Akamai PfRv3 Internet Chmura publiczna Zarządzanie i orkiestracja Niezależność od transportu Inteligentna kontrola ścieżki Optymalizacja aplikacji Bezpieczeństwo informacji! Sieć nakładkowa (+IPSec)! Spójny model operacyjny! Optymalny routing aplikacji! Efektywne zużycie pasma! Monitorowanie aplikacji! Optymalizacja i caching! Szyfrowanie NG! Ochrona sieci DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW 10

11 11

12 ISR 4451-X Największy w rodzinie ISR 4431 & 4300 Rodzina w komplecie ISR G1 1800, 2800, 3800 Pierwsze routery wielousługowe ISR G2 800, 1900, 2900 & 3900 Lepiej, więcej, szybciej Cisco 2600 Routing, routing Cisco Nie zapominając o 700, 1600, 1700, 4000/4500, 3600 i

13 Ochrona inwestycji ISR Gbps ISR Mbps ISR Mbps ISR Mbps ISR Mbps 13

14 Port 0 SFP Port 0 RJ45 Port 4 RJ45 Port 4 SFP COMBO COMBO ISR4451-X/K9, ISR4451-X-{SEC,V,VSEC,AX,AXV}/K9 Port 1 SFP COMBO Port 1 RJ45 Port 2 RJ45 COMBO Port 2 SFP ISR 4451 Architektura CPU Network Interface Modules Enhanced Service Modules Wbudowane porty 4C@2GHz CPU (control plane) 10C@1.3GHz CPU (data plane) GE (każdy dual-phy RJ45 lub SFP) Wewnętrzny slot ISC 1 1 Gbps lub 2 Gbps wydajności Porty USB typu A 2 Zasilanie 2 wewnętrzne AC lub DC Następca 3900E ISR Pamięć RAM (control plane) Domyślnie 2GB + 2GB; maks. 16 GB 1600 MHz DIMMs 2 DIMM slots Port managementowy OOB 1 Gbps 14

15 Port 0 SFP Port 0 RJ45 Port 4 RJ45 Port 4 SFP COMBO COMBO Port 1 SFP Port 1 RJ45 Port 2 RJ45 Port 2 SFP COMBO COMBO ISR4431/K9, ISR4431-X-{SEC,V,VSEC,AX,AXV}/K9 Architektura CPU Network Interface Modules Enhanced Service Modules Wbudowane porty ISR C@1GHz CPU (control plane) 6C@1.3GHz CPU (data plane) 3 BRAK 4 GE (każdy dual-phy RJ45 lub SFP) Wewnętrzny slot ISC Mbps lub 1 Gbps wydajności Porty USB typu A 2 Zasilanie 2 wewnętrzne AC lub DC Następca ISR 3900 Pamięć RAM (control plane) Domyślnie 2GB+2GB; maks 16 GB 1600 MHz DIMMs 2 DIMM slots Port managementowy OOB 1 Gbps 15

16 Port 0 SFP Port 0 RJ45 COMBO ISR4351/K9, ISR4351-X-{SEC,V,VSEC,AX,AXV}/K9 Port 1 SFP COMBO Port 1 RJ45 Port 2 RJ45 COMBO Port 2 SFP ISR 4351 Architektura CPU Network Interface Modules Enhanced Service Modules Wbudowane porty 8C@2.4GHz (control and data plane) GE (każdy dual-phy RJ45 lub SFP) Wewnętrzny slot ISC Mbps lub 400 Mbps wydajności Porty USB typu A 2 Zasilanie 1 wewnętrzny AC lub DC Następca ISR 2951 Pamięć RAM (control plane) Domyślnie 2 GB + 2GB; maks 16 GB 1600 MHz DIMMs 2 DIMM slots Port managementowy OOB 1 Gbps 16

17 Port 0 SFP Port 0 RJ45 COMBO Port 1 SFP Port 2 RJ45 ISR4331/K9, ISR4331-X-{SEC,V,VSEC,AX,AXV}/K9 Architektura CPU ISR C@2.0GHz (control and dataplane) Network Intf. Mod. 2 Enhanced Srv. Mod. 1 Wbudowane porty 1 GE dual-phy (SFP lub RJ45) 1 GE RJ45 1 GE SFP (może być Cu) Wewnętrzny slot ISC Mbps lub 300 Mbps wydajności Porty USB typu A 1 Zasilanie 1 wewnętrzny AC Następca ISR 2911 i 2921 Pamięć RAM (control plane) Domyślnie 2 GB+2GB; maks 16 GB 1333 MHz DIMMs 2 DIMM slots Port managementowy OOB 1 Gbps 17

18 Port 0 RJ45 Port 1 SFP Port 1 RJ45 COMBO ISR4321/K9, ISR4331-X-{SEC,V,VSEC,AX,AXV}/K9 Architektura CPU Network Interface Modules Enhanced Service Modules Wbudowane porty ISR C@2.4GHz (control and data plane) 2 BRAK 1 GE dual-phy (SFP lub RJ45) 1 GE RJ45 Wewnętrzny slot ISC 1 50 Mbps lub 100 Mbps wydajności Porty USB typu A 1 Zasilanie 1 zewnętrzny AC Następca ISR 1941 i 2901 Pamięć RAM (control plane) 4 GB wlutowane; maks 8 GB 1333 MHz DIMMs 1 DIMM Port managementowy OOB 1 Gbps 18

19 Wraz z wprowadzeniem reszty routerów serii 4K ISR 4451-X stracił X SKU zostało niezmienione i nadal ma X dla zachowania zgodności z istniejącymi zamówieniami i wycenami Suffix X jest regularnie usuwany z ulotek, ale platforma zostaje bez zmian 19

20 Interfejs managementowy Out-of-band bezpośrednio podłączony do Control Plane Wbudowane 1GE RJ45/SFP combo GE PoE+ na wybranych modelach i konfiguracjach Network Interface Modules Lepsze od EHWICów: Do 8 portów na moduł DSP bezpośrednio na modułach Opcjonalny dysk pod kontenery usługowe RAID 1 dla ochrony danych 2xSSD lub 1xHDD (roadmap) Internal Services Card Wewnętrzna karta Obecnie DSP dla CUBE a Porty USB 2 typu A na zewnętrzny storage USB typu B do podłączenia konsoli Enhanced Service Modules Wstecznie kompatybilny z Cisco ISR G2 Szyna 10Gbps do MGF Więcej mocy i lepsze chłodzenie 20

21 Redundante zasilacze, PoE na wbudowanych 1GE Przewagi 4400 Control/Service Plane fizycznie odseparowany od Data Plane na różnych procesorach Większa liczba kontenerów usługowych z uwagi na mocniejsze CPU Większe wydajności 21

22 Kontenery usługowe Control Plane (1 rdzeń) i Services Plane (3 rdzenie) IOSd Data Plane (6 lub 10 rdzeni) Wbudowane GE ISR-WAAS KVM - Hypervisor Service Plane (control plane CPU) Multigigabit Fabric NIM ISC SM-X 22

23 Rdzenie Data Plane IOSd Kontenery usługowe Wbudowane GE ISR-WAAS Multigigabit Fabric ISC SM-X KVM - Hypervisor Service Plane (control plane CPU) NIM Notka: 4321 ma 2xDP, 1xCP & 1x1SC rdzeni 23

24 Linux IO Complex Routing Complex (RP) Forwarding Complex (FP) Service Container Service Container IO Manager Chassis Manager Chassis Manager IOSd FMAN RP Chassis Manager FMAN FP CPP Client/Driver vwaas Firewall (WSE & IPS) Kernel UART/Flash/USB/filesystems Punt/Inject Modules System Hardware Feature Forwarding Processor (Data Plane) 24

25 ISR G2 ISR 4000 EHWIC NIM ISM ISC PVDM-3 PVDM-4 SM SM-X (not backward-compatible) SM-X SM-X (backward-compatible) 25

26 26

27 24xSPAs 78G Crypto 6M FW/NAT ESP xSPA 29G Crypto 6M FW/NAT ESP Gbps FCS July CY Gbps 40 Gbps 2x10G 1xNGWIC 1xSPA 8G Crypto ESP xSPAs, 4G Crypto, ESP xSPA 29G Crypto ESP ASR1013 ASR Gbps ASR1004 ASR1002-X ASR1001-X 27

28 System Management Auxiliary Port RJ45 Console Built-in I/O 2x10G 6x1G Multipoint MACsec support ( roadmap) Network Interface Modules SSD Drive ISR 4K Modules Mini Console 1x Mini USB Console Pay As You Grow 2.5G Default Upgradeable to 5G, 10G, and 20G Up to 8G Crypto Throughput Management/USB Ports 2x USB Ports RJ45 GE Ethernet Multi-Core Network Processor 31 Cores 4 Packet Processing Engines / Core 124 Threads are processed simultaneously Shared Port Adapter 1x SPA slot Control Plane Quad Cores each clocked at 2.0G Hz 8G DDR3 default shared memory 28

29 Platform ISR4451-X ASR1001 ASR1001-X ASR1002-X PAYG Bandwidth 1-2G 2.5-5G G 5-36G PPS Performance 1-2 Mbps 8Mpps 17 Mpps 30Mpps IPv4 Routes 500K (4G)/IM (8G/16G) 500K (4G)/1M (8G/16G) 1M (8G)/ 3.5M (16G) 500K (4G)/1M (8G)/ 3.5M (16G) Built-in I/O 4x1GE 4x1GE 6x1GE; 2x10GE 6x1GE Extensible I/O 3XNIM,2XSM 1x SPA 1x SPA, 1x NIM 3x SPA Encryption Throughput 1.4G (IMIX) 1G (IMIX) 5G (IMIX) 4G (IMIX) MACsec Point to Point N/A Point to Multipoint N/A ZB Firewall Sessions 500K (200K FW+K2) 250K 2M 2M NAT Sessions 500K 250K 2M 2M AVC 1G 5G 5G 18G CUBE(Ent) 8K 10K Subscribers 10K subscribers 10K subscribers BB N/A 10K subscribers 10K subscribers 29K subscribers MACsec Yes (128-bits only) N/A Yes N/A Suite-B Yes N/A Yes Yes High Availability No Yes Yes (Redundant IOS) Yes (Redundant IOS) Clocking Yes ( In Future) No Yes (SyncE) Yes (SyncE, GPS, BITS) TCAM Software 5Mb 10Mb 40Mb 29

30 30

31 ISR ISR4xxx ASR1001-X ASR1002-X L4-L7 (aplikacje i usługi) Optymalizacja Widoczność Application experience wszystkie zaawansowane usługi w jednym urządzeniu ASR1000-AX Kontrola Bezpieczeństwo Wysoka dostępność Niezależność od transportu ISR-AX 31

32 Z licencji AppX+ Security IP Base AppX rozszerza i zastępuje licencję Data wraz z usługami aplikacyjnymi. Wszystkie funkcjonalności Data są nadal zachowane. Security AppX U.C. AppX zawiera wszystkie funkcje AVC dlatego umożliwia precyzyjnege oraz kompleksowe monitorowanie i zarządzanie ruchem aplikacyjnym. AppX zawiera licencję RTU dla WAAS I pozwala włączyć WAAS Express, WAAS SRE lub vwaas na UCS-E bez dodatkowych kosztów AppX zawiera maksymalną wielkość pamięci RAM AppX & Security zawarte są w zestawie ISR-AX 32

33 Widoczność i kontrola aplikacji (AVC) NBAR2, QoS, PfR Media Monitoring Performance Agent onepk Optymalizacja ruchu w sieci WAN (WAAS) Optymalizacja TCP Kompresja danych Eliminacja nadmiarowości danych DRE Akceleracja aplikacji m.in. SAP, Citrix, Exchange, HTTP(s) Bezpieczeństwo Szyfrowanie VPN Zapora Ogniowa IOS Wykrywanie intruzów (IPS) Cloud Web Security Uproszczone aktywności operacyjne i zarządzanie 33

34 Bezpośrednia integracja z IOS Karta usługowa SRE Serwer UCS jako moduł TFO, DRE, LZ Ograniczona akceleracja aplikacji Do kilkuset połączeń per router Pełna funkcjonalność WAAS Dostępne różne karty Do 1000 połączeń per karta Pełna funkcjonalność WAAS Dostępne różne karty Do 6000 połączeń per karta WAAS Express WAAS na SRE vwaas na UCS-E Licencja obejmuje rozwiązania WAAS działające na routerach 34

35 Lokalizacja z 40 użytkownikami oraz 10 Mbps ruchu potrzebuje redukcji pasma. Przewiduje się, że w przyszłości lokalizacja będzie rosła i docelowo będzie 4 razy większa. Dodatkowo w przyszłości mają pojawić się dodatkowe aplikacje, które będą korzystały z łącza WAN. Będą to: Oracle, SAP oraz Exchange. Rozwiązanie: ISR 3925-AX WAAS RTU do 2500 połączeń Dziś WAAS Express 400 połączeń LUB W przyszłości WAAS na SRE 1000 połączeń LUB W dalszej przyszłości WAAS na UCS-E 2500 połączeń 35

36 36

37 Funkcjonalność Standard IPSec GRE over IPSec DMVPN Typ Sieci Hub & Spoke mesh mała skala Hub & Spoke mesh mała skala Redundancja Failover Stateful Failover Routing Stateless Failover Hub & Spoke duża skala z dynamicznymi tunelami każdy-zkażdym Active/Active bazujące na dynamicznym routingu Kompatybilność Multivendor Multivendor Routery Cisco IP Multicast Brak wsparcia Wspierane Replikacja Multicast na hub QoS Wspierane Wspierane Per Tunnel QoS, Hub do Spoke Kontrola Polityki Zarządzane lokalnie Zarządzane lokalnie Zarządzane lokalnie Technologia Tunelowany VPN Tunele Punkt-Punkt IKEv1 Tunelowany VPN Tunele Punkt-Punkt IKEv1 Tunelowany VPN Tunel Multi-Point GRE IKEv1 Infrastruktura Sieciowa Transport Prywatny i Publiczny Transport Prywatny i Publiczny Transport Prywatny i Publiczny IPv6 37

38 Tradycyjnie IWAN Active/Standby Active/Active GETVPN/MPLS DMVPN/Internet Data Center ASR 1000 ASR 1000 Data Center ASR 1000 ASR 1000 DMVPN ISP A SP V ISP A SP V Dwie domeny rutingowe MPLS: ebgp lub Static Internet: ibgp, EIGRP lub OSPF Redystrybucja Ryzyko pętli DMVPN Internet GETVPN MPLS DMVPN Internet DMVPN MPLS Jedna domena rutingowa ibgp, EIGRP, lub OSPF ISR-G2 Branch ISR-G2 Branch 38

39 AVC PfR QoS Wybór ścieżki Overlay Routing Protocol (BGP, EIGRP) Routing klasyczny Transport Independent Design (DMVPN) Sieć nakładkowa MPLS Internet ZBFW CWS Warstwa transportowa 39

40 DMVPN czyli rozwiązanie działające w oparciu o Cisco IOS stworzone do budowania tuneli IPSec+GRE w prosty, dynamiczny i skalowalny sposób VPN Hub Spoke n Redukcja konfiguracji i wdrożenie bezdotykowe Spoke 1 Dynamiczne tunele typu spoke-to-spoke dla częściowej/pełnej topologii typu mesh Może być użyte bez szyfrowania IPSec (opcjonalnie) Różnorodność opcji i rozwiązań Spoke 2 Tunele dynamiczne Tunele statyczne Statyczny adres IP Dynamiczny adres IP 40

41 Spoke-to-hub tunnels Spoke-to-spoke tunnels 2547oDMVPN tunnels IWAN 1.0 Supported IWAN 1.0 Tested IWAN 2.0 Supported Hub and spoke (Phase 1) Spoke-to-spoke (Phase 2) VRF-lite IWAN 2.0 Supported Server Load Balancing Hierarchical (Phase 3) 2547oDMVPN 41

42 Statyczna klasyfikacja po porcie nie wystarcza Wzrost ruchu szyfrowanego oraz aplikacji ukrywających się Trzeba patrzeć głębiej w pakiet Potrzebne zaawansowanych mechanizmów Sesje mogą składać się z wielu różnych komponentów (Video, Voice, Data) Rozpowszechnianie się ruchu IPv6 42

43 PerfMon ISR G2 FNF ISR G2 ASR1K ISR G2 ASR1K FNFv9 App BW Transaction Time WebEx 3 Mb 150 ms Citrix 10 Mb 500 ms ASR1K Narzędzia do raportowania Rozpoznanie aplikacji Reporting Tool Zbieranie informacji o ruchu oraz jej eksport Narzędzie do zarządzania Kontrola Identyfikacja aplikacji z wykorzystaniem informacji z wartsw L3 do L7 Zbieranie informacji o wydajności, wykorzystaniu pasma oraz eksport do narzędzi do zarządzania Zaawansowane narzędzie agregujące informacje oraz raportujące wydajność aplikacji Wykorzystanie QoS oraz PfR by kontrolować wykorzystanie sieci i zwiększać wydajność aplikacji 43

44 PerfMon ISR G2 FNF ISR G2 ASR1K ISR G2 ASR1K FNFv9 App BW Transaction Time WebEx 3 Mb 150 ms Citrix 10 Mb 500 ms ASR1K Narzędzia do raportowania Rozpoznanie aplikacji Reporting Tool Zbieranie informacji o ruchu oraz jej eksport Narzędzie do zarządzania Kontrola NBAR2 (Implicit) Metadata (Expilicit) Netflow + NBAR2: Performance Agent Media Monitoring Cisco Prime Infrastructure Narzędzia firm trzecich QoS PfR 44

45 Nagłówki L2 Nagłówek IP Nagłówki TCP/ UDP Interface ToS Protocol Source IP Address Destination IP Address Source Port Destination Port NetFlow NetFlow ü Monitoruje od L2 do L4 ü Określa aplikację tylko na bazie L3 i L4 NBAR2 ü Bada dane od L3 do L7 ü L3, L4 + Deep Packet Inspection ü Stateful inspection of dynamic-port traffic Payload Deep Packet (Payload) Inspection NBAR2 45

46 NetFlow v9 Export IPFIX Export NetFlow v9 Export IPFIX Export Exporting Exporting Exporting Exporting Provisioning Provisioning Provisioning Provisioning Collecting Collecting Collecting Collecting Collecting Collecting Flexible NetFlow (FNF) App Usage Top Talker PerfMon Voice/Video Perf Metryki porozrzucane po FNF, PerfMon i PA Oddzielne konfiguracja W klasycznych IOS starszych niż 15.4(1)T Performance Agent (PA) App Response Time Traffic Stats Records App Usage Top Talker Media Records Voice/Video Perf Performance Monitor, aka Unified Monitor Wszystkie metryki w jednym miejscu Wspólna i schludna konfiguracja Wykorzystywany w IOS XE W klasycznym IOS od 15.4(1)T ART Records App Response Time 46

47 Monitorowanie portów Monitorowanie aplikacji bi2orrent rtp nieznana? h2p? gtalk skype webex ne4lix 47

48 Optymalizacja za pomocą parametrów: Reachability, Loss, Delay, Jitter, MOS, Throughput, Load, and/or $Cost ISP1 ISP2 WAN Oddział Internet WAN1 (IPVPN) MC/BR BR BR Oddział MC MC BR MC/BR Centrala Pełne wykorzystanie kosztownego pasma WAN Efektywna dystrybucja ruchu w oparciu o obciążenie, koszt $ oraz preferencje Zwiększona wydajność aplikacji WAN2 (IPVPN, DMVPN) Wybranie odpowiedniej trasy dla aplikacji w oparciu o opóźnienie, straty, jitter BR BR MC/BR Oddział Zwiększona dostępność aplikacji Zabezpieczenie przed awariami u operatora 48

49 Routing klasyczny PfR Kontrola ścieżki Wiedza o topologii Wybierany najniższy koszt Statyczne preferencje Świadomość aplikacji Definicja polityki Dyanmiczne pomiary Metryka Koszt ściezki Stan interfejsu + Opóźnienie Jitter Zużycie pasma Utrata pakietów Reakcja, gdy Zmienia się stan węzła lub linku (up/down) Następuje pogorszenie parametrów łącza (TCA) 49

50 IWAN hybrydowy IWAN dwu-internetowy Ruch biznesowy Głos i wideo VDI Pozostały ruch (best-effort) SP1 (MPLS) ISP (Internet) Pozostały ruch (best-effort) ISP-1 (Cable) ISP-2 (DSL) Ochrona aplikacji biznesowych Ochrona ruchu audio-wideo Ochrona przed utratą pakietów Loss < 5% Preferowana ścieżka: SP1 (MPLS) Optymalne wykorzystanie pasma WAN poprzez odpowiednie do obciążenia łącz rozkładanie ruchu dla pozostałych aplikacji Ochrona przed jitter i opóźnieniami Latency < 150 ms Jitter < 20 ms Ochrona ruchu VDI przed utratą pakietów Loss < 5% Optymalne wykorzystanie pasma WAN poprzez odpowiednie do obciążenia łącz rozkładanie ruchu dla pozostałych aplikacji 50

51 Utrata pakietów większa niż 10% IWAN hybrydowy Jitter większy niż 20ms IWAN dwu-internetowy Ruch biznesowy Głos i wideo VDI Pozostały ruch (best-effort) SP1 (MPLS) ISP (Internet) Pozostały ruch (best-effort) ISP-1 (Cable) ISP-2 (DSL) Ochrona aplikacji biznesowych Multimedia and Critical Data Policy Ochrona przed utratą pakietów Loss < 5% Preferowana ścieżka: SP1 (MPLS) Optymalne wykorzystanie pasma WAN poprzez odpowiednie do obciążenia łącz rozkładanie ruchu dla pozostałych aplikacji Ochrona przed jitter i opóźnieniami Latency < 150 ms Jitter < 20 ms Ochrona ruchu VDI przed utratą pakietów Loss < 5% Optymalne wykorzystanie pasma WAN poprzez odpowiednie do obciążenia łącz rozkładanie ruchu dla pozostałych aplikacji 51

52 PfRv3 PfR/OER PfRv2 Prostsza konfiguracja Centralne zarządzanie oraz konfiguracja Wykorzystanie AVC Styk z Internetem Proste polityki CLI per lokalizacja per polityka Świadomość aplikacji Blackout ~6s Brownout ~9s Do 500 lokalizacji Świadomość VRF Blackout ~ 2s Brownout ~ 2s Do 2000 lokalizacji Tysiące linii CLI Dziesiątki linii CLI per urządzenia Dziesiątki linii CLI tylko na Hub 52

53 Koncepcja domeny Nauka klas ruchu Pasywne monitorowanie Tzw. smart probing Zdalne pomiary Dystrybucja polityk i konfiguracji Unified Performance Monitor Automatyczne wykrywanie środowiska, centralizacja konfiguracji/zarządzania Wykrywanie aplikacji w oparciu o NBAR2 lub DSCP Automatyczna konfiguracja Unified Performance Monitor dla wykrytych klas Monitorowanie rzeczywistego ruchu aplikacyjnego Wykorzystanie Unified Performance Monitor (AVC) Wykrywanie topologii w oparciu o Smart Probes Automatyczne, aktywne próbkowanie dla ścieżek bez ruchu produkcyjnego Pomiary parametrów dla klas ruchu na wejściu w zdalnych lokalizacjach Informacja zwrotna wysyłana do MC w lokalizacji źródłowej 53

54 WAAS Appliance Akceleracja Aplikacji Wirtualne serwry Duża skalowalność WAAS wirtualny (vwaas) Akceleracja Aplikacji w chmurze Prywatnej/ Wirtualnej Prywatnej VMWare ESX/ESXi na UCS Szybkie i elastyczne wdrożenie dla multi-tenant vcm: zarządzanie wirtualne WAAS Express (WAASX) Integracja w ISR G2 Na żądanie na IOS Optymalizacja pasma Zgodność z funkcjami IOS (Security, QoS) Niski koszt, CLI WAAS Service Ready Engine/UCS-E Integracja w ISR G2 Akceleracja Aplikacji Instalacja na żądanie 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54

55 Utylizacja pasma 2 3 WAAS TFO 1 Standardowe TCP Time (RTT) LZ WAN LZ DRE DRE Synchronizacja 55

56 Sygnatury W pamięci Zachowywane po restarcie Zsynchronizowane VDI Video Oddział 1 Sygnatury Video signature1 VDI signature1 signature1 Sygnatury Oddział 2 Video signature2 signature2 Video signature1 Oddział 1 VDI signature1 signature1 VDI Video Video LZ Oddział 2 LZ Signatures DRE DRE Video signature2 signature2 WAN Dane DRE LZ CPD Na dysku Zsynchronizowane dla ruchu transakcyjnego Ruch Transakcyjny Ruch Jednokierunkowy 56

57 Redukcja Czasu Odpowiedzi Aplikacje Protokoły Redukcja typowa Redukcja maksymalna File Sharing CIFS, NFS 20% 50% 99% Wyzwania Exchange, OWA, Lotus Notes 90% Gadatliwe Protokoły Wysokie opóźnienia Challenges WAN, Wysokie Straty Pakietów, Niskie Pasmo... Web Apps SoIware DistribuJon HTTP, HTTPS System Center, Config. Manager 80% 95% Rozwiązania Read-Ahead Zapis asynchroniczny DRE hints Challenges Meta-data caching App aware DRE Enterprise ApplicaJon Backup Apps Data ReplicaJon VDI MicrosoI, Oracle, SAP System Center Data ProtecJon Manager Legato, Veritas NetApp SnapMirror Data Domain, Double Take, Veritas Vol Replicator MicrosoI RDP, Citrix ICA VMWare View RDP 75% 85% 90% 99% Video Live Video Video on Demand 90% Szeroki zakres wspieranych Aplikacji W pełni zaakceptowany i wspierany przez producentów aplikacji 57

58 Intranet HTTP AKAMAI CACHING AND ACCELERATION Internet HTTP Akamai Connected Cache Content Pre-positioning LZ Kompresja Optymalizacja TCP CISCO WAAS De-duplikacja danych Silniki akceleracji aplikacji Internet 58

59 59

60 IWAN zdecydowanie NIE jest Groźny J IWAN zapewnia: Bezpieczny i optymalny transport aplikacji Kontrolę nad wykorzystaniem pasma i zasobów Szereg mechanizmów monitorowania ruchu aplikacyjnego Ochronę użytkowników sieci oraz danych przed zagrożeniami IWAN obejmuje szereg technologii: DMVPN, PfR, AVC, ZBF, CWS, WAAS, Akamai, i dużo więcej IWAN = ISR G2 i/lub ISR4xxx i/lub ASR1k + Licencja AX 60

61 Dziękuję J Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation