Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Скворчевский Андрей, [email protected]Системный инженер, CCIE #2907116 июня 2020 года
Выбор архитектуры и платформы
Современная WAN сеть
Online
© 2020 Cisco and/or its affiliates. All rights reserved.
Повестка дня
• Эволюция WAN технологий
• DMVPN
• Преимущества SD-WAN архитектуры
• Выбор платформы SD-WAN
• Meraki SD-WAN
• Viptela SD-WAN
© 2020 Cisco and/or its affiliates. All rights reserved.
Эволюция WAN технологий
1960
1970
1980
1990
2000
2010
Future
Internet Protocol
ARPAnet
TCP/IP
BGP
RIP
OSPF, ISDN, ATM
X.25 Frame-Relay
Tag Switching
IPv6
SDWAN
Metro-Ethernet
GRE
DMVPN
4G/LTE
GETVPN
NFV
© 2020 Cisco and/or its affiliates. All rights reserved.
Может DMVPN?Олдскульная классика
© 2020 Cisco and/or its affiliates. All rights reserved.
Что такое Dynamic Multipoint VPN (DMVPN)?
Использует две проверенные временем технологии:
• Next Hop Resolution Protocol (NHRP)
• Создает базу данных для привязки адреса VPN (внутри туннеля) к адресу внешнего интерфейса
• Multipoint GRE Tunnel Interface (mGRE)
• Один GRE интерфейс для терминирования нескольких GRE туннелей
• Упрощает конфигурацию
• Поддерживает динамическое создание туннелей
DMVPN – это решение на базе Cisco IOSдля легкого построения динамически
изменяющейся масштабируемой VPN сети с использованием функционала IPsec+GRE
© 2020 Cisco and/or its affiliates. All rights reserved.
Как работает DMVPN
• Spoke строят постоянные GRE/IPsec туннели к Hub, регистрируются как клиенты на NHRP сервере (Hub)
• Когда Spoke отправляет пакет в сеть другого Spoke, он запрашивает его внешний адрес у NHRP сервера
• После получения адреса Spoke строит динамический GRE/IPsec туннель к другому Spoke
• Динамический spoke-to-spoke туннель использует интерфейс mGRE
• Когда передача трафика завершена, туннель spoke-to-spoke удаляется
© 2020 Cisco and/or its affiliates. All rights reserved.
Схема работы DMVPN
Dynamic Spoke-to-spoke tunnels
Spoke A
Spoke B
192.168.2.0/24
.1
192.168.1.0/24
.1
192.168.0.0/24
.1
. . .
Physical: 172.17.0.1
Tunnel0: 10.0.0.1
Physical: dynamic
Tunnel0: 10.0.0.11
Physical: dynamic
Tunnel0: 10.0.0.12
Static Spoke-to-hub tunnels
Static known
IP address
Dynamicunknown
IP addresses
© 2020 Cisco and/or its affiliates. All rights reserved.
DMVPN – Масштабирование и сценарии
© 2020 Cisco and/or its affiliates. All rights reserved.
DMVPN – Сегментация
© 2020 Cisco and/or its affiliates. All rights reserved.
Выбор DMVPN и сохранение инвестиций
ASR 1000
• Hardware and software redundancy
• High-performance service with hardware assist
ISR 4000
• WAN and voice module flexibility
• Compute with UCS E
• Integrated Security stack
• WAN Optimization
ISR 1000
• Integrated wired and wireless access
• PoE/PoE+
Branch Aggregation
ISR 900
• Fixed and fanless
• IOS Classic based
SD
-W
AN
read
y
• Fixed Chassis
© 2020 Cisco and/or its affiliates. All rights reserved.
Или все же SD-WAN?Преимущества новой архитектуры
© 2020 Cisco and/or its affiliates. All rights reserved.
Сети филиалов меняются
Data Center
Multi-Cloud
SaaS
Internet
SAAS
BranchWAN
UsersDevicesThings
INET
MPLS
Users Internet
MPLS
Branch WANData Center
© 2020 Cisco and/or its affiliates. All rights reserved.
Пропускная способность каналов растет
Скорость ШПДвыросла
за 5 лет
2x2020
2021
2019
20182017
20162015
2014
50 Mbps
25 Mbps
Cisco 12th annual Mobile VNI Forecast
© 2020 Cisco and/or its affiliates. All rights reserved.
Уход от MPLS и сокращение затрат
RE
DU
CIN
G C
OS
T
[Source: Network World, Next-Generation Enterprise WANs, 2012]
© 2020 Cisco and/or its affiliates. All rights reserved.
Что такое SD-WAN?
Согласно Gartner SD-WAN – это WAN сеть, отвечающая следующим требованиям:
• способна использовать любой WAN транспорт в любых сочетаниях
• обеспечивает динамический выбор пути трафика, определяемый политиками с привязкой к приложениям
• поддерживает включение дополнительных сервисов (оптимизация, файрволл) на пути следования трафика
© 2020 Cisco and/or its affiliates. All rights reserved.
Точно SD-WAN!Выбор платформы
© 2020 Cisco and/or its affiliates. All rights reserved.
Платформы SD-WAN
SD-WAN
Powered By
Полное управление всей сетью филиалов
с минимумом ИТ ресурсов
Гибкая конфигурация, произвольные топологии,
сегментация и расширенная безопасность
ViptelaPowered By
© 2020 Cisco and/or its affiliates. All rights reserved.
Auto VPNCapability
Central Management
Zero TouchDeployment
Visibility &Reporting
Public CloudServices
Rock SolidSecurity
Meraki InsightAPP & WAN Health
Meraki SD-WAN Надстройка для существующей цельной архитектуры
© 2020 Cisco and/or its affiliates. All rights reserved.
x 2 WAN Ports
3G / 4G / LTE as a single WAN or failover
HA Pair ModeMeraki MX – устройство все-в-одном
Meraki MX – основа Meraki SD-WAN
Meraki SD-WAN
© 2020 Cisco and/or its affiliates. All rights reserved.
Viptela SD-WAN – Архитектура
APIs
3rd PartyAutomation
vManage
4GMPLS
INET
Data Center CoLo Campus BranchCloud
WAN Edge
• SDN Architecture
• Routing and Security Distribution
• Horizontal Scale, Low Complexity
Control Plane
Data Plane
• Physical of Virtual
• Zero Touch Provisioning
• On-Premise or Cloud
vAnalytics• Single pane of glass
• Monitoring and Troubleshooting
• RBAC and APIs
Management Plane Analytics
• Machine Learning
• Carrier Performance
• Bandwidth Forecasting
vSmart Controllers
MultiCloudOnRamp
ApplicationQoE
Security(+Cloud)
© 2020 Cisco and/or its affiliates. All rights reserved.
Расширенные возможности SD-WAN
Circuit Load Balancing
Direct Internet Access
Centralized Management & Orchestration
Circuit Cost Savings
Basic SD-WAN*
Extended WAN capabilities
App Aware Dynamic Routing
Security & Segmentation
Voice Optimization
SaaS/IaaS Optimization
Open and Programmable
Multi-Tenant/ Multi-Domain
Analytics & Visibility
• Circuit Load Balancing
• Direct Internet Access
• Centralized Management & Orchestration
• Circuit Cost Savings
Required basic WAN capabilities
Multi-layered Security
Application Optimization
Enterprise Scale
© 2020 Cisco and/or its affiliates. All rights reserved.
Viptela SD-WAN – Сценарии применения
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Critical Applications SLA
Path1: 10ms, 0% loss, 5ms jitter
Path2: 200ms, 3% loss, 10ms jitter
Path3: 140ms, 1% loss, 10ms jitter
App Aware Routing PolicyApp A path must have:
Latency ≤ 150ms
Loss ≤ 2%
Jitter ≤ 10ms
Internet
MPLS
4G LTE
vManage
SDWAN Tunnel
Remote Site
Data CenterPath 2
• Each vEdge router
continuously monitors path
performance and adjusts
forwarding
• Configurable probing
intervals
App A
SDWAN Fabric© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Bandwidth Augmentation
Traffic Engineering Policy
(data policy)App A - > MPLS TLOC
App B - > Internet TLOC
Internet
MPLS
vManage
Remote Site
Data Center
App A - > MPLS TLOC
App B - > Internet TLOC
• Augment MPLS with
Internet bandwidth
• Create traffic engineering
policy to steer application
traffic- Active/Active if no policy
A
B
SDWAN Tunnel SDWAN Fabric© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Secure Segmentation
Configuration TemplatesAssign interfaces and sub-
interfaces to respective VPNs
vManage
Remote Site 1 Data Center
Remote Site 2
Internet
MPLS
ge0/2 - > VPN1
ge0/3.2 - > VPN2
ge0/3.3 - > VPN3
ge0/2.1 - > VPN1
ge0/3.2 - > VPN2
ge0/2.1 - > VPN1
ge0/2.2 - > VPN2
ge0/2.3 - > VPN3
• Complete isolation in the control
and data plane
• Not all VPNs have to be present
everywhere
• Policies are VPN- aware
VPN1
VPN2
VPN1
VPN2
VPN3
VPN1
VPN2
VPN3
SDWAN Tunnel SDWAN Fabric
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Regional Secure Perimeter
Service Insertion Policy
(control policy)App A - > Route
App B - > FW Service
Internet
MPLS
vManage
Remote Site
Data Center
Regional
HubFW Service
A
B
Regional
Firewall
App A - > NH DC, LBL VPN1
App B - > NH RegHub, LBL FW
(OMP)
App A - > NH Remote Site, LBL VPN1
App B - > NH RegHub, LBL FW
(OMP)
• Firewall service is advertised into the
VPN of choice from regional hub
• Control (or data) policy is used to
steer the traffic of interest from
remote site through Firewall
SDWAN Tunnel
SDWAN Fabric© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Guest WiFi
Guest WiFi
(data policy)App A - > DIA
Internet
MPLS
vManage
Remote Site
Data Center
App A - > DIA
DIAVPN1
VPN2
A
VPN2
• Guest WiFi traffic is segmented
off. Guest WiFi VPN is not
carried over the fabric.
• Support both simple DIA and DIA
through Cloud Security
Internet
SDWAN Tunnel SDWAN Fabric
© 2020 Cisco and/or its affiliates. All rights reserved.
Critical Applications SLA
Sender Receiver
1 2
3 4
5 6
7 8
XOR
1 2
3 4
P
XOR
1 2
3
4P
FEC HeaderSD- WAN Tunnel
• Protects against packet loss
• Protocol (TCP/UDP) agnostic• Supports multiple transports
• Can be invoked dynamically
Forward Error Correction (FEC)
1 2
3 4
SD- WAN Tunnel
SD- WAN Tunnel
Sender Receiver1
1
2
2
3
3
4
4
DD
DD
1 2
3 4
• Protects against packet loss
• Protocol (TCP/UDP) agnostic• Operates over multiple transports
Packet Duplication
Application AwareRouting
© 2020 Cisco and/or its affiliates. All rights reserved.
Простота управления и автоматизации
REST NETCONF Syslog Flow ExportSNMP CLI Linux Shell
Power Tools
Единая консоль управления Детальная аналитика
© 2020 Cisco and/or its affiliates. All rights reserved.
Критерии выбора платформы
Cisco Meraki Cisco Viptela
Полное управление всей сетевой инфраструктурой из одной консоли
Существующая инфраструктура Meraki
Расширенные средства обеспечения безопасности
Существующая инфраструктура ISR1k / ISR4k / ASR1k
Сложные топологии, несколько оверлейных сетей, кросс-доменная архитектура
Ограниченные ИТ ресурсы
Только облачная система управления
Облачная или локальная система управления
© 2020 Cisco and/or its affiliates. All rights reserved.
Сравнение функционалаSD-WAN Core (Meraki) SD-WAN Premium (Viptela)
Overlay
• Basic 2-link overlay with LTE backup • Ethernet + LTE backup • Hub and spoke, full mesh, partial mesh• Cloud management• Basic BGP • Platforms for on-prem & cloud
• Overlay with 3+ links and LTE active-active • Ethernet + LTE active + T1 / E1 / DSL • Hub and spoke, full mesh, partial mesh with multiple VPNs • Cloud or on-prem management• Full Routing: BGP, OSPF, VRRP, IPv6, Multicast • Platforms for on-prem, cloud and virtual• TCP Optimization, WAN Acceleration and WAN Optimization
Cloud
• DIA + Security • Virtual platforms for AWS and Azure
• DIA + Security + Real time SaaS Optimizations • Virtual platforms for AWS, Azure and GCP• Mapping for VPCs/VNets to WAN segments
Security
• Enterprise firewall (1400+ apps) • IPS, URL filtering, Cloud security with Umbrella
• Enterprise firewall (1400+ apps) • IPS, URL filtering, Cloud security with Umbrella• Segmentation for isolation of business partners, line of business, PoS, IoT,
M&A and Guest Wireless
Shared CapabilitiesScalable to 10,000+ locations
Zero-touch deployment, templated configurations, centralized management
© 2020 Cisco and/or its affiliates. All rights reserved.
Meraki SD-WANБазовый функционал SD-WAN
© 2020 Cisco and/or its affiliates. All rights reserved.
Облачное out-of-band управление
Масштабируемое решение• Канал управления не является узким местом• Добавление новых сайтов и новых устройств за минуты
Надежное решение• Отказоустойчивое облако управления на базе нескольких
датацентров (доступность 99.99%)• Нормальная передача пользовательского трафика даже
при отсутствии связи с облаком Meraki
Безопасное решение• Никакой пользовательский трафик не уходит в облако
управления Meraki• Сети на базе Meraki успешно проходят аудит
на соответствие PCI и HIPAA• Постоянное обновление программного обеспечения
(по расписанию администратора)
Reliability and security information at meraki.cisco.com/trust
© 2020 Cisco and/or its affiliates. All rights reserved.
Dual Active VPNLayer 3 IPsec туннели
Policy Based RoutingПо критериям: протокол, порт, IP адреса, конкретное приложение
Dynamic Path SelectionВыбор оптимального туннеля по его
характеристикам
Формирование пути трафика
© 2020 Cisco and/or its affiliates. All rights reserved.
Расширение WAN сети в публичное облако
• Для развертывания в облаке AWS или Microsoft Azure используется виртуальный MX (vMX)
• С точки зрения управления и конфигурации vMX ничем не отличается от аппаратного MX
• Пропускная способность VPN до 500 Мбит/с
© 2020 Cisco and/or its affiliates. All rights reserved.
Мониторинг VPN соединений (~Real-time)
Security & SD-WAN > VPN Status> Specific peer
© 2020 Cisco and/or its affiliates. All rights reserved.
Настройка AutoVPN
Любое MXустройство
(Hub или Spoke)
© 2020 Cisco and/or its affiliates. All rights reserved.
Выбор аплинка в зависимости от приложения
• Выбор из существующего перечня приложений (L7)
• Создание своего правила (L4)
© 2020 Cisco and/or its affiliates. All rights reserved.
Application Aware Routing (1)
1. Определяются параметры SLA
2. Выбираются приложения из списка
© 2020 Cisco and/or its affiliates. All rights reserved.
Application Aware Routing (2)
3. Выбирается предпочтительный аплинк и условия переключения на другой аплинк
© 2020 Cisco and/or its affiliates. All rights reserved.
HA (Active/Standby, Warm Spare)На основе VRRP
© 2020 Cisco and/or its affiliates. All rights reserved.
Безопасность: интеграция и взаимодействие
Meraki Interoperability
Meraki Integrations
Cisco ISE
Meraki MX
© 2020 Cisco and/or its affiliates. All rights reserved.
Network Assurance
Web App Health
WAN Health
VoIP Health
© 2020 Cisco and/or its affiliates. All rights reserved.
Viptela SD-WANМаксимальный функционал SD-WAN
© 2020 Cisco and/or its affiliates. All rights reserved.
Viptela SD-WAN – Общая архитектура
Data Center Campus Branch SOHO
4G/LTE
MPLS
Internet
Control Plane = vSmart(Containers or VMs)
Data Plane = WAN Edge(vEdge, Cisco ISR/ASR/ENCS)
Management = vManage(Multi-tenant or Dedicated)
Orchestration = vBond
vManage
vSmart
WAN Edge
Orchestrator ZTP/PnP
APIs
Cloud
vAnalytics
© 2020 Cisco and/or its affiliates. All rights reserved.
Как устроен Control Plane
• Overlay Management Protocol (OMP)
• Расширяемый control plane протокол на базе TCP
• Работает между WAN Edge устройствами иvSmart контроллерами, а также между vSmartконтроллерами- Внутри защищенного TLS/DTLS соединения
• Анонсирует контекст и политики control plane
• Радикально сокращает сложность control plane и увеличивает масштабируемость решения
vSmart vSmart
vSmart
WAN Edge WAN Edge
© 2020 Cisco and/or its affiliates. All rights reserved.
Создание Data Plane
OMP IPSec Tunnel
WAN Edge
WAN EdgeWAN Edge
WAN Edge
WAN Edge
vSmart
Local Routes- SD-WAN tunnel endpoints (TLOCs)- Local prefixes (OSPF/BGP)- Network service routes
Security Context- IPSec Encryption Keys
Routes and encryption keys are advertised to vSmarts in
OMP updates
vSmarts advertise routes and encryption keys to WAN Edges in OMP updates
INETMPLS
Transport Locator (TLOC)
SD-WAN fabric between tunnel
endpoints
IPsec
IPsec
IPsec
Fabric Routing:<prefix> via
© 2020 Cisco and/or its affiliates. All rights reserved.
vManage
vSmart WAN Edge
Local Control Policy(OSPF/BGP)
Local Data Policy(QoS/Mirror/ACL)
Centralized Control Policy(Fabric Routing)
Centralized Data Policy(Fabric Data Plane)
Centralized App-Aware Policy(Application SLA)
Centralized Data Policy(Fabric Data Plane)
Centralized App-Aware Policy(Application SLA)
CentralizedPolicies
LocalizedPolicies
NETCONF/YANG
OMP
Политики – основной элемент управления
© 2020 Cisco and/or its affiliates. All rights reserved.
Feature Template Components and Sources
Шаблоны – основной способ конфигурации
FeatureTemplate
FeatureTemplate
FeatureTemplate
FeatureTemplate
Device Template - Aggregate Configuration Template Dedicated or Shared Feature Templates
AppQoE - (AppNav)Templates / Feature Template / Other Templates / AppQoE
BannerTemplates / Feature Template / Other Templates / Banner
Policy - Local Policy (QoS, ACL, Policer, Mirror)Policies / Localized Policy
SNMPTemplates / Feature Template / Other Templates / SNMP
Security PolicySecurity
© 2020 Cisco and/or its affiliates. All rights reserved.
Сегментация и оверлейные сети
▪ Security Zoning
▪ Compliance
▪ Guest Wi-Fi
▪ Multi-Tenancy
▪ Extranet
Full-Mesh Hub-and-Spoke Any Topology
Per-VPN Topology
WAN EdgeVPN 3
VPN 1
VPN 2SD-WAN
IPSecTunnel
WAN Edge
© 2020 Cisco and/or its affiliates. All rights reserved.
IOS XE SD-WAN и Viptela OSОтличия в функционале
© 2020 Cisco and/or its affiliates. All rights reserved.
IOS XE Feature Invocation Array
Scheduler and Interface Buffers
IOS Control Plane
IOS XE Feature Invocation Array
Scheduler and Interface Buffers
Netconf Yang APIs
NetConf Yang
IOS
XE P
latf
orm
IOS
XE P
latf
orm
cEDGE
IOS XESD-WAN
IOS XE
vManage
vSmarts
CLI
ZTPApp Route PolicyQoSCloud Onramp – IAASSegmentationBFD PMTUTLOC ExtensionBGP & OSPFOMP
NBAR2Zone Based FirewallUmbrella
Как это реализовано на IOS XE
© 2020 Cisco and/or its affiliates. All rights reserved.
Функции обеспечения безопасности
Viptela OS IOS XE
Firewall
App aware FW
IPS
Firewall
URLf
Umbrella
App aware FW *
Umbrella
* QOSMOS
AMP TG
Local to Edge device
Cloud delivered DNS, Firewall, Web and File Security
© 2020 Cisco and/or its affiliates. All rights reserved.
Общее сравнение
Viptela OS
vEdge series & ISR1100-4G/6G
• Максимальная стабильность
• Поддержка полного SD-WAN функционала
• Базовый функционал безопасности
• Нет поддержки контейнеров
• Новые устройства Cisco ISR1100-4G,ISR1100-4GLTE, ISR1100-6G
• vEdge Cloud хорошо масштабируется
IOS XE SD-WAN
ISR1k/4k & ASR1k Fixed
• Модульная архитектура
• Поддержка дополнительных сервисов (в том числе голосовых)
• Расширенный функционал безопасности
• Поддержка контейнеров
• Использование ранее приобретенных ISR1k / ISR4k / ASR1k маршрутизаторов
• Cisco CSR1000v масштабируется лучше
© 2020 Cisco and/or its affiliates. All rights reserved.
Заключение
© 2020 Cisco and/or its affiliates. All rights reserved.
Итог
• DMVPN
• Стабильное и проверенное временем решение
• Оптимально для простых WAN топологий
• Meraki SD-WAN
• Базовый функционал SD-WAN с облачным управлением
• Простое управление всей сетевой инфраструктурой из одной консоли для
компаний с ограниченными ИТ ресурсами
• Viptela SD-WAN
• Максимально гибкое решение для WAN сети любой сложности и масштаба
• Расширенный функционал и возможность кросс-доменной интеграции
Online16 июня 2020 года