Современная WAN сеть · Viptela SD-WAN –Сценарии применения 2017 Cisco and/or its affiliates. All rightsdreserved. l Cisco Confidential Critical

Скворчевский Андрей, [email protected]Системный инженер, CCIE #2907116 июня 2020 года

Выбор архитектуры и платформы

Современная WAN сеть

Online

© 2020 Cisco and/or its affiliates. All rights reserved.

Повестка дня

• Эволюция WAN технологий

• DMVPN

• Преимущества SD-WAN архитектуры

• Выбор платформы SD-WAN

• Meraki SD-WAN

• Viptela SD-WAN


Эволюция WAN технологий

1960

1970

1980

1990

2000

2010

Future

Internet Protocol

ARPAnet

TCP/IP

BGP

RIP

OSPF, ISDN, ATM

X.25 Frame-Relay

Tag Switching

IPv6

SDWAN

Metro-Ethernet

GRE

DMVPN

4G/LTE

GETVPN

NFV


Может DMVPN?Олдскульная классика


Что такое Dynamic Multipoint VPN (DMVPN)?

Использует две проверенные временем технологии:

• Next Hop Resolution Protocol (NHRP)

• Создает базу данных для привязки адреса VPN (внутри туннеля) к адресу внешнего интерфейса

• Multipoint GRE Tunnel Interface (mGRE)

• Один GRE интерфейс для терминирования нескольких GRE туннелей

• Упрощает конфигурацию

• Поддерживает динамическое создание туннелей

DMVPN – это решение на базе Cisco IOSдля легкого построения динамически

изменяющейся масштабируемой VPN сети с использованием функционала IPsec+GRE


Как работает DMVPN

• Spoke строят постоянные GRE/IPsec туннели к Hub, регистрируются как клиенты на NHRP сервере (Hub)

• Когда Spoke отправляет пакет в сеть другого Spoke, он запрашивает его внешний адрес у NHRP сервера

• После получения адреса Spoke строит динамический GRE/IPsec туннель к другому Spoke

• Динамический spoke-to-spoke туннель использует интерфейс mGRE

• Когда передача трафика завершена, туннель spoke-to-spoke удаляется


Схема работы DMVPN

Dynamic Spoke-to-spoke tunnels

Spoke A

Spoke B

192.168.2.0/24

.1

192.168.1.0/24

.1

192.168.0.0/24

.1

. . .

Physical: 172.17.0.1

Tunnel0: 10.0.0.1

Physical: dynamic

Tunnel0: 10.0.0.11

Physical: dynamic

Tunnel0: 10.0.0.12

Static Spoke-to-hub tunnels

Static known

IP address

Dynamicunknown

IP addresses


DMVPN – Масштабирование и сценарии


DMVPN – Сегментация


Выбор DMVPN и сохранение инвестиций

ASR 1000

• Hardware and software redundancy

• High-performance service with hardware assist

ISR 4000

• WAN and voice module flexibility

• Compute with UCS E

• Integrated Security stack

• WAN Optimization

ISR 1000

• Integrated wired and wireless access

• PoE/PoE+

Branch Aggregation

ISR 900

• Fixed and fanless

• IOS Classic based

SD

-W

AN

read

y

• Fixed Chassis


Или все же SD-WAN?Преимущества новой архитектуры


Сети филиалов меняются

Data Center

Multi-Cloud

SaaS

Internet

SAAS

BranchWAN

UsersDevicesThings

INET

MPLS

Users Internet

MPLS

Branch WANData Center


Пропускная способность каналов растет

Скорость ШПДвыросла

за 5 лет

2x2020

2021

2019

20182017

20162015

2014

50 Mbps

25 Mbps

Cisco 12th annual Mobile VNI Forecast


Уход от MPLS и сокращение затрат

RE

DU

CIN

G C

OS

T

[Source: Network World, Next-Generation Enterprise WANs, 2012]


Что такое SD-WAN?

Согласно Gartner SD-WAN – это WAN сеть, отвечающая следующим требованиям:

• способна использовать любой WAN транспорт в любых сочетаниях

• обеспечивает динамический выбор пути трафика, определяемый политиками с привязкой к приложениям

• поддерживает включение дополнительных сервисов (оптимизация, файрволл) на пути следования трафика


Точно SD-WAN!Выбор платформы


Платформы SD-WAN

SD-WAN

Powered By

Полное управление всей сетью филиалов

с минимумом ИТ ресурсов

Гибкая конфигурация, произвольные топологии,

сегментация и расширенная безопасность

ViptelaPowered By


Auto VPNCapability

Central Management

Zero TouchDeployment

Visibility &Reporting

Public CloudServices

Rock SolidSecurity

Meraki InsightAPP & WAN Health

Meraki SD-WAN Надстройка для существующей цельной архитектуры


x 2 WAN Ports

3G / 4G / LTE as a single WAN or failover

HA Pair ModeMeraki MX – устройство все-в-одном

Meraki MX – основа Meraki SD-WAN

Meraki SD-WAN


Viptela SD-WAN – Архитектура

APIs

3rd PartyAutomation

vManage

4GMPLS

INET

Data Center CoLo Campus BranchCloud

WAN Edge

• SDN Architecture

• Routing and Security Distribution

• Horizontal Scale, Low Complexity

Control Plane

Data Plane

• Physical of Virtual

• Zero Touch Provisioning

• On-Premise or Cloud

vAnalytics• Single pane of glass

• Monitoring and Troubleshooting

• RBAC and APIs

Management Plane Analytics

• Machine Learning

• Carrier Performance

• Bandwidth Forecasting

vSmart Controllers

MultiCloudOnRamp

ApplicationQoE

Security(+Cloud)


Расширенные возможности SD-WAN

Circuit Load Balancing

Direct Internet Access

Centralized Management & Orchestration

Circuit Cost Savings

Basic SD-WAN*

Extended WAN capabilities

App Aware Dynamic Routing

Security & Segmentation

Voice Optimization

SaaS/IaaS Optimization

Open and Programmable

Multi-Tenant/ Multi-Domain

Analytics & Visibility

• Circuit Load Balancing

• Direct Internet Access

• Centralized Management & Orchestration

• Circuit Cost Savings

Required basic WAN capabilities

Multi-layered Security

Application Optimization

Enterprise Scale


Viptela SD-WAN – Сценарии применения

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Critical Applications SLA

Path1: 10ms, 0% loss, 5ms jitter



App Aware Routing PolicyApp A path must have:

Latency ≤ 150ms

Loss ≤ 2%

Jitter ≤ 10ms

Internet

MPLS

4G LTE

vManage

SDWAN Tunnel

Remote Site

Data CenterPath 2

• Each vEdge router

continuously monitors path

performance and adjusts

forwarding

• Configurable probing

intervals

App A

SDWAN Fabric© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Bandwidth Augmentation

Traffic Engineering Policy

(data policy)App A - > MPLS TLOC

App B - > Internet TLOC

Internet

MPLS

vManage

Remote Site

Data Center

App A - > MPLS TLOC

App B - > Internet TLOC

• Augment MPLS with

Internet bandwidth

• Create traffic engineering

policy to steer application

traffic- Active/Active if no policy

A

B

SDWAN Tunnel SDWAN Fabric© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Secure Segmentation

Configuration TemplatesAssign interfaces and sub-

interfaces to respective VPNs

vManage

Remote Site 1 Data Center

Remote Site 2

Internet

MPLS

ge0/2 - > VPN1

ge0/3.2 - > VPN2

ge0/3.3 - > VPN3

ge0/2.1 - > VPN1

ge0/3.2 - > VPN2

ge0/2.1 - > VPN1

ge0/2.2 - > VPN2

ge0/2.3 - > VPN3

• Complete isolation in the control

and data plane

• Not all VPNs have to be present

everywhere

• Policies are VPN- aware

VPN1

VPN2

VPN1

VPN2

VPN3

VPN1

VPN2

VPN3

SDWAN Tunnel SDWAN Fabric

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Regional Secure Perimeter

Service Insertion Policy

(control policy)App A - > Route

App B - > FW Service

Internet

MPLS

vManage

Remote Site

Data Center

Regional

HubFW Service

A

B

Regional

Firewall

App A - > NH DC, LBL VPN1

App B - > NH RegHub, LBL FW

(OMP)

App A - > NH Remote Site, LBL VPN1

App B - > NH RegHub, LBL FW

(OMP)

• Firewall service is advertised into the

VPN of choice from regional hub

• Control (or data) policy is used to

steer the traffic of interest from

remote site through Firewall

SDWAN Tunnel

SDWAN Fabric© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Guest WiFi

Guest WiFi

(data policy)App A - > DIA

Internet

MPLS

vManage

Remote Site

Data Center

App A - > DIA

DIAVPN1

VPN2

A

VPN2

• Guest WiFi traffic is segmented

off. Guest WiFi VPN is not

carried over the fabric.

• Support both simple DIA and DIA

through Cloud Security

Internet

SDWAN Tunnel SDWAN Fabric


Critical Applications SLA

Sender Receiver

1 2

3 4

5 6

7 8

XOR

1 2

3 4

P

XOR

1 2

3

4P

FEC HeaderSD- WAN Tunnel

• Protects against packet loss

• Protocol (TCP/UDP) agnostic• Supports multiple transports

• Can be invoked dynamically

Forward Error Correction (FEC)

1 2

3 4

SD- WAN Tunnel

SD- WAN Tunnel

Sender Receiver1

1

2

2

3

3

4

4

DD

DD

1 2

3 4

• Protects against packet loss

• Protocol (TCP/UDP) agnostic• Operates over multiple transports

Packet Duplication

Application AwareRouting


Простота управления и автоматизации

REST NETCONF Syslog Flow ExportSNMP CLI Linux Shell

Power Tools

Единая консоль управления Детальная аналитика


Критерии выбора платформы

Cisco Meraki Cisco Viptela

Полное управление всей сетевой инфраструктурой из одной консоли

Существующая инфраструктура Meraki

Расширенные средства обеспечения безопасности

Существующая инфраструктура ISR1k / ISR4k / ASR1k

Сложные топологии, несколько оверлейных сетей, кросс-доменная архитектура

Ограниченные ИТ ресурсы

Только облачная система управления

Облачная или локальная система управления


Сравнение функционалаSD-WAN Core (Meraki) SD-WAN Premium (Viptela)

Overlay

• Basic 2-link overlay with LTE backup • Ethernet + LTE backup • Hub and spoke, full mesh, partial mesh• Cloud management• Basic BGP • Platforms for on-prem & cloud

• Overlay with 3+ links and LTE active-active • Ethernet + LTE active + T1 / E1 / DSL • Hub and spoke, full mesh, partial mesh with multiple VPNs • Cloud or on-prem management• Full Routing: BGP, OSPF, VRRP, IPv6, Multicast • Platforms for on-prem, cloud and virtual• TCP Optimization, WAN Acceleration and WAN Optimization

Cloud

• DIA + Security • Virtual platforms for AWS and Azure

• DIA + Security + Real time SaaS Optimizations • Virtual platforms for AWS, Azure and GCP• Mapping for VPCs/VNets to WAN segments

Security

• Enterprise firewall (1400+ apps) • IPS, URL filtering, Cloud security with Umbrella

• Enterprise firewall (1400+ apps) • IPS, URL filtering, Cloud security with Umbrella• Segmentation for isolation of business partners, line of business, PoS, IoT,

M&A and Guest Wireless

Shared CapabilitiesScalable to 10,000+ locations

Zero-touch deployment, templated configurations, centralized management


Meraki SD-WANБазовый функционал SD-WAN


Облачное out-of-band управление

Масштабируемое решение• Канал управления не является узким местом• Добавление новых сайтов и новых устройств за минуты

Надежное решение• Отказоустойчивое облако управления на базе нескольких

датацентров (доступность 99.99%)• Нормальная передача пользовательского трафика даже

при отсутствии связи с облаком Meraki

Безопасное решение• Никакой пользовательский трафик не уходит в облако

управления Meraki• Сети на базе Meraki успешно проходят аудит

на соответствие PCI и HIPAA• Постоянное обновление программного обеспечения

(по расписанию администратора)

Reliability and security information at meraki.cisco.com/trust

http://meraki.cisco.com/trust


Dual Active VPNLayer 3 IPsec туннели

Policy Based RoutingПо критериям: протокол, порт, IP адреса, конкретное приложение

Dynamic Path SelectionВыбор оптимального туннеля по его

характеристикам

Формирование пути трафика


Расширение WAN сети в публичное облако

• Для развертывания в облаке AWS или Microsoft Azure используется виртуальный MX (vMX)

• С точки зрения управления и конфигурации vMX ничем не отличается от аппаратного MX

• Пропускная способность VPN до 500 Мбит/с


Мониторинг VPN соединений (~Real-time)

Security & SD-WAN > VPN Status> Specific peer


Настройка AutoVPN

Любое MXустройство

(Hub или Spoke)


Выбор аплинка в зависимости от приложения

• Выбор из существующего перечня приложений (L7)

• Создание своего правила (L4)


Application Aware Routing (1)

1. Определяются параметры SLA

2. Выбираются приложения из списка


Application Aware Routing (2)

3. Выбирается предпочтительный аплинк и условия переключения на другой аплинк


HA (Active/Standby, Warm Spare)На основе VRRP


Безопасность: интеграция и взаимодействие

Meraki Interoperability

Meraki Integrations

Cisco ISE

Meraki MX


Network Assurance

Web App Health

WAN Health

VoIP Health


Viptela SD-WANМаксимальный функционал SD-WAN


Viptela SD-WAN – Общая архитектура

Data Center Campus Branch SOHO

4G/LTE

MPLS

Internet

Control Plane = vSmart(Containers or VMs)

Data Plane = WAN Edge(vEdge, Cisco ISR/ASR/ENCS)

Management = vManage(Multi-tenant or Dedicated)

Orchestration = vBond

vManage

vSmart

WAN Edge

Orchestrator ZTP/PnP

APIs

Cloud

vAnalytics


Как устроен Control Plane

• Overlay Management Protocol (OMP)

• Расширяемый control plane протокол на базе TCP

• Работает между WAN Edge устройствами иvSmart контроллерами, а также между vSmartконтроллерами- Внутри защищенного TLS/DTLS соединения

• Анонсирует контекст и политики control plane

• Радикально сокращает сложность control plane и увеличивает масштабируемость решения

vSmart vSmart

vSmart

WAN Edge WAN Edge


Создание Data Plane

OMP IPSec Tunnel

WAN Edge

WAN EdgeWAN Edge

WAN Edge

WAN Edge

vSmart

Local Routes- SD-WAN tunnel endpoints (TLOCs)- Local prefixes (OSPF/BGP)- Network service routes

Security Context- IPSec Encryption Keys

Routes and encryption keys are advertised to vSmarts in

OMP updates

vSmarts advertise routes and encryption keys to WAN Edges in OMP updates

INETMPLS

Transport Locator (TLOC)

SD-WAN fabric between tunnel

endpoints

IPsec

IPsec

IPsec

Fabric Routing:<prefix> via


vManage

vSmart WAN Edge

Local Control Policy(OSPF/BGP)

Local Data Policy(QoS/Mirror/ACL)

Centralized Control Policy(Fabric Routing)

Centralized Data Policy(Fabric Data Plane)

Centralized App-Aware Policy(Application SLA)

Centralized Data Policy(Fabric Data Plane)

Centralized App-Aware Policy(Application SLA)

CentralizedPolicies

LocalizedPolicies

NETCONF/YANG

OMP

Политики – основной элемент управления


Feature Template Components and Sources

Шаблоны – основной способ конфигурации

FeatureTemplate

FeatureTemplate

FeatureTemplate

FeatureTemplate

Device Template - Aggregate Configuration Template Dedicated or Shared Feature Templates

AppQoE - (AppNav)Templates / Feature Template / Other Templates / AppQoE

BannerTemplates / Feature Template / Other Templates / Banner

Policy - Local Policy (QoS, ACL, Policer, Mirror)Policies / Localized Policy

SNMPTemplates / Feature Template / Other Templates / SNMP

Security PolicySecurity


Сегментация и оверлейные сети

▪ Security Zoning

▪ Compliance

▪ Guest Wi-Fi

▪ Multi-Tenancy

▪ Extranet

Full-Mesh Hub-and-Spoke Any Topology

Per-VPN Topology

WAN EdgeVPN 3

VPN 1

VPN 2SD-WAN

IPSecTunnel

WAN Edge


IOS XE SD-WAN и Viptela OSОтличия в функционале


IOS XE Feature Invocation Array

Scheduler and Interface Buffers

IOS Control Plane

IOS XE Feature Invocation Array

Scheduler and Interface Buffers

Netconf Yang APIs

NetConf Yang

IOS

XE P

latf

orm

IOS

XE P

latf

orm

cEDGE

IOS XESD-WAN

IOS XE

vManage

vSmarts

CLI

ZTPApp Route PolicyQoSCloud Onramp – IAASSegmentationBFD PMTUTLOC ExtensionBGP & OSPFOMP

NBAR2Zone Based FirewallUmbrella

Как это реализовано на IOS XE


Функции обеспечения безопасности

Viptela OS IOS XE

Firewall

App aware FW

IPS

Firewall

URLf

Umbrella

App aware FW *

Umbrella

* QOSMOS

AMP TG

Local to Edge device

Cloud delivered DNS, Firewall, Web and File Security


Общее сравнение

Viptela OS

vEdge series & ISR1100-4G/6G

• Максимальная стабильность

• Поддержка полного SD-WAN функционала

• Базовый функционал безопасности

• Нет поддержки контейнеров

• Новые устройства Cisco ISR1100-4G,ISR1100-4GLTE, ISR1100-6G

• vEdge Cloud хорошо масштабируется

IOS XE SD-WAN

ISR1k/4k & ASR1k Fixed

• Модульная архитектура

• Поддержка дополнительных сервисов (в том числе голосовых)

• Расширенный функционал безопасности

• Поддержка контейнеров

• Использование ранее приобретенных ISR1k / ISR4k / ASR1k маршрутизаторов

• Cisco CSR1000v масштабируется лучше


Заключение


Итог

• DMVPN

• Стабильное и проверенное временем решение

• Оптимально для простых WAN топологий

• Meraki SD-WAN

• Базовый функционал SD-WAN с облачным управлением

• Простое управление всей сетевой инфраструктурой из одной консоли для

компаний с ограниченными ИТ ресурсами

• Viptela SD-WAN

• Максимально гибкое решение для WAN сети любой сложности и масштаба

• Расширенный функционал и возможность кросс-доменной интеграции

Online16 июня 2020 года

Documents

Современная WAN сеть · Viptela SD-WAN –Сценарии применения 2017 Cisco and/or its affiliates. All rightsdreserved. l Cisco Confidential Critical