Программируемая сеть,
думающая за вас: ночной
кошмар или светлое будущее?!
Алексей Лукацкий
Бизнес-консультант по безопасн...
C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

2
Финансовая дисциплина
- Снижение CAPEX
- Оптимизация OPEX

Гибкость и масштабируемость бизнеса

- Снижение времени вывода ...
Мобильность/BYOD

Безопасность

Видео

Содействие и защищенное
подключение личных мобильных
устройств

Понимание контекста...
Стационарный доступ к ресурсам

Мобильный доступ к ресурсам

Физические сервера

Виртуальные сервера

Фиксированные полити...
Все объединено в единую сеть
«Интернет вещей» (M2M)

Корпоративные
сети

ЦОД / Облако
Развиваться согласно
растущим требованиям

Сохраняя всё положительное

• Отказоустойчивость
• Масштабируемость
• Гибкие фу...
ТЕХНОЛОГИИ, ВЛИЯЮЩИЕ НА СЕТЬ

Видео

Голос

Хранение

Безопасность

Big Data

SDN

СЕТЬ
Inline
SNA поверх
Power
IP
Голос
п...
Изоляция / Разделение /
Комбинация / Совместное
использование

Сетевые
функции в ПО

Сетевая
виртуализация

Облачные
вычис...
C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

10
Множество
определений
• Openflow
• Контроллер
• Openstack

• Оверлейные сети
• Сетевая виртуализация
• Автоматизация
• API...
Что такое программно
управляемая сеть (SDN)?
“…В архитектуре SDN разделены уровни управления
и передачи данных, обеспечена...
Уровень
обработки

Где
запускается

Показатели
функционирования

Типы процессов и задач

Уровень
управления

ЦПУ
коммутато...
(например, OpenStack, CloudStack)

Уровень
приложений

Business Applications
Business Applications
Бизнес-приложения
APIs ...
• Правила обработки пользовательского трафика задают сами приложения
Реализация собственных алгоритмов
Возможность избавит...
ЦОД

Мультимедиа

Мобильные сети

• Концентрация на
функциях ядра
ЦОД
• Высокая гибкость
• Интеграция с
облаком
• Обеспече...
• Переход от управления сетью на

базе отдельного устройства к
централизованному управлению
• Рост сетевой функциональност...
Что облегчает SDN?
• Сетевая виртуализация
• Изменение цепочки обработки трафика и
реализация новых сервисов
• Применение ...
1

Интерфейсы API
Приложения

Классическая SDN 2b
Приложения

Контроллер

Разработка
производителя
оборудования
(например,...
Железо

ASIC

ПО

Управление
C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

21
Среда разработки приложений

Управление и оркестрация
Анализ и мониторинг, производительность и безопасность

Сетевые серв...
Самый полный набор сетевых решений в отрасли
Оборудование и ПО
Физические и виртуальные
Сеть + вычисления

Приложения

www...
C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

24
Вы начинаете с
локальной сети на
базе физических
коммутаторов

Физические устройства и
физические соединения
Затем вы
добавляете
«перекрытие»
(overlay)

Перекрытие
обеспечивает базу
для создания
логической сети
Виртуальные
“коммутаторы”
накладываются на
физическую сеть

Они определяют
собственную
топологию

Используется
физическая ...
Multiple “overlay”
networks can co-exist
at the same time

Overlays provides logical
network constructs for
different tena...
OpenStack
Quantum API

REST API

Nexus 1000V VEM
(контроллер)

Nexus 1000V VEM
(уровень коммутации)

vPath
(VXLAN Aware)
A...
LAN Switch
(vSwitch)

Security Gateway
(VSG)

Identity Services
(vISE)

Adaptive Security
(vASA)

WAN Acceleration
(vWAAS)...
Виртуализированные сетевые сервисы

Виртуализованный
/облачный
ЦОД
Коммутатор
WAN
маршрутизатор

Сервера

Cloud
Imperva
Se...
Физическая
нагрузка

Виртуальная
нагрузка

ГИПЕРВИЗОР
• Одно прил. на сервер
• Статично
• Ручное управление

• Много прил....
Корпоративное облако
Private/Hosted/Managed
Интеграция VM Manager

Облако провайдера

VNMC
InterCloud

Public/Utility/Comm...
• Гибкая модель безопасность
Cisco Virtual Secure Gateway (VSG)
для внутризоновой защиты
Cisco ASA 1000V для контроля межд...
C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

35
• Платформа для

• Существующие примеры

применения
Гибкая «нарезка» (“Slicing”)
сетей
Диагностика проблем
Маршрутизация п...
Сетевое ответвление
(мониторинг трафика)

Подход по
зеркалированию
трафика на средства
анализа на базе политик

Topology I...
Инструменты

Рабочая сеть

IDS /
СОРМ

Wireshark

Статическая
фильтрация и
пересылка

Видеомонитор

Специализированное
реш...
Netflow телеметрия

Общий вид

Cisco Switches, Routers и ASA
5500

Анализ и контекст в
Cisco Cyber Threat Defense

Внутрен...
Инструменты

Рабочая сеть
С решением SDN Monitor Manager

NEW

CUSTOM
TOOLS

Wireshark

Видеомонитор

Cisco XNC
Central Ta...
Cisco XNC

Следующий шаг после Monitor Manager
Упрощение правил пересылки трафика для улучшения утилизации WAN
• Традиционный подходит тормозит эффективное использование WAN
- Приложение должно заставлять пользователей использовать P...
Поток для
резервирования

Обход МСЭ для доверенных приложений или выборочное шифрование
Openflow / one PK

2 мс

Cisco XNC

Другие параметры для определения маршрута также возможны
1
Назначение

Цены ISP
Маршрут A Маршрут B
$1

$2

$2

$3

Маршрут A

$3

Маршрут B

App
onePK

$1

2

3

Собственные прав...
Возможности

Slice 2
Slice 1

Slice 3

• Динамическая сетевая
сегментация из “единой
точки контроля”
• Изоляция сегментов
...
• Сетевая «нарезка» логически делит сеть на основе набора критериев
-

Физические устройства
Физические интерфейсы
Логичес...
onePK предоставляет
доступ к информации о системе и интерфейсах?

CPU,Routing
Memory, Platform, Serial #, Versions, Uptime...
onePK предоставляет
возможность Копировать/Пересылать/Вводить пакеты?

Вспомните Cisco Email Security Appliance
и его функ...
IP NGN
Полоса по требованию, утилизация пропускной способности
Гарантия SLA, динамический QoS

Облака
Создание эластичных ...
C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

51
CLI
SNMP
HTML
XML
AAA
CDP
Syslog
Netflow
Routing Protocols
Span

Monitorin
g

Новая парадигма

App
Discovery

Routing

Sec...
Новые инструменты
позволяют быстрее
реализовать
необходимый сценарий

Приложение

onePK
CLI

NMS

SNMP
EEM

Новые
инструме...
Программы на C, JAVA, Python
Презентационный уровень onePK API

Инфраструктура onePK API

IOS / XE
(Catalyst, ISR, ASR1K)
...
Наборы сервисов OnePK

DATA PATH

Сервисы доставки пакетов приложениям – копирование,
врезка…

POLICY

Фильтрация (NBAR), ...
C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

56
• Канал от пользовательского до сетевого устройства

• Сетевое устройство
• Протокол управления сетевыми устройствами (Ope...
• Классическая SDN базируется на публичных стандартах и интерфейсах
Хороши известный вектор для атаки

• Внешний доступ к ...
C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

59
Сегодня
Управление и оркестрация

Nexus 1000V:

Cisco Prime

Сетевые сервисы

Новое!

ASA, WaaS, VSG,
vWaaS

Уровень управ...
Протоколы, интерфейсы API и модели развертывания

Способность объединять уровни

Портал для разработчиков
Обучение/сертифи...
Спасибо!
Upcoming SlideShare
Loading in …5
×

Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!

1,010 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,010
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
31
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!

  1. 1. Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?! Алексей Лукацкий Бизнес-консультант по безопасности Cisco © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
  2. 2. C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
  3. 3. Финансовая дисциплина - Снижение CAPEX - Оптимизация OPEX Гибкость и масштабируемость бизнеса - Снижение времени вывода на рынок новых продуктов - Быстрое и бесшовное предоставление услуг Сервис-ориентированное ИТ-подразделение - Динамическая конфигурация - Динамические политики и картина трафика
  4. 4. Мобильность/BYOD Безопасность Видео Содействие и защищенное подключение личных мобильных устройств Понимание контекста для установки политик, снижающих будущие риски Содействие и приоритезация растущих объектов видео Облака Видимость/Автоматизация Разнообразие доступа к ресурсам сети VoIP Обеспечение и развитие опыта работы пользователей с облаками VDI HD Video Реализация возможностей по автоматизации для снижение TCO Бесшовное перемещение сотрудников по офису | Партнеры Филиалы | Мобильные & Надомные работники
  5. 5. Стационарный доступ к ресурсам Мобильный доступ к ресурсам Физические сервера Виртуальные сервера Фиксированные политики Инсталляция динамических политик Контролируемые ИТ приложения Принести свое приложение (BYOA) Неизменные потоки трафика «Мимолетные» потоки трафика
  6. 6. Все объединено в единую сеть «Интернет вещей» (M2M) Корпоративные сети ЦОД / Облако
  7. 7. Развиваться согласно растущим требованиям Сохраняя всё положительное • Отказоустойчивость • Масштабируемость • Гибкие функциональные возможности • Вложения в инфраструктуру + • Простота эксплуатации • Возможность программного управления • Учет требований приложений Развитие сети в соответствии с требованиями современных приложений. Результат появления концепции BYOD и облачных решений, а также скачкообразного увеличения объема передаваемых данных и видео
  8. 8. ТЕХНОЛОГИИ, ВЛИЯЮЩИЕ НА СЕТЬ Видео Голос Хранение Безопасность Big Data SDN СЕТЬ Inline SNA поверх Power IP Голос поверх IP Сетевая виртуализация Сети хранения Унифицированный доступ Унифицированная фабрика ИННОВАЦИИ CISCO Унифицированные вычисления Открытая сеть (ONE)
  9. 9. Изоляция / Разделение / Комбинация / Совместное использование Сетевые функции в ПО Сетевая виртуализация Облачные вычисления SDN Разделение уровня данных и уровня управления
  10. 10. C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
  11. 11. Множество определений • Openflow • Контроллер • Openstack • Оверлейные сети • Сетевая виртуализация • Автоматизация • API • Ориентированные на приложения • Виртуальные сервисы • Открытый vSwitch • …
  12. 12. Что такое программно управляемая сеть (SDN)? “…В архитектуре SDN разделены уровни управления и передачи данных, обеспечена логическая централизация интеллектуальных сетевых механизмов и информации о состоянии сети, а низлежащая сетевая инфраструктура абстрагирована от приложений…” Примечание. Как программное управление, так и автоматизация возможны и без SDN. Источник: www.opennetworking.org Что такое OpenStack? ПО с открытым исходным кодом для создания частных и публичных облаков; включает сервисы вычислений (Nova), сетевые сервисы (Quantum) и сервисы хранения (Swift). Примечание. Может использоваться в SDN-сетях и не-SDN-сетях. Источник: www.openstack.org Что такое OpenFlow? “…открытый стандарт, определяющий взаимодействие между разделёнными уровнями управления (контроллер) и передачи данных (агент)…” Примечание. В SDN не обязательно используется OpenFlow. Источник: www.opennetworking.org Что такое оверлейная сеть? Оверлейная сеть создается на основе существующей сетевой инфраструктуры (физической или виртуальной) с помощью сетевого протокола. В качестве примеров протоколов оверлейных сетей можно привести GRE, VPLS, OTV, LISP и VXLAN. Примечание. Может использоваться в SDN-сетях и не-SDN-сетях.
  13. 13. Уровень обработки Где запускается Показатели функционирования Типы процессов и задач Уровень управления ЦПУ коммутатора Тысячи пакетов в секунду Протоколы маршрутизации (например, OSPF, ISIS, BGP), Spanning Tree, SYSLOG, AAA (Authentication Authorization Accounting), NDE (Netflow Data Export), CLI (Command Line interface), SNMP Уровень передачи данных Специальный аппаратный ASIC Миллионы или миллиарды пакетов в секунду Коммутация L2 и L3 (IPv4 | IPv6), MPLS forwarding, VRF Forwarding, маркировка QOS (Quality of Service), классификация, Policing, сбор Netflow, ACL (Access Control Lists) Уровень управления (Control Plane) и уровень передачи данных (Data Plane) Два фундаментальных термина для понимания концепции SDN
  14. 14. (например, OpenStack, CloudStack) Уровень приложений Business Applications Business Applications Бизнес-приложения APIs (Northbound) Уровень приложения ПО управления SDN Сетевые сервисы Программируемый интерфейс управления уровнем данных (например, OpenFlow или OnePK) Уровень инфраструктуры (данных) Сетевое устройство Сетевое устройство Сетевое устройство Сетевое устройство Сетевое устройство https://www.opennetworking.org/
  15. 15. • Правила обработки пользовательского трафика задают сами приложения Реализация собственных алгоритмов Возможность избавиться от ненужных функций на сетевом уровне • Управление трафиком в реальном времени Оптимизация сети для различных приложений со специфичными требованиями • Изоляция Разделение сети между различными приложениями • Унифицированные сетевые политики Автоматизация и централизация сетевого управления Эластичность сети • Быстрое внедрение новых сервисов и процессов
  16. 16. ЦОД Мультимедиа Мобильные сети • Концентрация на функциях ядра ЦОД • Высокая гибкость • Интеграция с облаком • Обеспечение отказоустойчивости • Динамическое распределение ресурсов • Управление маршрутами на основе QoS • Динамические изменения поведения сети • Миграция контента • Выделение ресурсов • Мобильный доступ к облаку • Взаимодействия IoT • Функциональная виртуализация Smart Grid • Оптимизация для коротких команд управления • Изоляция сетевых сегментов
  17. 17. • Переход от управления сетью на базе отдельного устройства к централизованному управлению • Рост сетевой функциональности Традиционная сетевая архитектура - распределенный контроль “умный ящик” Архитектура SDN – централизованный контроль SDN Controller • Адаптация к динамически изменяющимся потребностям • Возможность изменений в реальном времени • Еще дешевле и проще в управлении, чем современные сети Уровень управления Уровень данных “Централизованное” управление Для Cisco данная архитектура не нова – по ней построены наши беспроводные решения (WLC) и решения по сетевой виртуализации (Nexus 1000V)
  18. 18. Что облегчает SDN? • Сетевая виртуализация • Изменение цепочки обработки трафика и реализация новых сервисов • Применение политик • 5-tuple • (ограниченный) AVC • Фильтрация URL • Проверка репутации • Сетевые сервисы • Балансировка нагрузки • QoS Что пока под вопросом • Inter-domain • BGP • LISP • Мультипакетные сервисы • Stateful inspect • DPI • Производительность • Задержки обработки пакетов • Масштабирование контроллера • Доступность • Сложность переноса логики из действующей сети в контроллер • Требуется кластеризация • Зрелость технологии
  19. 19. 1 Интерфейсы API Приложения Классическая SDN 2b Приложения Контроллер Разработка производителя оборудования (например, onePK) Уровень управления Уровень управления Уровень передачи данных Уровень передачи данных Гибридная “SDN” Приложения Контроллер OpenFlow OpenFlow Разработка производителя оборудования (например, onePK) Разработка производителя оборудования (например, onePK) Уровень управления Уровень передачи данных 3 Виртуализация сети/ Оверлейные сети Приложения API производителя оборудования API производителя оборудования API производителя оборудования API производителя оборудования CLI, SNMP, Netflow, … 2a Уровень передачи данных Виртуальный УУ Виртуальный УПД Оверлейные протоколы (например, VXLAN) Уровень управления Уровень передачи данных
  20. 20. Железо ASIC ПО Управление
  21. 21. C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
  22. 22. Среда разработки приложений Управление и оркестрация Анализ и мониторинг, производительность и безопасность Сетевые сервисы Сбор сетевой аналитики Open Network Environment Уровень управления OpenFlow/ SDN Уровень пересылки z Сетевые элементы и абстрактные представления Транспорт Программное управление для оптимизации работы
  23. 23. Самый полный набор сетевых решений в отрасли Оборудование и ПО Физические и виртуальные Сеть + вычисления Приложения www.cisco.com/go/one Виртуальные оверлейные сети Интерфейсы API для платформ a Network onePK Контроллеры и агенты Контроллер и агент OpenFlow; onePK Nexus 1000v Шлюз VXLAN API для OpenStack Полномасштабный подход к программному управлению сетями
  24. 24. C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
  25. 25. Вы начинаете с локальной сети на базе физических коммутаторов Физические устройства и физические соединения
  26. 26. Затем вы добавляете «перекрытие» (overlay) Перекрытие обеспечивает базу для создания логической сети
  27. 27. Виртуальные “коммутаторы” накладываются на физическую сеть Они определяют собственную топологию Используется физическая сеть для передачи по виртуальной сети
  28. 28. Multiple “overlay” networks can co-exist at the same time Overlays provides logical network constructs for different tenants (customers)
  29. 29. OpenStack Quantum API REST API Nexus 1000V VEM (контроллер) Nexus 1000V VEM (уровень коммутации) vPath (VXLAN Aware) ASA 1KV VSG VXLAN (16M Segments) Шлюз VXLAN – VLAN Физическая сеть (VLAN) Любой гипервизор (VMware, Microsoft, Opensource) vWAAS ASA 55xx vACE Виртуальные сетевые сервисы (с vPath) Tenant 1 Tenant 2 Виртуальные нагрузки Tenant 3 Физические нагрузки Универсальная функциональность для физических и виртуальных нагрузок
  30. 30. LAN Switch (vSwitch) Security Gateway (VSG) Identity Services (vISE) Adaptive Security (vASA) WAN Acceleration (vWAAS) Mobility Services (vMSE) Wireless LAN Control (vWLC) Cloud Services Router (vCE) Video Cache Network Analytics (vDNA) Network Analysis (vNAM) Network Management (PRIME NCS) .. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации
  31. 31. Виртуализированные сетевые сервисы Виртуализованный /облачный ЦОД Коммутатор WAN маршрутизатор Сервера Cloud Imperva Services SecureSphere Router WAF 1000V Citrix NetScaler VPX Network Analysis Module (vNAM) ASA 1000V Cloud Firewall Cisco Virtual Email / Web Security Security (vESA Gateway /vWSA) Tenant A vWAAS Zone A Zone B Физическая инфраструктура vPath VXLAN Cisco Nexus 1000V Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*) Cisco Nexus 1000V VSG ASA 1000V vWAAS CSR 1000V Ecosystem (Cloud Router) Services • Распределенный • Контроль на уровне • МСЭ периметра, • WAN оптимизация • WAN L3 шлюз • Citrix NetScaler VPX коммутатор • Согласованность с NX-OS VM • Zone-based FW VPN • Инспекция протоколов • Трафик приложений • Маршрутизация и virtual ADC • Imperva Web App Firewall VPN
  32. 32. Физическая нагрузка Виртуальная нагрузка ГИПЕРВИЗОР • Одно прил. на сервер • Статично • Ручное управление • Много прил. на сервер • Мобильность • Динамическое управление Облачная нагрузка VDC-1 VDC-2 • Несколько зон на сервер • Эластичность • Автомат.масштабирование СОГЛАСОВАННОСТЬ: Политики, Возможности, Безопасность, Управление, Разделение полномочий Multi-Hypervisor Multi-Service Multi-Cloud
  33. 33. Корпоративное облако Private/Hosted/Managed Интеграция VM Manager Облако провайдера VNMC InterCloud Public/Utility/Community API интеграции с облаком ASP Другие потребители Nexus 1000V InterCloud Cisco Nexus1000V N1KV InterCloud vSwitch L2 Virtual Private Cloud Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы Защищенное гибридное облако = Защищенное расширение частного облака в публичное Сценарии Преимущества • Всплески (события, сезонность, вывод на рынок…) • Согласованность сети/сервисов/политик • Обновление/миграция • Защита и шифрование • Непрерывность/избежание катастроф • Единая точка управления • Защита от «наездов» • Выбор между провайдерами
  34. 34. • Гибкая модель безопасность Cisco Virtual Secure Gateway (VSG) для внутризоновой защиты Cisco ASA 1000V для контроля между зонами VMware vCenter Cisco Virtual Network Management Center (VNMC) Tenant A Tenant B VDC VDC • Прозрачная интеграция С Cisco Nexus 1000V и Cisco vPath vApp Cisco VSG Cisco VSG Cisco VSG vApp • Единый контроль доступа с Cisco VSG помощью Cisco ISE • Контроль аномалий в сети с помощью Sourcefire Virtual Appliance и Cisco CTD • Расширение защитных функций Cisco vESA/vWSA, Imperva WAF Cisco ASA 1000V Cisco ASA 1000V Cisco vPath Cisco Nexus 1000V Гипервизор
  35. 35. C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
  36. 36. • Платформа для • Существующие примеры применения Гибкая «нарезка» (“Slicing”) сетей Диагностика проблем Маршрутизация по правилам Приложения (Cisco) Приложения (Заказчик) Приложения (3rd party) Приложения Built-in GUI for Management управления поведением сети – консолидация состояния для многих сетевых узлов Northbound API (REST, WebSockets, OSGi) Сегментация сети (slicing) Сетевой траблшутинг Управление потоками Логика форвардинга Пользовательская маршрутизация Встроенные в контроллер приложения Управление устройствами Инфраструктура ядра контроллера onePK API Протокол OpenFlow 1.x Southbound APIs (onePK, OneFlow,) onePK onePK OF OF
  37. 37. Сетевое ответвление (мониторинг трафика) Подход по зеркалированию трафика на средства анализа на базе политик Topology Independent Forwarding Сетевая сегментация (независимая от топологии пересылка) (она же Slicing) Статическое или динамическое создание бизнес-правил по маршрутизации трафика Разделение сети на части
  38. 38. Инструменты Рабочая сеть IDS / СОРМ Wireshark Статическая фильтрация и пересылка Видеомонитор Специализированное решение Наложенная сеть, специально созданная для мониторинга
  39. 39. Netflow телеметрия Общий вид Cisco Switches, Routers и ASA 5500 Анализ и контекст в Cisco Cyber Threat Defense Внутренняя сеть & периметр NetFlow Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее: • ISE отправляет identity данные в CTD • NBAR из маршрутизаторов тоже попадает в CTD Данные контекста Cisco Identity, Device, Posture, NAT, Application • NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства
  40. 40. Инструменты Рабочая сеть С решением SDN Monitor Manager NEW CUSTOM TOOLS Wireshark Видеомонитор Cisco XNC Central Tapping Optical Point Taps Динамические фильтры и пересылка на базе событий в реальном времени SPAN Openflow Enabled Nexus 3000s Замена выделенной сети для мониторинга на Nexus 3000, Controller и приложение Monitor Manager на XNC
  41. 41. Cisco XNC Следующий шаг после Monitor Manager Упрощение правил пересылки трафика для улучшения утилизации WAN
  42. 42. • Традиционный подходит тормозит эффективное использование WAN - Приложение должно заставлять пользователей использовать Policy Based Routing (PBR) - Политика маршрутизации статична - Нет возможности для использования дополнительных метрик, таких как полоса пропускания, утилизация или задержки • Приложение Cisco XNC Topology Independent Forwarding решает эти проблемы Устраняя необходимость в использовании PBR Реализуя независимость от физической топологии сети Обеспечивая возможность перенаправлять трафик при обнаружении отказов в сети Поддерживая различные метрики - Кратчайший путь - Полоса пропускания (1 Gbps/ 10 Gbps) - Задержка - Утилизация - Пользовательские правила
  43. 43. Поток для резервирования Обход МСЭ для доверенных приложений или выборочное шифрование
  44. 44. Openflow / one PK 2 мс Cisco XNC Другие параметры для определения маршрута также возможны
  45. 45. 1 Назначение Цены ISP Маршрут A Маршрут B $1 $2 $2 $3 Маршрут A $3 Маршрут B App onePK $1 2 3 Собственные правила определения маршрута движения трафика
  46. 46. Возможности Slice 2 Slice 1 Slice 3 • Динамическая сетевая сегментация из “единой точки контроля” • Изоляция сегментов • Бесшовная интеграция с пересылкой по пользовательским правилам Максимум гибкости и учета динамических потребностей предприятия
  47. 47. • Сетевая «нарезка» логически делит сеть на основе набора критериев - Физические устройства Физические интерфейсы Логические интерфейсы VLAN ID Дополнительные параметры потоков (например: порт, протокол, источник, назначение и т.д.) • Пользователи могут быть привязаны к специфичным сегментам • Пользователи будут видеть только свою часть сети • Вспомните Cisco Identity Service Engine – он реализует схожую функциональность
  48. 48. onePK предоставляет доступ к информации о системе и интерфейсах? CPU,Routing Memory, Platform, Serial #, Versions, Uptime, Location, OIR, CLI Changes Интерфейсы Port,QoS BW, MTU, TX/RX, BPS, PPS, Errors, Slot, Other Stats, Config, Link Changes Приложение Система
  49. 49. onePK предоставляет возможность Копировать/Пересылать/Вводить пакеты? Вспомните Cisco Email Security Appliance и его функцию по включению в исходящие email предустановленного Disclaimer! Вставка новых или модификация Приложение Уровень передачи данных Копирование пакетов
  50. 50. IP NGN Полоса по требованию, утилизация пропускной способности Гарантия SLA, динамический QoS Облака Создание эластичных сервисов, Security as a Service (SaaS), Автоматизация восстановления после катастроф, Балансировка нагрузки Мобильный доступ Динамичные политики и ценообразование, M2M, данные спонсоров Видео Премиальное видео, виртуализированное видео, облачный DVR
  51. 51. C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
  52. 52. CLI SNMP HTML XML AAA CDP Syslog Netflow Routing Protocols Span Monitorin g Новая парадигма App Discovery Routing Security QoS Interfaces C Java Python EEM (TCL) Rich Actions, Rich Events, Rich Environment Все о чем мечтаете.. Традиционные средства
  53. 53. Новые инструменты позволяют быстрее реализовать необходимый сценарий Приложение onePK CLI NMS SNMP EEM Новые инструменты вовлекают ИТ разработчиков
  54. 54. Программы на C, JAVA, Python Презентационный уровень onePK API Инфраструктура onePK API IOS / XE (Catalyst, ISR, ASR1K) NXOS (Платформы Nexus) IOS XR (ASR 9K, CRS)
  55. 55. Наборы сервисов OnePK DATA PATH Сервисы доставки пакетов приложениям – копирование, врезка… POLICY Фильтрация (NBAR), классификация (class-map, policy-map), действия (маркировка, policing, queuing), применение политик ROUTING Чтение маршрутов RIB, добавить/удалить маршруты, получать уведомления RIB ELEMENT Статистика CPU/память, статистика по интерфейсам, событий по элементам и интерфейсам DISCOVERY Анализ топологии 3-го уровня UTILITY События SYSLOG и отслеживание пути трафика DEVELOPER Отладка и расширение CLI (вызов CLI из приложений)
  56. 56. C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
  57. 57. • Канал от пользовательского до сетевого устройства • Сетевое устройство • Протокол управления сетевыми устройствами (OpenFlow, onePK) • Контроллер SDN • Станция управления Management connec on (e.g., SSH ) SDN control protocol (e.g., OpenFlow ) 6 5 4 • Приложения SDN Controller • API 3 Admin Sta on ent anagem ol & M Contr Data plane physical / logical connec ons • С точки зрения доступности, конфиденциальности, целостности, подотчетности, неотказуемости… SDN device 7 2 SDN device SDN device 1 SDN device lane Data P
  58. 58. • Классическая SDN базируется на публичных стандартах и интерфейсах Хороши известный вектор для атаки • Внешний доступ к внутренним ресурсам сетевого устройства • Каскадное распространение проблемы/уязвимости по всей SDN • Отказ в облуживании на контроллер • Легкость тестирования сценариев атак для злоумышленника • Компрометация контроллера = компрометация всей сети
  59. 59. C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
  60. 60. Сегодня Управление и оркестрация Nexus 1000V: Cisco Prime Сетевые сервисы Новое! ASA, WaaS, VSG, vWaaS Уровень управления Уровень пересылки Транспорт Nexus 1000v OpenStack CSR 1000V onePK Интерфейсы API для платформ Nexus 1000V: Контроллер/ агент OpenFlow VXLAN, vPath SDN PoC: Различные гипервизоры Шлюз VXLAN Контроллеры и агенты Виртуальные оверлеи
  61. 61. Протоколы, интерфейсы API и модели развертывания Способность объединять уровни Портал для разработчиков Обучение/сертификация Элемент  Свойства элемента  Управление конфигурацией  События интерфейсов/ портов  Сведения о местоположении Quantum API  Описания интерфейсов  Конфигурирование сети (L2)  L3 и упр. IP-адр. - ожидается  Классификаторы пакетов  Пометка  Копирование/удаление/ вставка  Статистика Утилиты  События и запросы Syslog  Интерфейс AAA  События Netflow  События DHCP Разработчик  Возможность отладки  Интерфейсы для трассировки  Расширения для управления Обнаружение  Обнаружение сетевых элементов  Обнаружение сервисов  Обнаружение топологии Политика  Политика интерфейса  Политика функционала интерфейса  Политика пересылки  Политика обработки сеанса Много ISV Маршрутизация  События смены протокола  Запросы из таблицы RIB Гибкость функционала
  62. 62. Спасибо!

×