Принципы построениякампусных сетей для внедрениявиртуализированных десктоповМаксим Хаванкинсистемный инженерmkhavank@cisco...
Содержание•   Традиционные ПК и виртуализация десктопов•   Требования к сети•   Принципы построения кампусных сетей для VD...
Традиционные ПК и виртуализациядесктопов
Эволюция виртуализации рабочих  мест                     Мэнфрейм       Клиент/Сервер         Интернет     Виртуализация  ...
Что такое виртуализация десктопа?• Отделение физического устройства от логического десктопа• Запуск (хостинг) логического ...
Общие компоненты виртуализациидесктопов                                     Иденти-       Запуск                    Подклю...
Архитектура Cisco VXI                                                        Продукты Cisco                               ...
Архитектура VXI – дополнительнаяинформация•   3-й день CiscoExpo 2012: 22 ноября•   Поток: Центры Обработки Данных•   Врем...
VDI Протоколы и их выбор  •   Протокол отображения экрана (display protocol) определяет      пользовательские характеристк...
Протокол Citrix ICA Надежность сессии обеспечивается при помощи  инкапсуляции ICA трафика в TCP 2598 (Citrix Common  Gate...
Протокол VMware View PCoIP• PCoIP это высокопроизводительный терминальный протокол,  являющийся частью архитектуры Vmware ...
Выбор VDI клиентов    Толстые клиенты                Тонкие клиенты              Ноль клиенты•   Существующие/    повторно...
Влияние требований пользователей...                     Типичный               Приоритеты/                 Технология     ...
Требования к сети
Особенности VDI трафика Данные                Видео                  Голос                VDI                             ...
Традиционные ПК – потоки данных                      ЦОД                                Интернет               Unified    ...
VDI – потоки данных                      ЦОД                             Интернет     Unified  Communications             ...
VDI + Традиционные ПК – потоки данных                      ЦОД                             Интернет     Unified  Communica...
Требования к кампусной сети        Влияние                           Проблемы• Профиль трафика               • Высокая дос...
Принципы построения кампусныхсетей для VDI
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Снижение стоимости владения• Постоянная доступность! – Высокая  доступность – Снижение времени простоя  сети == $$• Упроще...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Дизайн сети с высокой доступностью• Структурированность, модульность и  иерархия – ключевые основы  дизайна сети с высокой...
Non-Stop Forwarding / StatefulSwitchover (NSF/SSO)Stateful Switchover (SSO)•   Механизм SSO обеспечивает синхронизацию сос...
Stateful Switchover (SSO) – настройка4507_Sup7E(config)#redundancy                               Настройка SSO4507_Sup7E(c...
NSF настройка4510_Sup7E(config)#router eigrp 1004510_Sup7E(config-router)#nsf4510_Sup7E(config-router)#timers nsf ?       ...
In Service Software Upgrade (ISSU)• Автоматизированная процедура обновления IOS• Простой <200 мсек не влияет на обработку ...
Control Plane Policing (CoPP) – настройка Switch(config)# macro global apply system-cpp Switch(config)# policy-map system-...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Почему PoE на уровне доступа?•   Простота развертывания     – Один и тот же кабель используется для данных и питания ИБП д...
Характеристики UPOEIEEE 802.3at (PoE+)       UPOE                     Универсальная                                       ...
Cisco UPOE и VDI клиенты     Клиенты           Выделенные интегрированные                              Интегрированные    ...
Cisco EnergyWise                                    Приложения для управления        Prime LMS 4.2            Verdiem Surv...
Настройка Cisco EnergyWiseenergywise    domain Campus security shared-secret 0 cisco energywise importance 70energywise   ...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Автоматическая настройкаAuto Smart Ports• Технология дает возможность  автоматического применения  определяемых пользовате...
Auto Smart Ports – упрощениенастройкиSwitch#show run int gi 2/1description IP 9971 VDI  switchport access vlan 30  switchp...
Auto Smart Port – включение порта4500_Sup7E#show shell functions CISCO_PHONE_AUTO_SMARTPORTfunction CISCO_PHONE_AUTO_SMART...
Auto Smart Port – отключение портаif [[ $LINKUP -eq NO ]]; then        conf t            interface $INTERFACE             ...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
802.1x сценарии внедрения• Несколько способов реализовать сетевую аутентификацию• Аутентификация устройств доступа к вирту...
802.1x – настройка                               802.1X                            Порт неавторизован                     ...
802.1x – проверка конфигурацииSwitch#show authentication session interface gi 1/1            Interface: GigabitEthernet1/1...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Доступ на базе политик: TrustSec     Могу ли я                 Полный доступ к корпоративной сети     подключить мой      ...
Доступ на базе политик: TrustSec                                                              ISE                         ...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Изоляция                                WAN             Internet• Посредством VDI пользователи  становятся ближе к внутрен...
Использование EVN для изоляции VDI                                                                vrf definition VDI      ...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Quality of Service (QoS)Качество обслуживания• VDI трафик зашифрован и протоколы  являются частными (закрытыми)• Недостато...
QoS - классификаторы   ip access-list RDP             ip access-list MMR    permit tcp any eq 3389 any     permit tcp any ...
QoS – Class Maps и Policy Maps                Class-maps                              Policy-mapclass-map type qos match-a...
QoS – вывод show команд  •   Просмотр статистики использования политик QoSDC-WAN#show policy-map interface               S...
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI   – ...
Мониторинг при помощи Mediatrace• Mediatrace обнаруживает и          initiator#show mediatrace session stats 1            ...
Использование встроенного в IP SLAсимулятора трафика• IP SLA признанное индустрией средство для измерения  джиттера, харак...
Содержание•   Традиционные ПК и виртуализация десктопов•   Требования к сети•   Принципы построения кампусных сетей для VD...
Заключение•   Идентифицировать группы пользователей VDI•   Определить клиентское оборудование для конечных пользователей  ...
Архитектура VXI – дополнительнаяинформация•   3-й день CiscoExpo 2012: 22 ноября•   Поток: Центры Обработки Данных•   Врем...
Спасибо!Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важ...
Upcoming SlideShare
Loading in...5
×

Принципы построения кампусных сетей для внедрения тонких клиентов VDI.

1,087
-1

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,087
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Принципы построения кампусных сетей для внедрения тонких клиентов VDI.

  1. 1. Принципы построениякампусных сетей для внедрениявиртуализированных десктоповМаксим Хаванкинсистемный инженерmkhavank@cisco.com
  2. 2. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI• Заключение
  3. 3. Традиционные ПК и виртуализациядесктопов
  4. 4. Эволюция виртуализации рабочих мест Мэнфрейм Клиент/Сервер Интернет Виртуализация 1960-1980 1980-1995 1995-2010 2010+Размещение Штаб-квартира Филиал/ Домашний Где угоднопользователя корпорации Отделение офис ОграниченныйРоль сети Отсутствует Доступность Стратегическая интеллектСложность IT Низкая Средняя Высокая НизкаяИнтерфейс Только текст Windows (GUI) Web ЛюбойМобильность Отсутствует Ограниченная Улучшенная Полная
  5. 5. Что такое виртуализация десктопа?• Отделение физического устройства от логического десктопа• Запуск (хостинг) логического десктопа в Центре Обработки Данных (ЦОД)• Возможность доступа к логическому десктопу при помощи сети• Физические устройства различных типов обеспечивают непрерывный доступ к логическому десктопу, предоставляя пользователю возможность продолжать работу с момента его последнего подключения Виртуализированный десктоп, работающий в ЦОД ЦОД
  6. 6. Общие компоненты виртуализациидесктопов Иденти- Запуск Подклю- 1 Подключе- ние к брокеру 2 Запрос 3 4 целе- 5 Назначение 6 чение ВМ 7 Соединение на фикация ВМ установлено соединений политики целевой вой ВМ клиенту к клиенту пользова ВМ -теляТонкий клиент Active DirectoryСмартфон/iPad Connection Broker Брокер соединений Вирт. ннфра-ра Управление вирт. Аутентификация инфра-ой Толстый клиент Терминальный протокол
  7. 7. Архитектура Cisco VXI Продукты Cisco Виртуализированное рабочееВиртуализированный ЦОД Сеть без границ место Приложения/ОС AnyConnect VXC 6215 MSCollab Finesse CTIOS Office Тонкий Identity клиент Системы виртуализации рабочих мест Services Engine VXC 4000 Гипервизоры Программный клиентWAAS UC Mgr vWAAS UCS WAASASA VXC 22xx & Contact Center Routing 21xx Ноль (ISR) клиентыACE Security Nexus PoE Gateway 1000v Tablets СмартфоныDCN Cloud Compute Лэптопы Системы хранения Ультрабуки Коммутаторы Jabber Сквозное управление, оптимизация и сервис
  8. 8. Архитектура VXI – дополнительнаяинформация• 3-й день CiscoExpo 2012: 22 ноября• Поток: Центры Обработки Данных• Время: 15-25 – 17-30• Сессия: Архитектура Cisco VXI для виртуализации рабочих мест пользователей и её внедрение – Введение и базовые элементы 15-25 – 16-25 – Сервисные элементы, масштабирование и управление 16-30 – 17-30
  9. 9. VDI Протоколы и их выбор • Протокол отображения экрана (display protocol) определяет пользовательские характеристки и используемые ресурсы • Уровень поддержки мультимедиа может определять выбор протокола – Голос: Использование USB гарнитур или аналоговый • Перенаправление USB (Redirection) • Видео – потоковое, телефония и совместная работа, графика • Печать – учет местоположения и мобильность RDPv7 ICA PCoIP Другие TCP 2598 UDP 50002 X11 (XТранспорт TCP 3389 TCP 1494 UDP 4172 Windows) ALP (Sun)Полоса 384 Кбит/сек 120 Кбит/сек 192 Кбит/сек ARD (Apple) VNC
  10. 10. Протокол Citrix ICA Надежность сессии обеспечивается при помощи инкапсуляции ICA трафика в TCP 2598 (Citrix Common Gateway Protocol) при трассировке отображается порт 2598, а не 1494 Небольшой размер пакета Порт 2598 (CGP)
  11. 11. Протокол VMware View PCoIP• PCoIP это высокопроизводительный терминальный протокол, являющийся частью архитектуры Vmware View: лицензирован у компании Teradici• PCoIP адаптируется к увеличивающейся в сети задержке и уменьшению полосы пропускания, обеспечивая конечных пользователей подключением к их рабочим столам независимо от состояния сети.• PCoIP поддерживает следующие функции: – Поддержка до 4 мониторов и разрешение до 2560 x 1600 – PCoIP поддерживает 32-битную глубину цвета – PCoIP поддерживает 128-битное шифрование – PCoIP поддерживает стандарт Advanced Encryption Standard (AES), который включен по умолчанию• PCoIP использует протокол User Datagram Protocol (UDP) для передачи аудио и видео данных 1
  12. 12. Выбор VDI клиентов Толстые клиенты Тонкие клиенты Ноль клиенты• Существующие/ повторно используемые ПК с • Встроенная локальная установленными ОС • Минималистическая клиентами VDI • Допустимы локальные ОС приложения • Для передачи отлика• На ПК могут быть • Локальная поддержка от сервера установлены обработки используется сеть локальные мультимедиа трафика • Ресурсов для приложения (голос и видео) поддержки локальных приложений нет • Ограниченная Гибридные клиенты поддержка обработки Существующие/повторно используемые ПК мультимедиа Загрузка ОС из сети Приложения хранятся удаленно, а запускаются локально
  13. 13. Влияние требований пользователей... Типичный Приоритеты/ Технология пользователь Преимущества  Сотрудники call-центров,  Низкая стоимость  Терминальный сервис секретари  Безопасность &  Ноль клиент Ограниченный набор compliance приложений, ограниченные  Простота требования к развертывания иTask Worker производительности управления  Консультанты, юристы,  Мобильность,  Виртуализированный продавцы, менеджеры offline доступ десктоп  Стандартный набор  Хороший  Стриминг приложения приложений пользовательский опыт или десктопа целиком  Средние требования к  Персонализация  Тонкий клиентKnowledge производительности worker  Инженеры, финансовые  Безопасность &  Виртуализированный трейдеры, графические compliance десктоп дизайнеры  Выделенные  Стриминг приложения вычислительные или десктопа целиком  Приложения использующие ресурсы  Тонкий клиент Power интенсивные вычисления  Безкомпромисный  Акселерация user  Высокие требования к пользовательский опыт мультимедиа производительности
  14. 14. Требования к сети
  15. 15. Особенности VDI трафика Данные Видео Голос VDI  Равномерный  Взрывной/ Взрывной/  Взрывной  Малый средний Равномерный Равномерный  Средний размер размер пакета:  Микс пакетов IMIX среднее: пакета: 800-1500 480 байт или большого и малого 300 байт байт меньше размера Отсутствие  Mostly Variable Bit  Чувствительность  Чувствительность чувствительности Rate и к задержками и и к задержками и к задержками и  Чувствительность потерям потерям потерям и к задержками и  UDP приоритет  TCP Retransmits Механизм потерям (RDP & ICA) TCP Retransmits  UDP приоритет  UDP приоритет (PCoIP)
  16. 16. Традиционные ПК – потоки данных ЦОД Интернет Unified Communications Приложения граница Email Web Internet Security Si Доступ Internet Si Распределение ASA КАМПУС VoIP/Collaboration Si Распределение Приложения Internet Si Доступ
  17. 17. VDI – потоки данных ЦОД Интернет Unified Communications Приложения граница Email VDI Web Internet Security Si Доступ Internet Si Распределение ASA VDI Кампус VoIP/Collaboration Si Распределение Приложения Internet Si Доступ
  18. 18. VDI + Традиционные ПК – потоки данных ЦОД Интернет Unified Communications Приложения граница Email VDI Web Internet Security Si Доступ Internet Si Распределение ASA VDI Кампус VoIP/Collaboration Si Распределение Приложения Internet Si Доступ
  19. 19. Требования к кампусной сети Влияние Проблемы• Профиль трафика • Высокая доступность – для изменяется передаваемых данных и питания • Безопасность конечных клиентов • Дисплей протоколы могут быть• Идентификация и «невидимы» для сетевых обспечечение политик сервисов (QoS, безопасность, безопасности для акселерация) пользователей, • Проблемы задержки критичны переместившихся в ЦОД но более актуальны для удаленных пользователей,• Функциональность функций задержка более 200* мс не дает кампуса необходима на возможности пользователям устройствах ЦОД нормально работать (виртуализированный коммутатор для гипервизора) * Источник: Тесты VMWare/Citrix/Gartner
  20. 20. Принципы построения кампусныхсетей для VDI
  21. 21. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения • Обеспечение высокой доступности • Обеспечение питания PoE • Автоматическая настройка – Безопасность – Управление• Заключение
  22. 22. Снижение стоимости владения• Постоянная доступность! – Высокая доступность – Снижение времени простоя сети == $$• Упрощенное управление питанием – UPOE, EnergyWise• Автоматическая настройка по шаблонам – “Zero Touch installation” 2
  23. 23. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения • Обеспечение высокой доступности • Обеспечение питания PoE • Автоматическая настройка – Безопасность – Управление• Заключение
  24. 24. Дизайн сети с высокой доступностью• Структурированность, модульность и иерархия – ключевые основы дизайна сети с высокой доступностью Si Si• Структурированный дизайн позволяет управлять – Потоками данных Si Si – Поведением сети в случае сбоев• Модульный дизайн – Более простое развитие и изменения в сети Si Si• Иерархический дизайн – Обеспечивает предсказуемую масштабируемость – Выделение сетевых сервисов в отдельный строительный блок
  25. 25. Non-Stop Forwarding / StatefulSwitchover (NSF/SSO)Stateful Switchover (SSO)• Механизм SSO обеспечивает синхронизацию состояния IOS между Активным и Резервным модулями Супервизоров для минизации перерыва в передаче данных в момент переключения между Активным и Резервным супервизором• Перерыв в передачи данных: <200 мсек• IOS образы должны быть идентичныNon Stop Forwarding (NSF)• Механизм NSF дает возможность протоколам маршрутизации реформировать соседские отношения (gracefully restart ) после события SSO• Модуль супервизора ставший активным продолжает передавать данные на основе синхронизированных до момента переключения TCAM таблиц и таблиц маршрутизации• Протокол маршрутизации с поддержкой NSF запрашивает у соседа graceful neighbor start• Соседские отношения протоколов маршрутизации реформируются (reform)
  26. 26. Stateful Switchover (SSO) – настройка4507_Sup7E(config)#redundancy Настройка SSO4507_Sup7E(config-red)#mode sso4507_Sup7E(config-red)#^Z4507_Sup7E#show moduleChassis Type : WS-C4507R+EPower consumed by backplane : 40 WattsMod Ports Card Type Model Serial No.---+-----+--------------------------------------+------------------+----------- 2 12 10GE SFP+ WS-X4712-SFP+E CAT1428L01D 3 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1436L05J 4 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1436L056 6 12 10GE SFP+ WS-X4712-SFP+E CAT1428L02W M MAC addresses Hw Fw Sw Status--+--------------------------------+---+------------+----------------+--------- 2 0026.0b79.81f5 to 0026.0b79.8200 1.0 Ok 3 c84c.75b4.1240 to c84c.75b4.1243 1.0 15.0(1r)SG1 03.01.00.SG Ok 4 c84c.75b4.1244 to c84c.75b4.1247 1.0 15.0(1r)SG1 03.01.00.SG Ok 6 0026.0b79.8105 to 0026.0b79.8110 1.0 OkMod Redundancy role Operating mode Redundancy status----+-------------------+-------------------+----------------------------------настроен Режим SSO 3 Active Supervisor SSO Active 4 Standby Supervisor SSO Standby hot
  27. 27. NSF настройка4510_Sup7E(config)#router eigrp 1004510_Sup7E(config-router)#nsf4510_Sup7E(config-router)#timers nsf ? EIGRP converge EIGRP time limit for convergence after switchover signal EIGRP time limit for signaling NSF restart4510_Sup7E(config-router)#router ospf 1004510_Sup7E(config-router)#nsf4510_Sup7E(config-router)#nsf cisco ? enforce Cancel NSF restart when non-NSF-aware neighbors detected helper helper support <cr> OSPF4510_Sup7E(config-router)#nsf ietf ? helper helper support restart-interval Graceful restart interval <cr>4510_Sup7E(config-router)#router bgp 1004510_Sup7E(config-router)#bgp graceful-restart ? restart-time Set the max time needed to restart and come back up BGP stalepath-time Set the max time to hold onto restarting peers stale paths <cr>
  28. 28. In Service Software Upgrade (ISSU)• Автоматизированная процедура обновления IOS• Простой <200 мсек не влияет на обработку трафика и подачу PoE питания VDI клиентам• Возможность отката на предыдущую версию в случае ошибки при обновлении• На Catalyst 4500E Sup 7E IOS XE запускается одной командой: issu changeversion bootflash:<image> quick• Функция eFSU доступна в Catalyst 6500 http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/issu_efsu.pdf• Функция Rolling Stack доступна в Catalyst 3750X http://www.cisco.com/en/US/docs/switches/lan/catalyst3750x_3560x/software/release/12.2_58_se/configuration/guide/swstack.html#wp1295104
  29. 29. Control Plane Policing (CoPP) – настройка Switch(config)# macro global apply system-cpp Switch(config)# policy-map system-cpp-policy CoPP настройка Switch(config-pmap)# class system-cpp-cdp Switch(config-pmap-c)# police 32000 1000 conform-action transmit exceed-action drop Switch(config-pmap-c)# end Switch # show policy-map control-plane ..<SNIP>.. Class-map: system-cpp-cdp (match-all) Вывод Show 21 packets комманд CoPP Match: access-group name system-cpp-cdp police: cir 32000 bps, bc 1000 bytes conformed 3120 bytes; actions: transmit exceeded 0 bytes; actions: drop conformed 0000 bps, exceed 0000 bps ..<SNIP>..
  30. 30. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения • Обеспечение высокой доступности • Обеспечение питания PoE • Автоматическая настройка – Безопасность – Управление• Заключение
  31. 31. Почему PoE на уровне доступа?• Простота развертывания – Один и тот же кабель используется для данных и питания ИБП для Настенная• Централизованное управление питанием резервирования розетка – EnergyWise• Высокая доступность – Централизованное резервирование, непрерывность работы Si – В большинстве сетевых устройств отказоустойчивые блоки питания – Широко распространено резервирование при помощи Генераторов/ИБП/Батарейных блоков• Минимизация TCO  Эффективность системы питания - Общий блок питания более эффективен, чем индивидуальные - Кривая эффективности общего блока питания оптимизирована для средней загрузки - Общий блок питания стоиот дешевле, чем индивидуальные блоки для каждого устройства
  32. 32. Характеристики UPOEIEEE 802.3at (PoE+) UPOE Универсальная природаCat5e Cat5e • Стандартный RJ45 коннектор • Никаких изменений в СКС по сравнению с PoE+ Высокая 30Вт 30Вт доступность 30Вт • Uptime for critical apps (e911) 60Вт • Снижение TCO при помощи консолидации• Максимальная • Максимальная мощность= ИБП мощность = 30Вт 60Вт • Поддержка всеми Green кабельными стандартами • На 10% эффективнее чем • Совместим с PoE и PoE+ автономный источник питания • Управление при помощи EnergyWise
  33. 33. Cisco UPOE и VDI клиенты Клиенты Выделенные интегрированные Интегрированные клиенты клиенты с монитором Cisco UPOE Cisco VXC-2200 Cisco Cisco UPOE UPOE UPOE Splitter UPOE Splitter Отказоустойчивое питание телефона и VDI клиента
  34. 34. Cisco EnergyWise Приложения для управления Prime LMS 4.2 Verdiem Surveyor Joulex JEM CA ecoMeter 1E (ранее: Orchestrator) EnergyWise Toolkit Management API EnergyWise домен (коммутаторы и маршрутизаторы) Устройства с поддержкой EnergyWise при помощи SDK PC клиенты Не-Energywise, IP телефоны Smart PDU (Lenovo) PoE устройства VDI IP Camera Wireless
  35. 35. Настройка Cisco EnergyWiseenergywise domain Campus security shared-secret 0 cisco energywise importance 70energywise name Switch_Accessenergywise keywords 4507_Sup7E Глобальныеenergywise role Switch_Access настройкиenergywise management security shared-secret 0 ciscointerface GigabitEthernet2/3 energywise importance 60 Настройки на energywise role vdi-client-1 energywise keywords Campus.switch2.port0/3 интерфейсе energywise name vxc-client-1Switch#energywise query importance 70 name Switch* collect usage Мониторинг приEnergyWise query, timeout is 6 seconds: помощи CLIHost Name Usage Level Imp---- ---- ----- ----- ---172.28.103.136 Switch_Access 735.0 (W) 10 70172.28.103.235 Switch_Dist 840.0 (W) 10 70Queried: 2 Responded: 2 Time: 5.263 seconds
  36. 36. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения • Обеспечение высокой доступности • Обеспечение питания PoE • Автоматическая настройка – Безопасность – Управление• Заключение
  37. 37. Автоматическая настройкаAuto Smart Ports• Технология дает возможность автоматического применения определяемых пользователем макросов к интерфейсу на основе типа подключаемого устройства, а так же дополнительных тригеров событий (MAB, 802.1x и т.д.)• Конфигурация удаляется когда устройство отключается от порта или пользовательская сессия разрывается• Например когда коммутатор обнаруживает Cisco IP телефон к этому порту применяется макрос, который настраивает голосовой VLAN, политики Port Security и QoS
  38. 38. Auto Smart Ports – упрощениенастройкиSwitch#show run int gi 2/1description IP 9971 VDI switchport access vlan 30 switchport mode access switchport voice vlan 50 switchport port-security maximum 3 switchport port-security maximum 2 vlan access switchport port-security switchport port-security aging time 1 switchport port-security violation restrict Switch#macro auto global processing switchport port-security aging type inactivity fallback cdp load-interval 30 auto qos voip cisco-phone Switch#macro auto execute CISCO_PHONE_EVENT builtin storm-control broadcast level pps 1k CISCO_PHONE_AUTO_SMARTPORT ACCESS_VLAN=30 storm-control multicast level pps 2k VOICE_VLAN=50 storm-control action trap spanning-tree portfast spanning-tree bpduguard enable ip dhcp snooping limit rate 15
  39. 39. Auto Smart Port – включение порта4500_Sup7E#show shell functions CISCO_PHONE_AUTO_SMARTPORTfunction CISCO_PHONE_AUTO_SMARTPORT () { if [[ $LINKUP -eq YES ]]; then conf t interface $INTERFACE no macro description $TRIGGER switchport switchport access vlan $ACCESS_VLAN switchport mode access if [[ $AUTH_ENABLED -eq NO ]]; then switchport voice vlan $VOICE_VLAN fi auto qos voip Cisco-phone switchport port-security switchport port-security max 2 switchport port-security violation restrict switchport port-security aging time 2 switchport port-security aging type inactivity spanning-tree portfast spanning-tree bpduguard enable macro description $TRIGGER exit end fi
  40. 40. Auto Smart Port – отключение портаif [[ $LINKUP -eq NO ]]; then conf t interface $INTERFACE no auto qos voip Cisco-phone no switchport port-security no switchport access vlan $ACCESS_VLAN no switchport port-security max 2 no switchport port-security violation restrict no switchport port-security aging time 2 no switchport port-security aging type inactivity no spanning-tree portfast no spanning-tree bpduguard enable if [[ $AUTH_ENABLED -eq NO ]]; then no switchport mode access no switchport voice vlan $VOICE_VLAN fi no macro description $TRIGGER exit end fi}
  41. 41. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения – Безопасность • Аутентификация, Авторизация и Местоположение • Доступ на основе политик: TrustSec • Изоляция – Управление• Заключение
  42. 42. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения – Безопасность • Аутентификация, Авторизация и Местоположение • Доступ на основе политик: TrustSec • Изоляция – Управление• Заключение
  43. 43. 802.1x сценарии внедрения• Несколько способов реализовать сетевую аутентификацию• Аутентификация устройств доступа к виртуализированным столам при помощи IEEE 802.1X – Стандартный и широко распространенный подход – Использование Extensible Authentication Protocol (EAP)• Резервный механизм при помощи MAC Authentication Bypass (MAB) – Реализуется в случае, если устройство не поддерживает 802.1X. Производится сверка с БД корпоративных MAC адресов. Кампус 802.1X Кампусная Supplicant сеть MAB Radius Сервис Cisco® Catalyst® Сервер каталога Терминальные Switch кампусные устройства
  44. 44. 802.1x – настройка 802.1X Порт неавторизован Interface Config Interface GigabitEthernet0/1 switchport mode access Global Config switchport access vlan 2908 switchport port-security maximum 3aaa new-model authentication control-direction inaaa authentication dot1x default group radius authentication host-mode multi-hostaaa authorization network default group radius authentication event fail action authorize vlan 2909 authentication event server dead action authorize vlan 2909radius-server host 10.100.100.100 authentication event no-response action authorize vlan 2909radius-server key cisco123 authentication event server alive action reinitialize authentication port-control autodot1x system-auth-control authentication periodicinterface GigabitEthernet1/0/1 authentication timer reauthenticate 300 authentication port-control auto authentication timer inactivity 60 dot1x pae authenticator mab eap dot1x pae authenticator dot1x timeout tx-period 30
  45. 45. 802.1x – проверка конфигурацииSwitch#show authentication session interface gi 1/1 Interface: GigabitEthernet1/1 MAC Address: 58bc.2775.a728 IP Address: 10.2.1.2 User-Name: CP-9951-SEP58BC2775A728 Status: Authz Success Domain: VOICE Oper host mode: multi-auth Oper control dir: both Authorized By: Authentication Server Session timeout: N/A Idle timeout: N/A Common Session ID: 0A0201010000000B404A3684 Acct Session ID: 0x00000016 Handle: 0x8900000CRunnable methods list: Method State dot1x Authc Success mab Not run
  46. 46. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения – Безопасность • Аутентификация, Авторизация и Местоположение • Доступ на основе политик: TrustSec • Изоляция – Управление• Заключение
  47. 47. Доступ на базе политик: TrustSec Могу ли я Полный доступ к корпоративной сети подключить мой • Низкая стоимость поддержки собственный iPad • Высокий риск к сети? Централизованная Система Дифференци- управления ированный доступ политикой доступа • VXI сервис Управление • Internet унифицированным доступом Доступ к корпоративной сети отсутствует Сотрудник • Низкая стоимость поддержки • Низкий риск• Конвергентный мониторинг и устранение неисправностей• Простые, масштабируемые политики доступа• Корпоративное устройство с AD credential и сертификатом (EAP-TLS) получает доступ к корпоративным ресурсам• Персональное устройство (BYOD) получит ограниченный доступ
  48. 48. Доступ на базе политик: TrustSec ISE ISE 1 EAP аутентификация 4 Accept -> VLAN 30 2 Accept -> VLAN 20 КорпоративныеСотрудник ресурсы VLAN 20 CAPWAP Один и тот же SSID 802.1Q Транк VLAN 30 3 EAP аутентификация InternetСотрудник• Конвергентный мониторинг и устранение неисправностей• Простые, масштабируемые политики доступа• Корпоративное устройство с AD credential и сертификатом (EAP-TLS) получает доступ к корпоративным ресурсам• Персональное устройство (BYOD) получит ограниченный доступ
  49. 49. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения – Безопасность • Аутентификация, Авторизация и Местоположение • Доступ на основе политик: TrustSec • Изоляция – Управление• Заключение
  50. 50. Изоляция WAN Internet• Посредством VDI пользователи становятся ближе к внутренней доверенной сети. Традиционные десктопы изолируются при помощи VLAN и МСЭ. Для VDI среды должны быть выделены VLAN и МСЭ, хотя Кампус фактически VDI «контейнер» будет Si Si находится внутри ЦОД• Необходимо изолировать трафик Si Si зоны, в которой находятся web сервера и сервера приложений от зоны в которой находятся виртуальные десктопы и наоборот Si Si Si Si• VRF-lite, EVN -> для маршрутизируемого уровня доступа или уровня распределения Здание 1 Здание 2• На базе VLAN -> для L2 доступа Распределительные блоки
  51. 51. Использование EVN для изоляции VDI vrf definition VDI vnet tag 101 Ядро vrf definition VoIP vnet tag 102 кампуса vrf definition Data g1/0 vnet tag 103 interface g1/0Уровнь 3 vnet trunk Si SiУровнь 2 g1/1 interface vlan 21 vrf forwarding VDI interface vlan 22 vrf forwarding VoIP L2 interface vlan 23 транки vrf forwarding Data interface vlan 31 VLAN 21 VDI VLAN 31 VDI vrf forwarding VDI VLAN 22 VoIP VLAN 32 VoIP interface vlan 32 VLAN 23 Data VLAN 33 Data vrf forwarding VoIP interface vlan 33 vrf forwarding Data
  52. 52. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения – Безопасность – Управление • QoS • Мониторинг• Заключение
  53. 53. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения – Безопасность – Управление • QoS • Мониторинг• Заключение
  54. 54. Quality of Service (QoS)Качество обслуживания• VDI трафик зашифрован и протоколы являются частными (закрытыми)• Недостаточная прозрачность приложений внутри дисплей протокола• Как следствие, весь VDI трафик нуждается в приоритезации, поскольку по своей природе чувствителен к потерям/задержкам
  55. 55. QoS - классификаторы ip access-list RDP ip access-list MMR permit tcp any eq 3389 any permit tcp any eq 9427 any ip access-list PCoIP-UDP ! permit udp any eq 50002 any ip access-list NetworkPrinter ip access-list PCoIP-TCP permit ip any host 10.1.128.10 permit tcp any eq 50002 any permit ip any host 10.1.2.201 ip access-list PCoIP-UDP-new ! permit udp any eq 4172 any ip access-list CUPCDesktopControl ip access-list PCoIP-TCP-new permit tcp any host 10.0.128.125 eq 2748 permit tcp any eq 4172 any permit tcp any host 10.0.128.123 eq 2748 ip access-list ICA permit tcp any eq 1494 any ! ip access-list View-USB permit tcp any eq 32111 any
  56. 56. QoS – Class Maps и Policy Maps Class-maps Policy-mapclass-map type qos match-any CALL-SIGNALING policy-map type qos pmap-HVDPort match access-group name CUPCDesktopControl class CALL-SIGNALING set cos 3class-map type qos match-any MMR-STREAMING set dscp cs3 match access-group name MMR ! dscp = 24 class MMR-STREAMINGclass-map type qos match-any TRANS-DATA set cos 4 match access-group name RDP set dscp af31 match access-group name PCoIP-UDP ! dscp = 26 match access-group name PCoIP-TCP class TRANS-DATA match access-group name PCoIP-UDP-new set cos 2 match access-group name PCoIP-TCP-new set dscp af21 ! dscp = 18class-map type qos match-any BULK-DATA class BULK-DATA match access-group name View-USB set cos 1 match access-group name NetworkPrinter set dscp af11 ! dscp = 10
  57. 57. QoS – вывод show команд • Просмотр статистики использования политик QoSDC-WAN#show policy-map interface Serial0/0/0:0 Service-policy output: WAN-EDGEGigabitEthernet0/0Service-policy input: HQ-LAN-EDGE-IN Class-map: MMR-STREAMING (match-any) 5456 packets, 8052828 bytesClass-map: MMR-STREAMING (match-any) 30 second offered rate 393000 bps, drop3532 packets, 5249960 bytes Match: dscp af31 (26) af32 (28) af33 (30)30 second offered rate 9000 bps, drop rate 0 5456 packets, 8052828 bytesMatch: dscp af31 (26) af32 (28) af33 (30) 30 second rate 393000 bps0 packets, 0 bytes30 second rate 0 bps Match: access-group name MMRMatch: access-group name MMR 0 packets, 0 bytes3532 packets, 5249960 bytes 30 second rate 0 bps30 second rate 9000 bps QueueingQoS Set queue limit 64 packetsdscp af31 (queue depth/total drops/no-buffer drops) 0/0/0Packets marked 3532 (pkts output/bytes output) 5456/8052828 bandwidth 5% (76 kbps) Exp-weight-constant: 9 (1/512) Mean queue depth: 25 packets
  58. 58. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI – Снижение стоимости владения – Безопасность – Управление • QoS • Мониторинг• Заключение
  59. 59. Мониторинг при помощи Mediatrace• Mediatrace обнаруживает и initiator#show mediatrace session stats 1 Session Index: 1 опрашивает L2 и L3 узлы сети по … направлению передачи потока Mediatrace Hop: 2 (host=responder2, ttl=253) Metrics Collection Status: Success• Mediatrace преимущественно Reachability Address: 10.10.34.3 Ingress Interface: Gi0/1 используется для видео Egress Interface: Gi0/2 Metrics Collected: трафика,но может быть Flow Sampling Start Timestamp: 23:45:56 использован для сбора статистки, Loss of measurement confidence: FALSE Media Stop Event Occurred: FALSE которая аутальна и для VDI IP Packet Drop Count (pkts): 0 IP Byte Count (Bytes): 6240 IP Packet Count (pkts): 60 IP Byte Rate (Bps): 208 Packet Drop Reason: 0 IP DSCP: 0 IP TTL: 57 IP Protocol: 17 Media Byte Rate Average (Bps): 168 Media Byte Count (Bytes): 5040 Media Packet Count (pkts): 60 RTP Jitter Average (usec): 3911 RTP Packets Lost (pkts): 0 RTP Packets Expected (pkts): 60 RTP Packet Lost Event Count: 0 RTP Loss Percent (%): 0.00
  60. 60. Использование встроенного в IP SLAсимулятора трафика• IP SLA признанное индустрией средство для измерения джиттера, характеристк ICMP и т.д. и т.п.• Используется для фоновых замеров и не влияет на трафик реальных данных• Рекомендуется использовать IP SLA Video Operation (VO) пробник, профиль которого напоминает VDI трафик• Возможность удаленного мониторинга и планирования• IP SLA CLI и MIB интерфейсы обеспечивают простую интеграцию продуктами NMS Готова ли моя сеть к развертыванию VDI? Si Коммутатор D Маршрутизатор C Маршрутизатор B Si Коммутатор A
  61. 61. Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI• Заключение
  62. 62. Заключение• Идентифицировать группы пользователей VDI• Определить клиентское оборудование для конечных пользователей – Task Worker: Тонкий/Ноль клиент – Knowledge Worker: Тонкий/Толстый клиент – Power User: Толстый клиент• Ресурсы ЦОД – Увеличивается число серверных портов – Функции уровня доступа «переезжают» в ЦОД – Задачи сегментации трафика• Вьбор протокола (RDP/ICA/PCoIP)• Запланировать пилот для группы пользователей• Спроектировать кампусную сеть – Высокая доступность и Power over Ethernet (PoE) – Безопасность 802.1x и TrustSec для BYOD – Высокая производительность при помощи QoS и поиск и устранение неисправностей при помощи функций MediaNet
  63. 63. Архитектура VXI – дополнительнаяинформация• 3-й день CiscoExpo 2012: 22 ноября• Поток: Центры Обработки Данных• Время: 15-25 – 17-30• Сессия: Архитектура Cisco VXI для виртуализации рабочих мест пользователей и её внедрение – Введение и базовые элементы 15-25 – 16-25 – Сервисные элементы, масштабирование и управление 16-30 – 17-30
  64. 64. Спасибо!Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×