Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Das diensteneutrale Transportnetz
Norbert Serick
Systems Engineer
Sachsenstammtisch / Oktober 2014
Intelligente WAN-Dienste (IWAN)
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Das intelligente WAN mit seinen Komponenten
Transportnetz
Internet
Außenstelle
Transportnetz
3G/4G-LTE
AVC
Transportnetz
(z.B. MPLS) WAAS PfR
Anwendungs- bezogen
• Sichtbarkeit der
Anwendungen mit
Performance Monitoring
• Anwendungsbe-
schleunigung und
Bandbreitenoptimierung
Sichere
Kommunikation
• Zertifizierte starke
Verschlüsselung
Intelligente Wegewahl
• Dynamische & optimale
Wegewahl für
Anwendungen
• Load balancing für volle
Bandbreitenausnutzung
• Verbesserte Verfügbarkeit
Transport- unabhängig
• Konsitentes Betriebsmodell
• Providerunabhängig
• skalierbares und modulares
Design
• IPSec routing overlay Design
WAN
RZ/Zentrale
Ein Transport-Unabhängiges WAN-Design
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Simplifiziertes WAN Design Dynamische Full-Meshed
Vernetzung Validierte und robuste Sicherheit
Ein flexibles und sicheres WAN Design für alle Transportoptionen
Was bietet Dynamic Multipoint VPN (DMVPN) ?
Sicher Flexibel
• Einfaches multi-homing über alle möglichen Transportnetze der Provider
• Ein Routing Control Plane mit minimalem Peering zum Provider
• Konsistentes Design über alle Transportoptionen
• Automatische Site-to-Site IPSec Tunnel
• Zero-touch Hub Konfiguration für neue Spokes
• Zertifizierte Verschlüsselung plus Firewallfunktionen
• Skalierbares Design mit Hochleistungsverschlüsselung in Hardware
ISR-G2
WAN
Transportnetz 2 ASR 1000
ASR 1000
Transport-Unabhängig
RZ/Zentrale
Außenstelle
Transportnetz 1
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Sichere Tunnel ON-DEMAND
Das WAN Design mit
• Die Außenstellen Spokes registrieren sich am Hub und etablieren IPSec Tunnel
• Das IP Routing tauscht für jede Außenstelle Prefix Information aus
• BGP, OSPF oder EIGRP werden typischerweise verwendet
• Mit WAN Interface IP Adressen als Tunnel Source Adresse brauchen Provider Netzwerke keine Kundeninternen IP Prefixe zu routen
• Der Datenverkehr wird über DMVPN Tunnel transportiert
• Für Verkehr zwischen den Spokes (Außenstellen) werden Tunnel dynamisch aufgebaut
• QoS wird pro Tunnel realisiert
Dynamic Multipoint VPN (DMVPN)
Außenstelle 2
Herkömmliche statische Tunnel
DMVPN On-Demand Tunnel
Static Known IP Addresses
Dynamic Unknown IP Addresses
ISR G2
Außenstelle 1
IPsec VPN
Außenstelle n
ASR 1000
ISR G2 ISR G2
Zentrale
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Ein DMVPN IPsec Overlay
Eine WAN Routing Domäne iBGP, EIGRP oder OSPF
Active/Active WAN Pfade
IWAN: realisiert transportunabhängige WAN-Designs Gleiches Design für Transportoptionen MPLS, Internet, 3G / 4G(LTE)
Internet MPLS
Außenstelle
DMVPN DMVPN
MPLS 3G/4G
Außenstelle
DMVPN DMVPN
IWAN HYBRID
RZ/Zentrale
IWAN HYBRID
RZ/Zentrale
ISR-G2
ASR 1000 ASR 1000
ISP A ISP B
ISR-G2
ISP A ISP C
ASR 1000 ASR 1000
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Hochverfügbare Transportnetze mit Cisco IWAN Durch Redundanz und Wege-Vielfalt
ISR G2
MPLS
ISR G2
MPLS MPLS Internet
ISR G2
MPLS
SINGLE
ROUTER,
SINGLE PATH
SINGLE
ROUTER,
DUAL PATHS
DUAL
ROUTERS,
DUAL PATHS
Internet Internet
ISR G2
ISR G2
Internet
ISR G2
MPLS Internet
ISR G2 ISR G2
Internet Internet
ISR G2
99.95%* 99.90%*
99.995% 99.995% 99.995%
99.999% 99.999%
Downtime
pro Jahr
4–9 Stunden
Downtime
pro Jahr
8 Stunden
46 Minuten
5 Minuten
26 Minuten
IWAN Lösung
ISR G2
MPLS MPLS
ISR G2
99.999%
* Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool.
Intelligente Wegewahl mit Performance Routing (PfR)
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Durch PfR entsteht ein höherer Nutzen der WAN Investition
Vorteile der intelligenten Wegewahl
RZ/Zentrale Außenstelle
ASR 1000
ASR 1000
WAAS PfR
AVC
ISR G2
Transportnetz 2
Transportnetz 1
Ermöglicht auch Internet-
basierte WANs
Effiziente Verteilung von
Verkehr basierend auf
Auslastung, Leitungskosten,
und Wegepräferenzen
Pro Anwendung der beste
Pfad basierend auf
Verzögerung, Paketverlust
und
Jitter Messungen
Schutz vor
Überlastsituationen auf
WAN-Anschlüssen und
beim Provider
Geringere
WAN Kosten
Volle Ausnutzung der
gesamten WAN Bandbreite
Verbesserte
Anwendungs-Performance
Geringere
WAN Kosten
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Die intelligente Wegewahl mit PfR
Der Anwendungsfall Sprache und Video
Außenstelle
Transportnetz 1
Transportnetz 2
• PfR überwacht die Netzwerk-Performance und routed Anwendungen
basierend auf den Performance Vorgaben (Policies)
• PfR realisiert Loadbalancing basierend auf Anschlußauslastungen zur effektiven Ausnutzung der WAN
Bandbreite
Anderer Verkehr wird
lastverteilt zur Maximierung
der Bandbreite Sprache/Video wird umgeleitet
wenn der aktuelle Pfad die
Vorgaben nicht mehr einhält
Sprache/Video bekommt
den besten Pfad bezüglich
Delay, Jitter, und/oder
Paketverlust
RZ/Zentrale
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Performance Routing Die Komponenten
12
Der Entscheider: Master Controller (MC)
Umsetzung der Vorgaben (Policies), deren Überprüfung und Reporting
Kein Transport + Untersuchung von Paketen erforderlich
Der Transportweg: Border Router (BR)
Liegt im Datenpfad (lernt + überwacht den Verkehr) Setzt die Entscheidungen des MC’s um (Wegewahl)
Optimierung nach verschiedenen Kriterien:
Erreichbarkeit, Verzögerung, Paketverlust, Jitter, Sprachqualität (MOS), Durchsatz, Last, und/oder Kosten
Transportnetz 1 Transportnetz 2
Rechenzentrum
Außenstelle MC+BR
BR BR
MC
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Wie PfR funktioniert – die Hauptfunktionen
Wegewahl
Identifikation der
Verkehrsklassen über die
Anwendungen oder QoS
Werte
ISR G2 und ASR Geräte
lernen die Verkehrsklassen
anhand des Verkehrs der
durch sie geht (Funktion
BR = Border Router)
basierend auf der
Definition der Vorgaben
(Policies)
Messung des
Verkehrsflusses und der
Netzwerk-Performance
(aktiv oder passiv
möglich) und Übermittlung
der Werte an Master
Controller
Der Master Controller
bestimmt die Wegewahl
und Pfadänderungen
basierend auf den
Vorgaben (Policies)
Messung Lernen des Verkehrs Definition der Traffic Policy
ISR G2
ASR1K MC
BR BR
MC
BR BR
Performance
Messungen MC
BR BR
Lernen der
aktiven TCs
Traffic
Classes
(TC)
TC Pfade
Anwendungs- und dienstezentrische Netze
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Heutige Netze sind häufig “blind” für Anwendungen
• Statische IP-Port Klassifizierung reicht nicht mehr
• Mehr und mehr Anwendungen nutzen HTTP/HTTPS
• Verstärkte Nutzung von Verschlüsselung
• Anwendungen bestehen aus mehreren Sessions (video, voice, data)
• Was ist, wenn die Nutzererfahrungen nicht zu den Geschäftsanforderungen passt?
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Außenstelle
Zunahme
der Endgeräte
Nutzer/ Geräte
Das Transportnetz wird sensibel für Anwendungen und Dienste
Durch Application Visibility & Control (AVC)
Rechenzentrum/Z
entrale
Cisco AVC
>60% der IT Verantwortlichen sehen Performance als eine wesentliche Herausforderung
Keine zusätzlichen Untersuchungsgeräte
• Paketuntersuchung in der Tiefe (Deep Packet Inspection)
• Passive Überwachung von Voice, Video, kritischen und unkritischen Anwendungen
• Keine zusätzliche Hardware (enthalten in AX Lizens)
Effektivere Kapazitätsplanung
• Bessere Ausnutzung der kostenintensiven Bandbreite
• Pro Außenstelle und pro Anwendung Möglichkeit des Reportings
An Dienste und Anwendungen angelehnte Umsetzung
• Kein Bedarf an komplexen IP- und Port ACL’s
• Schaut in HTTP Flows um spezifische Anwendungen zu identifizieren
RZ
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Nutzer/ Geräte
RZ
Überwachung der Anwendungs Performance
Reporting der Anwendungen und deren Performance
WAN
NetFlow v9
IPFIX
AVC
CSR
NetFlow/IPFIX Records (gleiche Provisionierung, gleiches Format)
• Datensätze mit Verkehrsstatistiken
• Datensätze mit Antwortzeiten von Anwendungen
• Datensätze der Überwachung von Anwendungen, Jitter, Paketverlust, u.s.w.
Auswerte-SW von Partnern
ActionPacked
Glue Plixer
Living Objects
CompuWare
CA Technologies
InfoVista
Sammeln Sammeln Sammeln
Provisionierung
Export
NetFlow v9 Export/IPFIX Export
Außenstelle
RZ/Zentrale
AVC
AVC
Zunahme
der Endgeräte
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
NBAR2
IOS NBAR
+150 Signatures
Service Control Engine
Classification
+1000 Signatures
Innovationen
Native IPv6 Classification
Open API 3rd Party Integration..
Netzwerk-Basierte Anwendungs-Erkennung (NBAR2) Deep Packet Inspection (DPI)
18
Anwendungs
Erkennung
• Erweiterte Anwendungsklassifizierung
• In-service upgradable Protokoll Definitionen
Kein IOS upgrade oder Reboot für neue Protocol Packs
• Abwärts-Kompatibel zu älteren NBAR Investitionen
• NBAR2 Protocol List http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6616/product_bulletin_c25-627831.html
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Möglichkeit der Transportnetz Optimierung Zusätzliche Geschwindigkeits- und Bandbreitenvorteile durch WAAS
Außenstelle
RZ/Zentrale
Schnellere Anwendungen, mehr Nutzer, weniger Bandbreite
• 90% HD Video Optimierung und Verbesserung der Nutzerwahrnehmung
• Doppelte Anzahl Citrix Nutzer über die gleiche WAN-Verbindung, 70% schneller
• Amortisierung in weniger als einem Jahr, 65% Kosteneinsparung bei Bandbreite
Einfache Umsetzung
• Funktioniert mit ISR-Routern (und AX Lizens)
Skalierbar
• AppNav Controller und WAVE Pool ist skalierbar
• Einfache Möglichkeit der “Hochverfügbarkeit”
vWAAS WAAS Express
AppNav-XE Controller
CSR
WAVE
Transportnetz
Beschleunigt TCP-Verbindungen Nutzer/ Geräte
Transportnetz Management
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Specialized Management Cloud-Based Management
• Speed: Eliminates manual building of WANs
• Agility: Quick configuration updates and IOS
upgrades
• Dynamic: Compatible with onePK for app
aware WANs
• Reduced OPEX: Automated WAN
orchestration
• Cost Savings: Centralized hybrid WAN
management
• Integrates with Cisco App Visibility and
Control
• Monitor and analyze app-level traffic
• End-to-end flow visualization
• Troubleshoots hop-by-hop to pinpoint
source
• Fix and verify QoS and App in realtime
Cisco IWAN Management
Automates Deployment
and Lifecycle Management Application Aware Network
Performance Management
On-Prem Management
Cisco Prime
• Lifecycle: Vereinfachte Umsetzung und
Konfiguration
• Configuration: – “Plug and Play” Umsetzung
und Automation
• Health Assurance: Verbesserte
Anwendungsverteilung
• Compliance: Regulatorien, Anforderungen
und “best practices”
Management für Firmen und
Systemintegratoren
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public 22
Zusammenfassung
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Neue Möglichkeiten für Transportnetze mit Cisco IWAN
Geprüfte und
skalierbare
Sicherheit
• “Any to Any” Sicherheit
• Schützt alle Außenstellenressourcen
• Sicherer Internetzugang
Kontext-
basierendes
Routing
• Erkennt Anwendungen
• Erkennt Endgeräte
• Erkennt Netzwerkzustände
Schnelle
Amortisation
• Die Einsparungen können an anderer Stelle in Innovationen investiert werden
Kann sich nach
amortisieren
Granulare
Steuerung an
allen Stellen
• Außenstelle ISR-AX
• RZ ASR1K-AX
• Cloud CSR1000V
Integriert in die
WAN Plattform,
dadurch einfache
Umsetzung
Bis zu
Einsparungspotential
Die Alternative:
Zusätzliche Appliances
App Visibility
andControl
IP Sec VPN
WAN Opt.
Firewall
WAN Path Selection
Router
© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public
Die Zukunft: Application Centric Infrastructure (ACI)
APIC APIC
EM
Rechenzentrum WAN Access
Controller
Infrastruktur
Network Aware
Applications
Endgeräte
SECURITY COLLABORATION ORCHESTRATION SERVICES IoE
25