Inteligentny WAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

Podobne dokumenty
DMVPN, czyli Transport Independent Design dla IWAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Formularz Oferty Technicznej

Dane bezpieczne w chmurze

Palo Alto firewall nowej generacji

Elastyczna sieć dla rozwiązań Cloud Open vswitch

Wirtualizacja sieci - VMware NSX

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Gaweł Mikołajczyk

WOJEWÓDZTWO PODKARPACKIE

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

OpenContrail jako wtyczka do OpenStacka. Bartosz Górski, Paweł Banaszewski CodiLime

Standardowy nowy sait problemy zwiazane z tworzeniem nowego datacenter

Rozwiązania HPE Storage jak zapewnić pełne bezpieczeństwo Twoich danych?

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

VPLS - Virtual Private LAN Service

Konsolidacja wysokowydajnych systemów IT. Macierze IBM DS8870 Serwery IBM Power Przykładowe wdrożenia

PARAMETRY TECHNICZNE I FUNKCJONALNE

Planowanie telefonii VoIP

IP VPN. 1.1 Opis usługi

Digital WorkPlace według Aruba Networks. Robert Miros Network Solution Architect

ZP-92/022/D/07 załącznik nr 1. Wymagania techniczne dla routera 10-GIGABIT ETHERNET

Wprowadzenie do zagadnień związanych z firewallingiem

Rozwiązania wspierające IT w modelu Chmury

EMC Storage Resource Management Suite

Routery usług zintegrowanych Cisco serii 4000: Architektura usprawniająca pracę w oddziale

Podstawy MPLS. PLNOG4, 4 Marzec 2010, Warszawa 1

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Przegląd dostępnych hypervisorów. Jakub Wojtasz IT Solutions Architect

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

Komunikacja bezprzewodowa w technologiach GSM/GPRS/EDGE/UMTS/HSPA

Monitorowanie VMware Rafał Szypułka Service Management Solution Architect IBM Software Services for Tivoli

Securing the Cloud Infrastructure

2014 LENOVO INTERNAL. ALL RIGHTS RESERVED

Profesjonalna ochrona danych z arcserve UDP

w Przemyśle Modemy Moxa OnCell Maciej Kifer Inżynier Sprzedaży Moxa/Elmark Automatyka

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL

Monitorowanie aplikacji i rozwiązywanie problemów

Załącznik nr 2 do I wyjaśnień treści SIWZ

Specyfikacja techniczna

IBM PureSystems Czy to naprawdę przełom w branży IT?

Small Business Server. Serwer HP + zestaw NOWS

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

DZIERŻAWA I KOLOKACJA SERWERÓW DEDYKOWANYCH

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr piąty

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Capgemini IT Projekt lokalnego datacenter i problemy z tym związane

Załącznik nr 1 do SIWZ. Numer sprawy: DO-DZP

Technologia WAN Orchestration w projektowaniu i optymalizacji obciążenia sieci. Krzysztof.Konkowski@cisco.com CCIE #20050 RS, SP CCDE #2014::18

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

1. Serwer dla Filii WUP (3 szt.)

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

Załącznik nr 6 Uszczegółowienie przedmiotu zamówienia. Pakiet nr 1 (Warszawa) Zasilacz awaryjny UPS. Ilość 8 sztuk

Ewolucja operatorów od dostawców bitów do dostawców usług

Od czego zacząć przy budowaniu środowisk wysokiej dostępności?

PARAMETRY TECHNICZNE PRZEDMIOTU ZAMÓWIENIA

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

CIOR 6/117/09. Właściwość Parametry wymagane Model, typ oraz parametry sprzętu oferowanego przez Wykonawcę Nazwa producenta, model wyceniony

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

DZIERŻAWA I KOLOKACJA SERWERÓW DEDYKOWANYCH

2. Kontroler Dwa kontrolery pracujące w trybie active-active wyposażone w min. 32GB cache (każdy). Kontroler oparty na architekturze 64 bitowej.

WAKACYJNA AKADEMIA TECHNICZNA

Załącznik nr 2. Opis sieci teleinformatycznej

Bezpieczeństwo dla wszystkich środowisk wirtualnych

ROZWIĄZANIA KOMUNIKACYJNE CISCO IP KLASY SMB: PODSTAWA WSPÓLNEGO DZIAŁANIA

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Konsolidacja i wirtualizacja na platformie IBM Power: najlepszą metodą obniżenia kosztów IT

Digitize Your Business

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

WYMAGANIA SPRZĘTOWE DLA SIECI LAN W INFRASTRUKTURZE POCZTY POLSKIEJ

ZAPYTANIE OFERTOWE NR 1

Dostawa urządzenia sieciowego UTM.

Definicja, rodzaje chmur obliczeniowych oraz poziomy usług

Kompaktowy design Dzięki swoim rozmiarom, można korzystać z urządzenia gdzie tylko jest to konieczne.

Projektowanie sieci metodą Top-Down

Macierze All Flash. Czy to jest alternatywa dla macierzy klasy Enterprise? Krzysztof Jamiołkowski HP EG Storage Solutions Architect

Załącznik nr 1 do SIWZ

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Podwyższenie poziomu jakości pracy w oddziałach firmy za pomocą platformy zorientowanej na aplikacje

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

Dysk 20GB przestrzeni Ajax Ajax 1.0 Baza danych MS SQL 2005 lub 2008 Express Java Java 6 run time Microsoft Silverlight 3.

ASUS RT-N56U. pawel100g, 29 listopad 2010, 15:05

Jak zbudować profesjonalny styk z internetem?

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Red Hat Network Satellite Server

Projektowanie sieci metodą Top-Down


OGŁOSZENIE O ZAMÓWIENIU Nowy Dwór Mazowiecki dnia: ZAPYTANIE OFERTOWE ZGODNIE Z ZASADĄ KONKURENCYJNOŚCI W RAMACH PROJEKTU:

OPIS PRZEDMIOTU ZAMÓWIENIA

Minimalne wymagania techniczne dla systemu:

Sterowanie ruchem w sieciach szkieletowych

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA CZĘŚĆ I

OFERTA. Załącznik nr 1 do zapytania ofertowego: Wzór oferty. Dane oferenta. Pełna nazwa oferenta: Adres:. REGON:.. Tel./fax.: .

RAZEM brutto (poz. 1+2). (kwotę należy przenieść do formularza oferty)

Transkrypt:

Inteligentny WAN Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

IWAN NIE-Groźny J Nowości Sprzętowe AX, czyli Application experience Podstawowe Komponenty IWAN Podsumowanie 2

3

I Enterprise Interconnect Interconnect Profile/szablony konfiguracyjne Uproszczone zarządzanie, monitorowanie i usuwanie problemów Wysokodostępny skalowalny GETVPN Headend ASR1K ASR1K Kampus Data Center ASR1K Wysokodostępny skalowalny DMVPN Headend ASR1K Optymalizowana utylizacja łączy Inteligentny Routing w oparciu o potrzeby aplikacje Bezpieczeństwo pełne i skalowalne od końca do końca Dowolny Transport WAN ASR1K SP A MPLS OC3, GE ASR1K Bardzo ważne biuro/ zdalny kampus (Ultra High-End) SP B MPLS DS3, FE ISR G2 ISR G2 Duże biuro (High End) Internet Serial, Ethernet ISR G2 Biuro średnie lub małe ISR G2 Cisco Prime 3G/4G/LTE Satelita Biuro mobilne 4

Aplikacje przenoszone do Data Center oraz chmury chmura Brzeg Internetowy przenosi się do biur zdalnych Biuro DC Chmura CIO spodziewa się, że będą operować w chmurze do 2015 Mobilność więcej danych mobilnych do 2015 Aplikacje ruchu mobilnego będzie ruchem Video 5

Efektywność kosztowa Koszt dostępu do Internetu vs. niezawodność, 1998-2012 46 % Organizacji planuje budowę (lub migrację) sieci WAN w oparciu o sieć Internet 1 Internet Transit Pricing based on surveys and informal data collection primarily from Internet Operations Forums street pricing estimates 2 Packet delivery based on 15 years of ping data from PingER for WORLD (global server sample) from EDU.STANFORD.SLAC in California Source: William Norton (DrPeering.net); Stanford ping end-to-end reporting (PingER) 6

Sieć nakładkowa MPLS (IP-VPN) Chmura prywatna Wirtualna chmura prywatna Branch Internet Direct Internet Access (DIA) Chmura publiczna Bezpieczny transport WAN dla dostępu do chmur prywatnych Lokalne wyjście dla dostępu do chmur publicznych i Internetu Efektywne kosztowo zwiększenie pojemności sieci WAN Optymalne działanie aplikacji (dynamiczny dobór łącz) 7

ü ü Podwójny MPLS Hybryda Podwójny Internet Internet Public Enterprise Public MPLS MPLS MPLS+ Internet Internet Branch Branch Branch ü Najwyższa gwarancja SLA Silna zależność od operatora ẋ Wysoki Koszt ü Więcej pasma dla kluczowych aplikacji ü Zbalansowany poziom SLA Średni Koszt ü Najlepszy współczynnik cena/wydajność ü Największa elastyczność Własna odpowiedzialność za SLA 8

Pojedynczy router Pojedyncza ścieżka Pojedynczy router Dwie ścieżki Dwa routery Dwie ścieżki Przestój w roku 4 godziny 23 minuty 99.95% MPLS Przestój w roku 24 minuty 99.998% Przestój w roku 5 minut 99.999% Przestój w roku 8 godzin 46 minut 99.90% Internet MPLS lub Internet MPLS lub Internet MPLS lub Internet MPLS lub Internet ISR -AX ISR-AX ISR-AX Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool. 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9

AVC MPLS 3G/4G-LTE ASR1000- AX Chmura prywatna Wirtualna chmura prywatna Oddział WAAS Akamai PfRv3 Internet Chmura publiczna Zarządzanie i orkiestracja Niezależność od transportu Inteligentna kontrola ścieżki Optymalizacja aplikacji Bezpieczeństwo informacji! Sieć nakładkowa (+IPSec)! Spójny model operacyjny! Optymalny routing aplikacji! Efektywne zużycie pasma! Monitorowanie aplikacji! Optymalizacja i caching! Szyfrowanie NG! Ochrona sieci DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW 10

11

ISR 4451-X Największy w rodzinie ISR 4431 & 4300 Rodzina w komplecie ISR G1 1800, 2800, 3800 Pierwsze routery wielousługowe ISR G2 800, 1900, 2900 & 3900 Lepiej, więcej, szybciej 2013 2014 Cisco 2600 Routing, routing... 2004 2009 Cisco 2500 1998 1993 Nie zapominając o 700, 1600, 1700, 4000/4500, 3600 i 3700 12

Ochrona inwestycji ISR 4451 1-2 Gbps ISR 4351 200-400 Mbps ISR 4431 500-1000 Mbps ISR 4321 50-100 Mbps ISR 4331 100-300 Mbps 13

Port 0 SFP Port 0 RJ45 Port 4 RJ45 Port 4 SFP COMBO COMBO ISR4451-X/K9, ISR4451-X-{SEC,V,VSEC,AX,AXV}/K9 Port 1 SFP COMBO Port 1 RJ45 Port 2 RJ45 COMBO Port 2 SFP ISR 4451 Architektura CPU Network Interface Modules Enhanced Service Modules Wbudowane porty 4C@2GHz CPU (control plane) 10C@1.3GHz CPU (data plane) 3 2 4 GE (każdy dual-phy RJ45 lub SFP) Wewnętrzny slot ISC 1 1 Gbps lub 2 Gbps wydajności Porty USB typu A 2 Zasilanie 2 wewnętrzne AC lub DC Następca 3900E ISR Pamięć RAM (control plane) Domyślnie 2GB + 2GB; maks. 16 GB 1600 MHz DIMMs 2 DIMM slots Port managementowy OOB 1 Gbps 14

Port 0 SFP Port 0 RJ45 Port 4 RJ45 Port 4 SFP COMBO COMBO Port 1 SFP Port 1 RJ45 Port 2 RJ45 Port 2 SFP COMBO COMBO ISR4431/K9, ISR4431-X-{SEC,V,VSEC,AX,AXV}/K9 Architektura CPU Network Interface Modules Enhanced Service Modules Wbudowane porty ISR 4431 4C@1GHz CPU (control plane) 6C@1.3GHz CPU (data plane) 3 BRAK 4 GE (każdy dual-phy RJ45 lub SFP) Wewnętrzny slot ISC 1 500 Mbps lub 1 Gbps wydajności Porty USB typu A 2 Zasilanie 2 wewnętrzne AC lub DC Następca ISR 3900 Pamięć RAM (control plane) Domyślnie 2GB+2GB; maks 16 GB 1600 MHz DIMMs 2 DIMM slots Port managementowy OOB 1 Gbps 15

Port 0 SFP Port 0 RJ45 COMBO ISR4351/K9, ISR4351-X-{SEC,V,VSEC,AX,AXV}/K9 Port 1 SFP COMBO Port 1 RJ45 Port 2 RJ45 COMBO Port 2 SFP ISR 4351 Architektura CPU Network Interface Modules Enhanced Service Modules Wbudowane porty 8C@2.4GHz (control and data plane) 3 2 3 GE (każdy dual-phy RJ45 lub SFP) Wewnętrzny slot ISC 1 200 Mbps lub 400 Mbps wydajności Porty USB typu A 2 Zasilanie 1 wewnętrzny AC lub DC Następca ISR 2951 Pamięć RAM (control plane) Domyślnie 2 GB + 2GB; maks 16 GB 1600 MHz DIMMs 2 DIMM slots Port managementowy OOB 1 Gbps 16

Port 0 SFP Port 0 RJ45 COMBO Port 1 SFP Port 2 RJ45 ISR4331/K9, ISR4331-X-{SEC,V,VSEC,AX,AXV}/K9 Architektura CPU ISR 4331 8C@2.0GHz (control and dataplane) Network Intf. Mod. 2 Enhanced Srv. Mod. 1 Wbudowane porty 1 GE dual-phy (SFP lub RJ45) 1 GE RJ45 1 GE SFP (może być Cu) Wewnętrzny slot ISC 1 100 Mbps lub 300 Mbps wydajności Porty USB typu A 1 Zasilanie 1 wewnętrzny AC Następca ISR 2911 i 2921 Pamięć RAM (control plane) Domyślnie 2 GB+2GB; maks 16 GB 1333 MHz DIMMs 2 DIMM slots Port managementowy OOB 1 Gbps 17

Port 0 RJ45 Port 1 SFP Port 1 RJ45 COMBO ISR4321/K9, ISR4331-X-{SEC,V,VSEC,AX,AXV}/K9 Architektura CPU Network Interface Modules Enhanced Service Modules Wbudowane porty ISR 4321 4C@2.4GHz (control and data plane) 2 BRAK 1 GE dual-phy (SFP lub RJ45) 1 GE RJ45 Wewnętrzny slot ISC 1 50 Mbps lub 100 Mbps wydajności Porty USB typu A 1 Zasilanie 1 zewnętrzny AC Następca ISR 1941 i 2901 Pamięć RAM (control plane) 4 GB wlutowane; maks 8 GB 1333 MHz DIMMs 1 DIMM Port managementowy OOB 1 Gbps 18

Wraz z wprowadzeniem reszty routerów serii 4K ISR 4451-X stracił X SKU zostało niezmienione i nadal ma X dla zachowania zgodności z istniejącymi zamówieniami i wycenami Suffix X jest regularnie usuwany z ulotek, ale platforma zostaje bez zmian 19

Interfejs managementowy Out-of-band bezpośrednio podłączony do Control Plane Wbudowane 1GE RJ45/SFP combo GE PoE+ na wybranych modelach i konfiguracjach Network Interface Modules Lepsze od EHWICów: Do 8 portów na moduł DSP bezpośrednio na modułach Opcjonalny dysk pod kontenery usługowe RAID 1 dla ochrony danych 2xSSD lub 1xHDD (roadmap) Internal Services Card Wewnętrzna karta Obecnie DSP dla CUBE a Porty USB 2 typu A na zewnętrzny storage USB typu B do podłączenia konsoli Enhanced Service Modules Wstecznie kompatybilny z Cisco ISR G2 Szyna 10Gbps do MGF Więcej mocy i lepsze chłodzenie 20

Redundante zasilacze, PoE na wbudowanych 1GE Przewagi 4400 Control/Service Plane fizycznie odseparowany od Data Plane na różnych procesorach Większa liczba kontenerów usługowych z uwagi na mocniejsze CPU Większe wydajności 21

Kontenery usługowe Control Plane (1 rdzeń) i Services Plane (3 rdzenie) IOSd Data Plane (6 lub 10 rdzeni) Wbudowane GE ISR-WAAS KVM - Hypervisor Service Plane (control plane CPU) Multigigabit Fabric NIM ISC SM-X 22

Rdzenie Data Plane IOSd Kontenery usługowe Wbudowane GE ISR-WAAS Multigigabit Fabric ISC SM-X KVM - Hypervisor Service Plane (control plane CPU) NIM Notka: 4321 ma 2xDP, 1xCP & 1x1SC rdzeni 23

Linux IO Complex Routing Complex (RP) Forwarding Complex (FP) Service Container Service Container IO Manager Chassis Manager Chassis Manager IOSd FMAN RP Chassis Manager FMAN FP CPP Client/Driver vwaas Firewall (WSE & IPS) Kernel UART/Flash/USB/filesystems Punt/Inject Modules System Hardware Feature Forwarding Processor (Data Plane) 24

ISR G2 ISR 4000 EHWIC NIM ISM ISC PVDM-3 PVDM-4 SM SM-X (not backward-compatible) SM-X SM-X (backward-compatible) 25

26

24xSPAs 78G Crypto 6M FW/NAT ESP 40-100-200 12xSPA 29G Crypto 6M FW/NAT ESP 10-100 200 Gbps FCS July CY2014 100 Gbps 40 Gbps 2x10G 1xNGWIC 1xSPA 8G Crypto ESP 5-20 3xSPAs, 4G Crypto, ESP 5-36 8xSPA 29G Crypto ESP 10-40 ASR1013 ASR1006 20 Gbps ASR1004 ASR1002-X ASR1001-X 27

System Management Auxiliary Port RJ45 Console Built-in I/O 2x10G 6x1G Multipoint MACsec support ( roadmap) Network Interface Modules SSD Drive ISR 4K Modules Mini Console 1x Mini USB Console Pay As You Grow 2.5G Default Upgradeable to 5G, 10G, and 20G Up to 8G Crypto Throughput Management/USB Ports 2x USB Ports RJ45 GE Ethernet Multi-Core Network Processor 31 Cores 4 Packet Processing Engines / Core 124 Threads are processed simultaneously Shared Port Adapter 1x SPA slot Control Plane Quad Cores each clocked at 2.0G Hz 8G DDR3 default shared memory 28

Platform ISR4451-X ASR1001 ASR1001-X ASR1002-X PAYG Bandwidth 1-2G 2.5-5G 2.5-20G 5-36G PPS Performance 1-2 Mbps 8Mpps 17 Mpps 30Mpps IPv4 Routes 500K (4G)/IM (8G/16G) 500K (4G)/1M (8G/16G) 1M (8G)/ 3.5M (16G) 500K (4G)/1M (8G)/ 3.5M (16G) Built-in I/O 4x1GE 4x1GE 6x1GE; 2x10GE 6x1GE Extensible I/O 3XNIM,2XSM 1x SPA 1x SPA, 1x NIM 3x SPA Encryption Throughput 1.4G (IMIX) 1G (IMIX) 5G (IMIX) 4G (IMIX) MACsec Point to Point N/A Point to Multipoint N/A ZB Firewall Sessions 500K (200K FW+K2) 250K 2M 2M NAT Sessions 500K 250K 2M 2M AVC 1G 5G 5G 18G CUBE(Ent) 8K 10K Subscribers 10K subscribers 10K subscribers BB N/A 10K subscribers 10K subscribers 29K subscribers MACsec Yes (128-bits only) N/A Yes N/A Suite-B Yes N/A Yes Yes High Availability No Yes Yes (Redundant IOS) Yes (Redundant IOS) Clocking Yes ( In Future) No Yes (SyncE) Yes (SyncE, GPS, BITS) TCAM Software 5Mb 10Mb 40Mb 29

30

ISR3900 2900 1900 800 ISR4xxx ASR1001-X ASR1002-X L4-L7 (aplikacje i usługi) Optymalizacja Widoczność Application experience wszystkie zaawansowane usługi w jednym urządzeniu ASR1000-AX Kontrola Bezpieczeństwo Wysoka dostępność Niezależność od transportu ISR-AX http://www.cisco.com/c/en/us/products/collateral/routers/3900-series-integrated-services-routers-isr/guide_c07-726864.html 31

Z licencji AppX+ Security IP Base AppX rozszerza i zastępuje licencję Data wraz z usługami aplikacyjnymi. Wszystkie funkcjonalności Data są nadal zachowane. Security AppX U.C. AppX zawiera wszystkie funkcje AVC dlatego umożliwia precyzyjnege oraz kompleksowe monitorowanie i zarządzanie ruchem aplikacyjnym. AppX zawiera licencję RTU dla WAAS I pozwala włączyć WAAS Express, WAAS SRE lub vwaas na UCS-E bez dodatkowych kosztów AppX zawiera maksymalną wielkość pamięci RAM AppX & Security zawarte są w zestawie ISR-AX 32

Widoczność i kontrola aplikacji (AVC) NBAR2, QoS, PfR Media Monitoring Performance Agent onepk Optymalizacja ruchu w sieci WAN (WAAS) Optymalizacja TCP Kompresja danych Eliminacja nadmiarowości danych DRE Akceleracja aplikacji m.in. SAP, Citrix, Exchange, HTTP(s) Bezpieczeństwo Szyfrowanie VPN Zapora Ogniowa IOS Wykrywanie intruzów (IPS) Cloud Web Security Uproszczone aktywności operacyjne i zarządzanie 33

Bezpośrednia integracja z IOS Karta usługowa SRE Serwer UCS jako moduł TFO, DRE, LZ Ograniczona akceleracja aplikacji Do kilkuset połączeń per router Pełna funkcjonalność WAAS Dostępne różne karty Do 1000 połączeń per karta Pełna funkcjonalność WAAS Dostępne różne karty Do 6000 połączeń per karta WAAS Express WAAS na SRE vwaas na UCS-E Licencja obejmuje rozwiązania WAAS działające na routerach 34

Lokalizacja z 40 użytkownikami oraz 10 Mbps ruchu potrzebuje redukcji pasma. Przewiduje się, że w przyszłości lokalizacja będzie rosła i docelowo będzie 4 razy większa. Dodatkowo w przyszłości mają pojawić się dodatkowe aplikacje, które będą korzystały z łącza WAN. Będą to: Oracle, SAP oraz Exchange. Rozwiązanie: ISR 3925-AX WAAS RTU do 2500 połączeń Dziś WAAS Express 400 połączeń LUB W przyszłości WAAS na SRE 1000 połączeń LUB W dalszej przyszłości WAAS na UCS-E 2500 połączeń 35

36

Funkcjonalność Standard IPSec GRE over IPSec DMVPN Typ Sieci Hub & Spoke mesh mała skala Hub & Spoke mesh mała skala Redundancja Failover Stateful Failover Routing Stateless Failover Hub & Spoke duża skala z dynamicznymi tunelami każdy-zkażdym Active/Active bazujące na dynamicznym routingu Kompatybilność Multivendor Multivendor Routery Cisco IP Multicast Brak wsparcia Wspierane Replikacja Multicast na hub QoS Wspierane Wspierane Per Tunnel QoS, Hub do Spoke Kontrola Polityki Zarządzane lokalnie Zarządzane lokalnie Zarządzane lokalnie Technologia Tunelowany VPN Tunele Punkt-Punkt IKEv1 Tunelowany VPN Tunele Punkt-Punkt IKEv1 Tunelowany VPN Tunel Multi-Point GRE IKEv1 Infrastruktura Sieciowa Transport Prywatny i Publiczny Transport Prywatny i Publiczny Transport Prywatny i Publiczny IPv6 37

Tradycyjnie IWAN Active/Standby Active/Active GETVPN/MPLS DMVPN/Internet Data Center ASR 1000 ASR 1000 Data Center ASR 1000 ASR 1000 DMVPN ISP A SP V ISP A SP V Dwie domeny rutingowe MPLS: ebgp lub Static Internet: ibgp, EIGRP lub OSPF Redystrybucja Ryzyko pętli DMVPN Internet GETVPN MPLS DMVPN Internet DMVPN MPLS Jedna domena rutingowa ibgp, EIGRP, lub OSPF ISR-G2 Branch ISR-G2 Branch 38

AVC PfR QoS Wybór ścieżki Overlay Routing Protocol (BGP, EIGRP) Routing klasyczny Transport Independent Design (DMVPN) Sieć nakładkowa MPLS Internet ZBFW CWS Warstwa transportowa 39

DMVPN czyli rozwiązanie działające w oparciu o Cisco IOS stworzone do budowania tuneli IPSec+GRE w prosty, dynamiczny i skalowalny sposób VPN Hub Spoke n Redukcja konfiguracji i wdrożenie bezdotykowe Spoke 1 Dynamiczne tunele typu spoke-to-spoke dla częściowej/pełnej topologii typu mesh Może być użyte bez szyfrowania IPSec (opcjonalnie) Różnorodność opcji i rozwiązań Spoke 2 Tunele dynamiczne Tunele statyczne Statyczny adres IP Dynamiczny adres IP 40

Spoke-to-hub tunnels Spoke-to-spoke tunnels 2547oDMVPN tunnels IWAN 1.0 Supported IWAN 1.0 Tested IWAN 2.0 Supported Hub and spoke (Phase 1) Spoke-to-spoke (Phase 2) VRF-lite IWAN 2.0 Supported Server Load Balancing Hierarchical (Phase 3) 2547oDMVPN 41

Statyczna klasyfikacja po porcie nie wystarcza Wzrost ruchu szyfrowanego oraz aplikacji ukrywających się Trzeba patrzeć głębiej w pakiet Potrzebne zaawansowanych mechanizmów Sesje mogą składać się z wielu różnych komponentów (Video, Voice, Data) Rozpowszechnianie się ruchu IPv6 42

PerfMon ISR G2 FNF ISR G2 ASR1K ISR G2 ASR1K FNFv9 App BW Transaction Time WebEx 3 Mb 150 ms Citrix 10 Mb 500 ms ASR1K Narzędzia do raportowania Rozpoznanie aplikacji Reporting Tool Zbieranie informacji o ruchu oraz jej eksport Narzędzie do zarządzania Kontrola Identyfikacja aplikacji z wykorzystaniem informacji z wartsw L3 do L7 Zbieranie informacji o wydajności, wykorzystaniu pasma oraz eksport do narzędzi do zarządzania Zaawansowane narzędzie agregujące informacje oraz raportujące wydajność aplikacji Wykorzystanie QoS oraz PfR by kontrolować wykorzystanie sieci i zwiększać wydajność aplikacji 43

PerfMon ISR G2 FNF ISR G2 ASR1K ISR G2 ASR1K FNFv9 App BW Transaction Time WebEx 3 Mb 150 ms Citrix 10 Mb 500 ms ASR1K Narzędzia do raportowania Rozpoznanie aplikacji Reporting Tool Zbieranie informacji o ruchu oraz jej eksport Narzędzie do zarządzania Kontrola NBAR2 (Implicit) Metadata (Expilicit) Netflow + NBAR2: Performance Agent Media Monitoring Cisco Prime Infrastructure Narzędzia firm trzecich QoS PfR 44

Nagłówki L2 Nagłówek IP Nagłówki TCP/ UDP Interface ToS Protocol Source IP Address Destination IP Address Source Port Destination Port NetFlow NetFlow ü Monitoruje od L2 do L4 ü Określa aplikację tylko na bazie L3 i L4 NBAR2 ü Bada dane od L3 do L7 ü L3, L4 + Deep Packet Inspection ü Stateful inspection of dynamic-port traffic Payload Deep Packet (Payload) Inspection NBAR2 45

NetFlow v9 Export IPFIX Export NetFlow v9 Export IPFIX Export Exporting Exporting Exporting Exporting Provisioning Provisioning Provisioning Provisioning Collecting Collecting Collecting Collecting Collecting Collecting Flexible NetFlow (FNF) App Usage Top Talker PerfMon Voice/Video Perf Metryki porozrzucane po FNF, PerfMon i PA Oddzielne konfiguracja W klasycznych IOS starszych niż 15.4(1)T Performance Agent (PA) App Response Time Traffic Stats Records App Usage Top Talker Media Records Voice/Video Perf Performance Monitor, aka Unified Monitor Wszystkie metryki w jednym miejscu Wspólna i schludna konfiguracja Wykorzystywany w IOS XE W klasycznym IOS od 15.4(1)T ART Records App Response Time 46

Monitorowanie portów Monitorowanie aplikacji bi2orrent rtp nieznana? h2p? gtalk skype webex ne4lix 47

Optymalizacja za pomocą parametrów: Reachability, Loss, Delay, Jitter, MOS, Throughput, Load, and/or $Cost ISP1 ISP2 WAN Oddział Internet WAN1 (IPVPN) MC/BR BR BR Oddział MC MC BR MC/BR Centrala Pełne wykorzystanie kosztownego pasma WAN Efektywna dystrybucja ruchu w oparciu o obciążenie, koszt $ oraz preferencje Zwiększona wydajność aplikacji WAN2 (IPVPN, DMVPN) Wybranie odpowiedniej trasy dla aplikacji w oparciu o opóźnienie, straty, jitter BR BR MC/BR Oddział Zwiększona dostępność aplikacji Zabezpieczenie przed awariami u operatora 48

Routing klasyczny PfR Kontrola ścieżki Wiedza o topologii Wybierany najniższy koszt Statyczne preferencje Świadomość aplikacji Definicja polityki Dyanmiczne pomiary Metryka Koszt ściezki Stan interfejsu + Opóźnienie Jitter Zużycie pasma Utrata pakietów Reakcja, gdy Zmienia się stan węzła lub linku (up/down) Następuje pogorszenie parametrów łącza (TCA) 49

IWAN hybrydowy IWAN dwu-internetowy Ruch biznesowy Głos i wideo VDI Pozostały ruch (best-effort) SP1 (MPLS) ISP (Internet) Pozostały ruch (best-effort) ISP-1 (Cable) ISP-2 (DSL) Ochrona aplikacji biznesowych Ochrona ruchu audio-wideo Ochrona przed utratą pakietów Loss < 5% Preferowana ścieżka: SP1 (MPLS) Optymalne wykorzystanie pasma WAN poprzez odpowiednie do obciążenia łącz rozkładanie ruchu dla pozostałych aplikacji Ochrona przed jitter i opóźnieniami Latency < 150 ms Jitter < 20 ms Ochrona ruchu VDI przed utratą pakietów Loss < 5% Optymalne wykorzystanie pasma WAN poprzez odpowiednie do obciążenia łącz rozkładanie ruchu dla pozostałych aplikacji 50

Utrata pakietów większa niż 10% IWAN hybrydowy Jitter większy niż 20ms IWAN dwu-internetowy Ruch biznesowy Głos i wideo VDI Pozostały ruch (best-effort) SP1 (MPLS) ISP (Internet) Pozostały ruch (best-effort) ISP-1 (Cable) ISP-2 (DSL) Ochrona aplikacji biznesowych Multimedia and Critical Data Policy Ochrona przed utratą pakietów Loss < 5% Preferowana ścieżka: SP1 (MPLS) Optymalne wykorzystanie pasma WAN poprzez odpowiednie do obciążenia łącz rozkładanie ruchu dla pozostałych aplikacji Ochrona przed jitter i opóźnieniami Latency < 150 ms Jitter < 20 ms Ochrona ruchu VDI przed utratą pakietów Loss < 5% Optymalne wykorzystanie pasma WAN poprzez odpowiednie do obciążenia łącz rozkładanie ruchu dla pozostałych aplikacji 51

PfRv3 PfR/OER PfRv2 Prostsza konfiguracja Centralne zarządzanie oraz konfiguracja Wykorzystanie AVC Styk z Internetem Proste polityki CLI per lokalizacja per polityka Świadomość aplikacji Blackout ~6s Brownout ~9s Do 500 lokalizacji Świadomość VRF Blackout ~ 2s Brownout ~ 2s Do 2000 lokalizacji Tysiące linii CLI Dziesiątki linii CLI per urządzenia Dziesiątki linii CLI tylko na Hub 52

Koncepcja domeny Nauka klas ruchu Pasywne monitorowanie Tzw. smart probing Zdalne pomiary Dystrybucja polityk i konfiguracji Unified Performance Monitor Automatyczne wykrywanie środowiska, centralizacja konfiguracji/zarządzania Wykrywanie aplikacji w oparciu o NBAR2 lub DSCP Automatyczna konfiguracja Unified Performance Monitor dla wykrytych klas Monitorowanie rzeczywistego ruchu aplikacyjnego Wykorzystanie Unified Performance Monitor (AVC) Wykrywanie topologii w oparciu o Smart Probes Automatyczne, aktywne próbkowanie dla ścieżek bez ruchu produkcyjnego Pomiary parametrów dla klas ruchu na wejściu w zdalnych lokalizacjach Informacja zwrotna wysyłana do MC w lokalizacji źródłowej 53

WAAS Appliance Akceleracja Aplikacji Wirtualne serwry Duża skalowalność WAAS wirtualny (vwaas) Akceleracja Aplikacji w chmurze Prywatnej/ Wirtualnej Prywatnej VMWare ESX/ESXi na UCS Szybkie i elastyczne wdrożenie dla multi-tenant vcm: zarządzanie wirtualne WAAS Express (WAASX) Integracja w ISR G2 Na żądanie na IOS Optymalizacja pasma Zgodność z funkcjami IOS (Security, QoS) Niski koszt, CLI WAAS Service Ready Engine/UCS-E Integracja w ISR G2 Akceleracja Aplikacji Instalacja na żądanie 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54

Utylizacja pasma 2 3 WAAS TFO 1 Standardowe TCP Time (RTT) LZ WAN LZ DRE DRE Synchronizacja 55

Sygnatury W pamięci Zachowywane po restarcie Zsynchronizowane email VDI Video Oddział 1 Sygnatury Video signature1 VDI signature1 email signature1 Sygnatury Oddział 2 Video signature2 email signature2 Video signature1 Oddział 1 VDI signature1 email signature1 email VDI Video email Video LZ Oddział 2 LZ Signatures DRE DRE Video signature2 email signature2 WAN Dane DRE LZ CPD Na dysku Zsynchronizowane dla ruchu transakcyjnego Ruch Transakcyjny Ruch Jednokierunkowy 56

Redukcja Czasu Odpowiedzi Aplikacje Protokoły Redukcja typowa Redukcja maksymalna File Sharing CIFS, NFS 20% 50% 99% Wyzwania Email Exchange, OWA, Lotus Notes 90% Gadatliwe Protokoły Wysokie opóźnienia Challenges WAN, Wysokie Straty Pakietów, Niskie Pasmo... Web Apps SoIware DistribuJon HTTP, HTTPS System Center, Config. Manager 80% 95% Rozwiązania Read-Ahead Zapis asynchroniczny DRE hints Challenges Meta-data caching App aware DRE Enterprise ApplicaJon Backup Apps Data ReplicaJon VDI MicrosoI, Oracle, SAP System Center Data ProtecJon Manager Legato, Veritas NetApp SnapMirror Data Domain, Double Take, Veritas Vol Replicator MicrosoI RDP, Citrix ICA VMWare View RDP 75% 85% 90% 99% Video Live Video Video on Demand 90% Szeroki zakres wspieranych Aplikacji W pełni zaakceptowany i wspierany przez producentów aplikacji 57

Intranet HTTP AKAMAI CACHING AND ACCELERATION Internet HTTP Akamai Connected Cache Content Pre-positioning LZ Kompresja Optymalizacja TCP CISCO WAAS De-duplikacja danych Silniki akceleracji aplikacji Internet 58

59

IWAN zdecydowanie NIE jest Groźny J IWAN zapewnia: Bezpieczny i optymalny transport aplikacji Kontrolę nad wykorzystaniem pasma i zasobów Szereg mechanizmów monitorowania ruchu aplikacyjnego Ochronę użytkowników sieci oraz danych przed zagrożeniami IWAN obejmuje szereg technologii: DMVPN, PfR, AVC, ZBF, CWS, WAAS, Akamai, i dużo więcej IWAN = ISR G2 i/lub ISR4xxx i/lub ASR1k + Licencja AX 60

Dziękuję J Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres