End of theoretical talks on SDN! Time for real solutions - Cisco SP Intelligent VPN (IVPN) Architecture

1. Krzysztof.Konkowski@cisco.com
PLNOG 09 / 2015
Cisco SP Intelligent VPN
CCIE #20050 RS, SP / CCDE 2014::18

2. 2© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Usługi z chmury i ich wpływ na przychody
CIO deklaruje świadczenie
usług z chmur do 2015
SaaS, Hybrid Cloud,
Private Cloud
Znaczący poziom ruchu WAN przeznaczony
do usług z chmur – zazwyczaj via Internet –
jednak wciąż przesyłany do lokalizacji
centralnych przez łącza MPLS
Internet (DIA) zaczyna być szeroko
stosowaną alternatywą
Start-upy typu Cloud VPN
As seen at a Fortune 50
financial company

3. 3© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Średnia cena portu VPN
• W jej skład wchodzi cena:
• Portu
• Usług premium (np. CoS)
• Zarządzania CPE
• CPE jeśli jest dostarczany przez operatora.
• Koszt dostępu
ARPUs 2013 2014 2015 2016 2017 2018
MPLS
VPN 454.43
451.01
456.74
465.33
475.78
487.41
CPE
IP
VPN 144.32
142.58
146.26
149.35
151.39
150.28
DIY
VPN
Cloud
VPN $0 100$
$108 $117 $126 $136
* IDC szacuje koszty DIY jako 20-25% poniżej średniej ceny za CPE IP VPN
Średnia cena VPN – USA
• MPLS $451
• CPE $143
• Cloud $100
Model assumptions
*

4. 4© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Usługi Intelligent VPN
Obniżanie kosztu VPN i optymalizacja ruchu w sieci
§ Ewolucja sieci MPLS VPN.
§ Szybkie dostarczanie nowych usług
§ Zarządzanie z poziomu kontrolera / aplikacji
§ Wgląd w warstwę aplikacji – AVC, NBAR
§ Spójny katalog usług, uruchamianych w optymalnym miejscu
§ Smart Traffic Offload – ograniczanie przesyłania ruchu do DC
Ograniczenie kosztów usługi VPN
Nowe usługi, większe przychody
Optymalizacja istniejących usług VPN przy pomocy chmury
Internet
Oddział
Sieć operatorska
Public
Cloud
Private
Cloud
Sieć operatorska
Centrala
MPLS VPN
PE
L2 PtP
MPLS PW
IP
Micro
DC

5. Plan prezentacji – SP iVPN
1. Rozwiązanie wyjściowe – vMS (virtual Managed Services)
2. Opis technologii
3. Wartości dodane w stosunku do rozwiązań typu vMS
4. Zastosowania SP iVPN

6. Cisco Confidential 6© 2013 Cisco and/or its affiliates. All rights reserved.
Ewolucja “Services chaining”
Od: Do:
Dedykowanych urządzeń Maszyn wirtualnych
Usługi uruchamian na stałe Dynamiczne usługi
Odizolowane domeny Połączenie maszyn wirtualnych i urządzeń
Wdrażanie usług w modelu hop-by-hop Łączenie usług w łańcuch
Tradycyjne łączenie sieci Dynamiczne sieci overlay
Dostarczanie usług zależne od topologii Dostarczanie usług na bazie zapotrzebowania
Brak wglądu w ruch Bogate metainformacje
Polityka oparta o VLANy Polityka oparta o metadane

7. 7© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
vMS – pokaz CloudVPN

8. 8© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SP iVPN – Opis Technologii

9. Cisco Confidential 9© 2013 Cisco and/or its affiliates. All rights reserved.
Network Service Header (NSH)
Enkapsulacja warstwy danych
• Network Service Header (NSH) przenosi metadane i informacje o ścieżce usługi. Jest dodawany do
ramek / pakietów i tworzy logiczną warstwę usługi. Pakiety / ramki wraz z NSH są dalej wzbogacane o
zewnętrzne nagłówki transportowe.
• Bardzie szczegółowo – NSH zbudowany z 4 bajtowego nagłówka podstawowego, 4 bajtowego pola
service path, 4 obowiązkowych, 4 bajtowych pól kontekstu, ew dodatkowych pól kontekstu.
0
0
1 2 3 4 5 6 7 8 9
1
0
1 2 3 4 5 6 7 8 9
2
0
1 2 3 4 5 6 7 8 9
3
0
1
Ver O C R R R R R R Length (6) MD Type (8) Next Protocol (8)
Service Path Identifier (24) Service Index (8)
MPLS VPN Label 100
SGT 100
App ID: 100
Mandatory Context Header (4) - Service Shared Context
Optional Variable Length Context Headers
Original Packet Payload

10. Cisco Confidential 10© 2013 Cisco and/or its affiliates. All rights reserved.
IVPN – Architektura referencyjna
Komponenty
Kontroler ODL
Aplikacja
REST
NetConf/Yang
SF1 = vNBAR SF2 = vASA
SF(N) =
vDNS
Micro-DC
…
MPLS-VPN
Internet
Chmura publiczna
CPE/NID PE/vPE
Chmura DC lub
bezpośrednie łącza

11. Cisco Confidential 11© 2013 Cisco and/or its affiliates. All rights reserved.
IVPN – Architektura referencyjna
Zgranie usług
Kontroler ODL
Aplikacja
REST
NetConf/Yang
SF1 = vNBAR SF2 = vASA
SF(N) =
vDNS
Micro-DC
…
MPLS-VPN
Internet
Chmura publiczna
CPE/NID PE/vPE
Krok 1:
1. Zgranie łańcucha usług w aplikacji.
2. Stworzenie łańcuchów usług i ich ścieżek
Krok 2:
1. Warstwa kontroli wgrywa polityki łańcucha usług
Chmura DC lub
bezpośrednie łącza
NetConf/Yang

12. Cisco Confidential 12© 2013 Cisco and/or its affiliates. All rights reserved.
IVPN – Architektura referencyjna
Data Plane & Przekazywanie pakietów
Kontroler ODL
Aplikacja
REST
NetConf/Yang
Service
Classification
(SC)
Service Function Forwarder (SFF)
SF1 = vNBAR SF2 = vASA
SF(N) =
vDNS
Micro-DC
…
MPLS-VPN
Internet
Chmura publiczna
CPE/NID PE/vPE
IP
Payload
Terminate
Krok 5:
1. Usuwa nagłówki transportu overlay (eg. VxLAN-GPE)
2. Wczytuje NSH SPI i SI w celu obsługi przez SF
3. Zmniejsza SI o 1
4. Opcjonalnie dodaje metadane do NSH
5. Dodaje nagłowki transportu i przesyła ruch do SFF
Krok 7:
Zakończenie łańcucha SFF
1. Przekazywanie ruchu do SF jest zakończone
2. Początek normalnego przetwarzania (eg. MPLS VPN)
3. Metadane mogą być wykorzystane – np. sterowanie
ruchem
Krok 3:
1. Polityka usług jest aplikowana do sklasyfikowanych pakietów
2. Tworzy i dodaje nagłówek NSH z:
1. Service Path ID (SPI) = 100
2. Service Index (SI) = 255
3. Metadanymi
Krok 4:
SFF przekazuje pakiety do SF:
1. SFF NSH lookup: SPI + SI, określenie SF
2. Dodanie nagłówków transportowych: VxLAN-GPE/GRE
3. Przesłanie pakietów do SF(n)
IP
Payload
MPLS
IP
Payload
MPLS
IP
Payload
Krok 6:
SFF otrzymuje pakiety z SF:
1. Usuwa nagłówki transportu overlay
2. NSH lookup – sprawdzenie SPI + SI, określenie SF
3. Dodaje nagłówki transportu overlay: VxLAN-GPE/GRE
4. Przekazuje pakiety do SF(n)

13. Cisco Confidential 13© 2013 Cisco and/or its affiliates. All rights reserved.
3 podstawowe przepływy ruchu NSH
• SC + SFF + SF(n) + zakończenie
• SC + SFF + NSH-Proxy + SF(n) + zakończenie
• SC + SFF => SFF(n) + zakończenie

14. Cisco Confidential 14© 2013 Cisco and/or its affiliates. All rights reserved.
iVPN – zastosowanie #1:
Lokalne sterowanie ruchem MPLS-VPN – NSH App-ID Metadata
CPE
IP
Payload
MPLS-VPN
Internet Chmura publiczna
IP
Payload
MPLS
IP
Payload
SP-VRF VRF-Amzn
IP
Payload
MPLS
Przed IVPN
PE/vPE
DC
FabricSP-DCI
Datacenter
MPLS-VPN
IP
Payload
MPLS
FW
IPS
LB
Usługi
Bezpieczeństwa
IP
Payload
Peering

15. Cisco Confidential 15© 2013 Cisco and/or its affiliates. All rights reserved.
iVPN – zastosowanie #1:
Lokalne sterowanie ruchem MPLS-VPN – NSH App-ID Metadata
Kontroler ODL
Aplikacja
REST
NetConf/Yang
SC SFF
SF1 = vNBAR
Micro-DC
MPLS-VPN
Internet
Chmura publiczna
CPE ASR9k PE/vPE
IP
Payload
Koniec łańcucha SFF
IP
Payload
VxLAN-GPE
NSH: APP-ID
Po IVPN
IP
Payload
MPLS 50%
100% 30%
20%
IP
Payload
MPLS
IP
Payload

16. Cisco Confidential 16© 2013 Cisco and/or its affiliates. All rights reserved.
iVPN – zastosowanie #2:
Sterowanie ruchem na bazie opóźnień – per flow, NSH App-IDs
Przed IVPN
10msec
50msec
100msec
PBTS na
ASR9k

17. Cisco Confidential 17© 2013 Cisco and/or its affiliates. All rights reserved.
iVPN – zastosowanie #2:
Sterowanie ruchem na bazie opóźnień – per flow, NSH App-IDs
Z włączonym IVPN
10msec
50msec
100msec
SC SFF
SF1 = vNBAR
Micro-DC
Zakończenie SFF
IP
Payload
VxLAN/GRE
NSH: APP-ID
NSH
App-ID
App-ID
App-ID

18. Cisco Confidential 18© 2013 Cisco and/or its affiliates. All rights reserved.
Wartość dodana:
Unikalne właściwości metadanych NSH
• Programowanie SF – po wydarzeniu, przez metadane
Programowanie między VNFami poprzez instrukcje w metadanych
SF mogą wykorzystać metadane do programowania kolejnych SF w łańcuchu
• Metadane mogą sygnalizować SFF do przedwczesnego zakończenia łańcucha usług dla niektórych
przepływów i uruchomienia przekazywania L2/L3
• Metadane mogą mieć hierarchię. Przykładowo:
MD1 = ID Abonenta
MD2 = Pakiet
MD3 = Uprawnienia
MD4 = Dane rozliczeniowe
IP
Payload
VxLAN-GPE
NSH: APP-ID
(SC) SFF
SF1 = vNBAR SF2 = vASA
Micro-DC
Przykład:
• vNBAR programuje vASA via MD
• Zrzut TCP na bazie App-ID Flow

19. Cisco Confidential 19© 2013 Cisco and/or its affiliates. All rights reserved.
iVPN – zastosowanie #3:
Usługi po stronie PE + odciążenie lokalne łączy
CPE
IP
Payload
MPLS-VPN
Internet Chmura publiczna
IP
Payload
MPLS
IP
Payload
SP-VRF VRF-Amzn
IP
Payload
MPLS
Przed IVPN
PE/vPE
DC
FabricSP-DCI
Datacenter
MPLS-VPN
IP
Payload
MPLS
FW
IPS
LB
Usługi
bezpieczeństwa
IP
Payload
Peering

20. Cisco Confidential 20© 2013 Cisco and/or its affiliates. All rights reserved.
iVPN – zastosowanie #3:
Usługi po stronie PE + odciążenie lokalne łączy
CPE PE/vPE
SFFSC
Internal XR Dataplane
IP
Payload
VxLAN-GPE
NSH
SF1 =
vNBAR
SF2 = vASA SF(n) = vLB…
Wczytaj NSH i
zmniejsz o 1 SI
Wczytaj NSH i
zmniejsz o 1 SI
Wczytaj NSH i
zmniejsz o 1 SI
Wczytaj NSH
Dodaj VXLAN/GRE
Wczytaj NSH
Dodaj VXLAN/GRE Zakończ SFF
Przekieruj do VRF
IP
Payload
VxLAN/GRE
NSH App-ID
IP
Payload
VxLAN/GRE
NSH-MD
Micro
Data Center
Dodaj
NSH + VxLAN/GRE
IP
Payload
MPLS-VPN
Internet
Chmura publiczna
IP
Payload
MPLS
IP
Payload
IP
Payload
MPLS
IVPN 50%
30%
20%

21. Cisco Confidential 21© 2013 Cisco and/or its affiliates. All rights reserved.
iVPN – zastsowoanie #3.1:
NSH Proxy dla tradycyjnych usług
CPE PE/vPE
SFFSC
Internal XR Dataplane
IP
Payload
VxLAN-GPE
NSH
SF1 =
vNBAR
SF2 = vDNS SF(n) = vLB…
Wczytaj NSH i
zmniejsz o 1 SI
Brak wsparcia
dla NSH
Wczytaj NSH i
zmniejsz o 1 SI
Wczytaj NSH
Dodaj VXLAN/GRE
Zakończ SFF
Przekieruj do VRF
IP
Payload IP
Payload
VxLAN/GRE
NSH-MD
Micro
Data Center
Dodaj
NSH + VxLAN/GRE
IP
Payload
MPLS-VPN
Internet
Chmura publiczna
IP
Payload
MPLS
IP
Payload
IP
Payload
MPLS
Przed IVPN
Wymaga NSH Proxy
Ponowna klasyfikacja SC
Dodaj NSH oraz
VxLANGPE

22. Cisco Confidential 22© 2013 Cisco and/or its affiliates. All rights reserved.
iVPN – zastosowanie #4:
Wielopunktowe przetwarzanie na bazie NSH (SR-TE + usługi)
Oddział
(vCPE)
PE/vPE SR-TE-2
SR-TE-1
DCI-1
PE/vPE
DC-1
Fabric
ToR -
vSwitch
ToR -
vSwitch
ToR -
vSwitch
.
.
.
SF1, SF2 … SF(n)
SF1, SF2 … SF(n)
SF1, SF2 … SF(n)
IP
Payload
NSH
VxLAN-GPE
IP
Payload
NSH
VxLAN-GPE
Nagłówki pakietów
1. DCI PE wykonuje SFF=>SFF
2. Zdjęcie nagłówków VxLAN-GPE
3. NSH SPI/SI Lookup
4. Dodanie VxLAN-GPE z D-IP TOR
1. TOR wykonuje SFF+SF+zakończenie lub SFF+SF=>SFF
2. TOR przetwarza SFy i zdejmuje NSH
3. TOR przetwarza pakiety na bazie wewnętrznego IP
IP
Payload
NSH
QinQ
1. CPE wykonuje SC+SFF+SF
=> SFF
2. CPE dodaje NSH i przekazuje
pakiety do DCI PE
3. CPE wykonuje własny
łańcuch usług
Przetwarzanie NSH
SF1, SF2 … SF(n) vNBAR
SR-TE-3
IP
Payload
NSH App-ID
VxLAN-GPE
IP
Payload
NSH App-ID
SR
Labels
1. PE wykonuje SFF+SF => SFF
2. vNBAR dodaje nagłówek NSH z
metdanymi (App-ID)
3. Na bazie App-ID ruch przypisany do
odpowiedniego tunelu SR-TE
DCI-2
PE/vPE
DC-2
Fabric
ToR -
vSwitch
SF1, SF2 … SF(n)
SR-TE
IP
Payload
NSH
VxLAN-GPE
IP
Payload
NSH App-ID
VRF + SR-
TE
IP
Payload
NSH
GRE

23. Cisco Confidential 23© 2013 Cisco and/or its affiliates. All rights reserved.
Komponenty rozwiązania
Produkt
Aplikacja REST vMS
Kontroler Open DayLight
Service Function Forwarder (SFF) ASR9k
Typhoon
Tomahawk
XR 9000v
Service Function (SF) vNBAR
vASA
Kolejne…
CPE XR9000v / IOS-XRv / CPE Cisco

24. Dziękuję za uwagę.