Your SlideShare is downloading. ×
  • Like
Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации

  • 531 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
531
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
7
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации. Денис Коденцев Системный инженер, CCIE dkodents@cisco.com Июнь 2014
  • 2. 2© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Обзор решения Service Control §  SCE 10000 §  vSCE §  URL-фильтрация §  Контент-фильтрация
  • 3. 3© 2013-2014 Cisco and/or its affiliates. All rights reserved. Абоненты SCE 10000
  • 4. 4© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  8x10G ports §  60 G and 480G (Cluster) §  Support 20 million bi- directional application flows §  Up to 2M concurrent subscribers and 2500 TPS §  Backward compatible with SM/ CM/ Insight and SCA BB Subscribers Throughput 5 Gbps 60 Gbps 1M 30 Gbps 2M SCE10K §  Pure SW Installable §  Running on top of hypervisor Virtual SCE §  100 – 300G §  100G interfaces SCE14K 300 Gbps 4M SCE8000 § 1G/10G ports § 30G/240G (Cluster) § Up to 1M concurrent subscribers and 800 TPS Сегодня Июль’14 Середина’15 Июль’14 10 Gbps 20M
  • 5. 5© 2013-2014 Cisco and/or its affiliates. All rights reserved. SCE10000 и vSCE станут доступны к заказу в Июле ’14! Q3CY13 Q4CY13 Q1CY14 Q2CY14 Q3CY14 Q4CY14 5.0.0 4.2.0 4.1.0 PP35 4.0.0 PP37 PP38 PP39 PP40 PP41 PP42 PP43 ! ! ! 5.1.0 PP42 PP43 SCE 8000 SCE10000 и vSCE SCE 8000 SCE10000 и vSCE! ! !
  • 6. Cisco Confidential 6© 2013-2014 Cisco and/or its affiliates. All rights reserved. Обзор SCE10000
  • 7. 7© 2013-2014 Cisco and/or its affiliates. All rights reserved. Производите- льность – 60G Больше абонентов– 2M Меньше места в стойке – 2RU Меньше потребление – 1200W Scale Infra Архитектура нового поколения SCE10000 vSCE NG Cluster SCE14000 Масштабируемость Единая платформа Быстрая интеграция Быстрый выпуск новых продуктов и решений Уменьшение Capex вложений Уменьшение TTM сервисов
  • 8. 8© 2013-2014 Cisco and/or its affiliates. All rights reserved.
  • 9. 9© 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco SCE10K S:N pair is part of the same NIC
  • 10. 10© 2013-2014 Cisco and/or its affiliates. All rights reserved. Автоматическая настройка интерфейса управления
  • 11. 11© 2013-2014 Cisco and/or its affiliates. All rights reserved. Позиционирование §  SP/Enterprise/Public Sector/ Higher Education customers looking for §  Производительность до 60Gbps в одном устройстве §  Кластер до 480 Gbps Скорая доступность к заказу §  Июль 2014
  • 12. 12© 2013-2014 Cisco and/or its affiliates. All rights reserved. Архитектура §  SCE10000 использует архитектуру SCE8000 §  Результат: Уменьшение TTM до 12 месяцев в сравнении с 18-24 месяцами средними для индустрии §  Программная архитектура SCE10000 использует аппаратную архитектуру SCE8000 §  Приоритезация трафика §  Эффективность при большой пропускной способности и сложности политик §  Минимизация задержки §  Эффективный пропуск трафика в случае congestion
  • 13. 13© 2013-2014 Cisco and/or its affiliates. All rights reserved. Совместимость с SCE8000 §  70% CLI SCE10000 аналогичны SCE8000. Только 30% CLI созданы дополнительно §  Обратная совместимость с SM/ CM/ SCA BB и Broadhop QNS/ 3rd party Policy Servers/ OSS системами с минимальными затратами §  Унифицированные SM/CM для всей линейки SCE
  • 14. 14© 2013-2014 Cisco and/or its affiliates. All rights reserved. Аппаратное обеспечение §  Встроенные Optical Bypass и SFP §  Хранилище большого объема §  В дальнейшем планируется использовать эту опцию для различных приложений SCE10000 §  Легко выбрать подходящее решение §  Выбирается только тип оптики LR или SR NIC вместо комбинации Line Card + Optical Bypass + Optics §  Все фиксированные элементы объединены в бандлы – SCE10000-8x10G-E §  Выбор при заказе §  NICs (SR or LR) §  Storage (SSD or HDD) §  Power Module (AC or DC)
  • 15. 15© 2013-2014 Cisco and/or its affiliates. All rights reserved. Функциональность §  Полная функциональная совместимость с SCE8K* §  Встроенный оптический bypass §  Возможность по внесению изменений в URL списки и Зоны без применения политики §  Отказоустойчивость для БП и хранилища §  Мониторинг в реальном времени * Кроме CNR LEG и ISG-SCE BUS
  • 16. 16© 2013-2014 Cisco and/or its affiliates. All rights reserved. Компоненты Тип Память (512 GB) Фиксировано Процессор (4 CPUs x 10 Cores каждый) Фиксировано NIC (4 карты каждая по 2x10G) Встроенный оптический байпас SFP встроенны На выбор SR или LR Блоки питания (Резервированные) На выбор AC или DC Встроенное хранилище На выбор HDD или SSD
  • 17. Cisco Confidential 17© 2013-2014 Cisco and/or its affiliates. All rights reserved. SCE10000 vs SCE8000 Сравнение платформ
  • 18. 18© 2013-2014 Cisco and/or its affiliates. All rights reserved. SCE10000SCE8000 Интерфейсы 2 or 4 - 10G 8 or 16 – 1GBE 8 x 10G Интерфейсы управления 2 x 10/ 100/ 1000 4 x 10/ 100/ 1000 Хранилище 4 GB 2x200 GB SSD or 2x300 GB HDD Шасси 5 RU 2 RU Потребление 1600 W 1200 W Производительность 30 Gbps 60 Gbps Макс.абонентов 1,000,000 2,000,000 # # The values would be increased to 4M in CY15 release
  • 19. 19© 2013-2014 Cisco and/or its affiliates. All rights reserved. SCE10000SCE8000 Макс. Flows (Bi-Directional) 16 M 20 M TPS (Gx & SM) 850 3000# Gx + Gy 850 1400# Quota TPS - QM 1000 1400# Зоны 20K for v4/ 5K for v6 32K for v4/ 8K for v6 Subscriber/ Global Counters 48/ 192 64/ 256 RDR Rate 35K/sec 70K/sec # The values would be increased in subsequent release
  • 20. 20© 2013-2014 Cisco and/or its affiliates. All rights reserved. •  Одновременная поддержка максимального числа абонентов и flow SCE8000 250k Subs 16 M 500k Subs 15 M 750k Subs 14 M 1M Subs 13 M SCE10000 2M Subs 20 M
  • 21. 21© 2013-2014 Cisco and/or its affiliates. All rights reserved. Ключевой фактор, влияющий на максимальную производительность SCE8000 * Ограничение backplane16 Gbps безотносительно размера пакета
  • 22. 22© 2013-2014 Cisco and/or its affiliates. All rights reserved. Ключевые факторы для SCE10K •  Max packets to be handled at FP, SP and PD o  PD – 16 mpps o  FD – 16 mpps o  SP – 14.5 mpps •  Max 10G links Actual BW is throughput achieved at SP core #k CPU Management NIC SP FP core #n core #m core #n core #m core #k Data Path NIC CP+MTP core #k
  • 23. 23© 2013-2014 Cisco and/or its affiliates. All rights reserved. Регион   Тип SP   SIMBA status   64-1 27   128- 256   256- 511   512-1 023   1024- 1518   1519 and above   Средний размер пакета Европа Cable Single SIMBA 30.80 5.59 2.05 2.32 59.22 Not present 988.09 Япония Broadband Dual SIMBA 36.61 6.27 2.83 2.70 51.56 0.027 835.92 Средний восток Broadband Dual SIMBA 41.75 5.62 2.47 2.83 32.37 15.05 824.60 Европа Broadband Single SIMBA 43.77 4.78 2.51 2.90 44.32 1.69 782.75 Япония Mobile provider Single SIMBA 46.44 4.80 3.34 3.13 42.27 Not present 693.88 The data is picked from support files for 36 hour interval to eliminate discrepancies due to peak-hour and off-peak-hour
  • 24. 24© 2013-2014 Cisco and/or its affiliates. All rights reserved. Source: Amsterdam Internet Exchange (https://www.ams-ix.net/technical/statistics/sflow-stats/frame-size-distribution) Тенденция к увеличению среднего размера пакета
  • 25. 25© 2013-2014 Cisco and/or its affiliates. All rights reserved. Средний размер пакета Bandwidth 512 60 Gbps 576 (IPv4 Min MTU) 65 Gbps 620 70 Gbps SCE10000 отлично сбалансирован для реальных применений
  • 26. Cisco Confidential 26© 2013-2014 Cisco and/or its affiliates. All rights reserved. SCE10000 Планы по развитию
  • 27. 27© 2013-2014 Cisco and/or its affiliates. All rights reserved. Решения Parental Control Video Caching Targeted Advertisements Infra NG Clustering Solution Improve TPS 2nd IP to Management Interface DNS Assisted Classification Аналитика Quota Reporting NG clustering architecture Design NG clustering solution without the need for exclusive load balancers. Targeted cluster throughput – 300 Gbps TPS improvement – Both login/logout and Quota Improve the TPS of both login/logout and Quota for SM/QM and Gx/Gy
  • 28. 28© 2013-2014 Cisco and/or its affiliates. All rights reserved. BRAS   Internet   Gateway   SCE  1   SCE  2   SCE  3   S to N N to S Cluster interface Cluster interfaceCluster interface •  Flows redirected to the handling SCE based on the IP address load balancing
  • 29. 29© 2013-2014 Cisco and/or its affiliates. All rights reserved. Распределение интерфейсов •  6 data ports and 12 cluster ports in each SCE10000 •  3 dual ports NICs for data •  3 quad port NICs for cluster •  Max of 7 SCEs could be clustered •  All SCEs are connected in a mesh topology •  Max achievable throughput in 1st release is ~300 Gbps •  6 data port à 3 S:N pair •  45 Gbps throughput achievable in each SCE •  2x10G connectivity between each pair of SCE in mesh topology
  • 30. Cisco Confidential 30© 2013-2014 Cisco and/or its affiliates. All rights reserved. Обзор vSCE
  • 31. 31© 2013-2014 Cisco and/or its affiliates. All rights reserved. • SDN/NFV are driving a shift to virtualized platforms running on standard servers or dedicated hardware NFV/ SDN • Preference for common HW and SW • To reduce CAPEX and power consumption • To reduce dependency on specialized skills to deploy custom HC Generic HW • Accelerate deployment of services by reducing procure-design-integrate-deploy cycle Скорость внедрения • Ability to rapidly scale up/down services as required Масштабируемость
  • 32. 32© 2013-2014 Cisco and/or its affiliates. All rights reserved. Позиционирование §  SP/Enterprise/Public Sector/ Higher Education customers looking for §  Производительность до 5Gbps для одной VM §  Service chaining (NFV/SDN) Скорая доступность к заказу §  Июль 2014
  • 33. 33© 2013-2014 Cisco and/or its affiliates. All rights reserved. Функциональность §  ПО запускается над гиперпизором KVM на любой x86 платформе §  Полное функциональное соответствие с SCE10000 §  Network Function Virtualization (NFV) ready §  Возможность опробовать решение до приобретения больших платформ – SCE8K, SCE10K
  • 34. 34© 2013-2014 Cisco and/or its affiliates. All rights reserved. Standalone Application vSCE running as standalone application on any COTS HW Suitable for customers opting for ‘try-before- you-buy’ solution Facilitates customer to trial new solutions/ services NFV Solution vSCE acting as VNF component running in VM vSCE is officially part of Cisco Evolved Services Platform HW agnostic support
  • 35. 35© 2013-2014 Cisco and/or its affiliates. All rights reserved. Абоненты vSCE is compatible with external elements such as SM/ CM and SCA BB Virtualization of external elements (SM/CM) is currently possible Виртуальная среда
  • 36. 36© 2013-2014 Cisco and/or its affiliates. All rights reserved. Subscribers Part of vSCE Virtual Appliance – On demand elasticity of independent elements is possible LoadBalancer
  • 37. 37© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Virtualization lends itself well for Functions that have high control plane complexity, require low Data Plane bandwidth, and where higher latency is acceptable §  In DPI, examples are: –  Where DPI function is already centralized (e.g GiLAN) –  Where Data Plane requirement is low (e.g enterprise customers, managed services) §  Complexity moves from the operational burden of managing hardware appliances to the software mediation layer Cloud Datacenter GI-LAN | Consumer DPI CGN WWW FW CDN IPS Virtual Private Cloud NfV Services DPI CPE WAAS FW NAM IPS Evolved Programmable Network SP Data Center Service Controller
  • 38. 38© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  The mobile core of today is comprised of "many boxes" built on "constrained" sheet metal NEs often using custom "computer" blades §  NfV maps those functions to ‒  COTS computer blades (no “custom” blade pricing) ‒  Unbounded data center (no chassis) §  NfV also replaces ‒  Physical connectivity with flexible software defined network ‒  Physical hosts with flexible virtualized compute §  NfV results in lower TCO which allow the operators cost structure to align with OTT competitors ‒  Lower capex structure ‒  Simplified cloud based operations GGSN/ PGW VRF Internet   VRFPhysical  Compute,  Network  Storage Virtualized  Compute,  Network  Storage MME/ SGSN PCRF QSB VO WO Classific ation SDN Control NAT FW IDS/ IDP SON ... LTE 12 A B C 3 D E F 4 G H I 5 J K L 6 M N O 7 P Q R S 8 T U V 9 W X Y Z *0# Signal   Strength RAN 3G 2G Wi-­‐Fi Virtualization Quantum Service  Bus Quantum Policy  Server PDN REST PDN-­‐GW /GGSN Rx Sd/Gx+ Gx REST SPR/ UDR NEAF Gx API-­‐GW REST/XMPP Quantum  vGi-­‐LAN WOVO NATDPI URL Filtering Policy VPNFW MediaNet   Services Quantum  SON RATM CDE WiFi3G LTE Small   Cell 12 A B C 3 D E F 4 G H I 5 J K L 6 M N O 7 P Q R S 8 T U V 9 W X Y Z *0# Signal   Strength MSI RAN MSI Quantum Analytics Analytics Dashboard Data Analytics Engine
  • 39. 39© 2013-2014 Cisco and/or its affiliates. All rights reserved.
  • 40. 40© 2013-2014 Cisco and/or its affiliates. All rights reserved. 10G*5G # Performance is obtained using Intel NICs leveraging DPDK and CPU speed is 2.9 Ghz * Will be available only in future releases, tentatively Dec ’14 Интерфейсы 8x1G 2x10G Абоненты 225,000 450,000 Ядра CPU# 10 16 TPS (Login/ Logout) 300 500 VLinks 2048 2048 Flow Introduction/ Acquisition Rate 195,000 flows/ sec 390,000 flows/ sec
  • 41. 41© 2013-2014 Cisco and/or its affiliates. All rights reserved. •  Ядра: 10 @ 2.9 Ghz •  Память: 32 GB •  Сетевые карты: 8x1G Пример конфигурации UCS (UCS C220)# UCSC-C220-M3L= UCS C220 M3 LFF w/o CPU, mem, HDD, PCIe, PSU, rail kit 1 Unit UCS-CPU-E5-2667= 2.90 GHz E5-2667/130W 6C/15MB Cache/DDR3 1600MHz/ NoHeatSink 2 Units UCSC-PCIE-IRJ45= Intel Quad GbE adapter 2 Units UCS-MR-1X162RZ-A= 16GB DDR3-1866-MHz RDIMM/PC3-14900/dual rank/x4/1.5v 2 Units UCSC-PSU-450W= 450W power supply for C-series rack servers 1 Unit # The above configuration only lists essential components
  • 42. Cisco Confidential 42© 2013-2014 Cisco and/or its affiliates. All rights reserved. Использование DPI для контент-фильтрации
  • 43. 43© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Задача фильтрации контента §  URL-фильтрация (blacklisting) §  Контент-фильтрация §  Родительский контроль §  Автоматизация URL-фильтрации §  О чем стоит помнить
  • 44. 44© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Выполнение ФЗ-139 §  http://78.rkn.gov.ru/directions/p4592/p11530/ §  Родительский контроль
  • 45. Cisco Confidential 45© 2013-2014 Cisco and/or its affiliates. All rights reserved. URL-фильтрация на базе SCE
  • 46. 46© 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco SCE Абоненты Сеть Интернет HTTP GET Разрешенный URL HTTP GET Разрешенный URLЗапрещенный URL DROP Cisco SCE –  Обработка только исходящего HTTP трафика (ассиметричный режим) –  Контроль на основе статических URL/Domain/IP списков –  Высокая масштабируемость
  • 47. 47© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Предполагает, что список фильтруемых ресурсов статический либо обновляется редко и не требует мгновенного применения оператором §  Метод применим для выполнения ФЗ-139 §  Список обновляется 2 раза в сутки §  ФЗ требует применить ограничение к ресурсу в течение суток с момента появления ресурса в списке §  Описание процесса настройки: §  http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/ rel41x/scabbug/scabbug/07_SCA_BB_UG.html#wp1175199
  • 48. 48© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Шаг 1. Получение списка запрещенных ресурсов §  Шаг 2. Формирование CSV файла в требуемом формате §  http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/ broadband_app/rel41x/scabbrg/scabbrg/05_SCA_BB_RG.html#wp998977 §  Два варианта CSV - Standard (расширенный) и Easy (упрощенный) §  Standard §  flavor name,flavor index,flavor type,host suffix,params prefix,URI suffix,URI prefix §  например - NEWS,0,HTTP_URL,*.reuters.com,,,/news/* §  Easy §  например http://*.rapidshare.com/cgi-bin/upload*
  • 49. 49© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Шаг 3. Создание Flavor в SCA-BB
  • 50. 50© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Шаг 3. Создание Flavor в SCA-BB
  • 51. 51© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Шаг 4. Импорт CSV-файла
  • 52. 52© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Шаг 5. Создание сервиса для URL-фильтрации
  • 53. 53© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  HTTPS трафик §  Глубина поиска HTTP GET в одном TCP потоке – влияет на точность блокировки и производительность DPI §  ClickStream – что делает сам абонент, а не web страница?
  • 54. 54© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Простой процесс настройки §  Высокая масштабируемость §  Требуется адаптация списка Роскомнадзора в формат «понятный» SCE §  Возможно реализовать с помощью различного рода скриптов-парсеров для текстовых/csv файлов §  При изменении списка требует применения сервисной политики на SCE §  в следующих версиях ПО это ограничение будет снято
  • 55. Cisco Confidential 55© 2013-2014 Cisco and/or its affiliates. All rights reserved. Использование DPI для контент-фильтрации
  • 56. 56© 2013-2014 Cisco and/or its affiliates. All rights reserved. Динамическая URL-фильтрация •  Cisco SCE •  Управление абонентскими контекстами •  экспорт URL для анализа с использованием специального вида RDR •  контроль HTTP трафика абонентов в соответствии с заданной сервисной политикой и текущим состоянием URL кэша •  Внешняя система категоризации •  Определение категории URL, полученных от Cisco SCE •  Обновление URL кэша на Cisco SCE через API
  • 57. 57© 2013-2014 Cisco and/or its affiliates. All rights reserved. Родительский контроль •  Cisco SCE •  Управление абонентскими контекстами •  экспорт URL для анализа •  контроль HTTP трафика абонентов •  ЦАИР •  Определение категории URL, полученных от Cisco SCE •  Обновление URL кэша на Cisco SCE
  • 58. 58© 2013-2014 Cisco and/or its affiliates. All rights reserved. Динамическая URL-фильтрация. Выводы. •  При наличии возможности внешняя система может быть реализована оператором самостоятельно. •  Необходимо реализовать всего 2 функции при взаимодействии с SCE: •  Интерпретировать URL RDR •  По окончании процесса категоризации запустить API функцию
  • 59. Cisco Confidential 59© 2013-2014 Cisco and/or its affiliates. All rights reserved. Заключение и выводы
  • 60. 60© 2013-2014 Cisco and/or its affiliates. All rights reserved. §  Линейка Cisco SCE получила долгожданное развитие §  SCE10K и vSCE, которые дополняют, а НЕ замещают существующее решение SCE8K! §  Богатые планы по дальнейшему развитию линейки – SCE14K, vSCE на ASR9K VSM §  Реализация контентной и URL фильтрации §  статической или динамической §  самостоятельно или с помощью партнеров Cisco
  • 61. Вопросы?
  • 62. Спасибо!