2.
Развитие решения Cisco Service Control
Применение SCE для задачи URL-фильтрации (blacklisting)
Автоматизация URL-фильтрации
Применение SCE для контент-фильтрации
DPI и виртуализация сетевых функций (NFV)
О чем пойдет речь?
3. Интеллектуальный анализ и управление IP трафиком
Классификация по приложениям; определение семантики
Привязка к индивидуальному абоненту, политике и состоянию
Выбор действия в зависимости от условий–время суток,наличие перегрузки, потребленный объем и др.
Выполнение действия и генерация статистики
Блокирование
Перенаправление
УстановкаQoS
Маркировка
Service Control
Статистика
Что такое DPI?
6. 8x10G порты
60 G и480G (Кластер)
До 20М сетевых потоков (flow)
До 2М абонентов и 2500TPS
Абоненты
Производительность
5 Gbps
60 Gbps
500K
30 Gbps
1M
SCE10K
Программное решение
Запуск на KVM гипервизоре
Virtual SCE
Разнообразие DPI решений Аппаратное, виртуализированноеи интегрированное
2M
SCE8000
1G/10G порты
30G/240G (Кластер)
До 1М абонентов
Сегодня
Сегодня
Сегодня
10 Gbps
4M
ИнтегрированныйSCE (iSCE)
Запуск на сервисном модуле для ASR9K
Q1 CY15
7. SCE10000 ключевые моменты
Производите- льность–60G
Больше абонентов–2M
Меньше места в стойке –2RU
Меньше потребление –1200W
Scale
Infra
Архитектура нового поколения
SCE10000
vSCE
NG Cluster
Масштабируемость
Единая платформа
Быстрая интеграция
Быстрый выпуск новых продуктов и решений
Уменьшение Capexвложений
Уменьшение TTM сервисов
10. Архитектура
SCE10000 использует архитектуру SCE8000
Результат: УменьшениеTTM до12 месяцевв сравнении с18-24 месяцами средними для индустрии
Программная архитектураSCE10000 использует аппаратную архитектуру SCE8000
Приоритезациятрафика
Эффективность при большой пропускной способности и сложности политик
Минимизация задержки
Эффективный пропуск трафика в случае congestion
11. Совместимость с SCE8000
70% CLI SCE10000 аналогичны SCE8000. Только30% CLI созданы дополнительно
Обратная совместимость с SM/ CM/ SCA BB иQPS/ 3rdparty Policy Servers/ OSS системами с минимальными затратами
УнифицированныеSM/CM для всей линейки SCE
13. SCE10000
SCE8000
Масштабируемость
Интерфейсы
2 or 4 -10G
8 or 16 –1GBE
8 x 10G
Интерфейсы управления
2 x 10/ 100/ 1000
4 x 10/ 100/ 1000
Хранилище
4 GB
2x200 GB SSD or 2x300 GB HDD
Шасси
5 RU
2 RU
Потребление
1600 W
1200 W
Производительность
30 Gbps
60 Gbps
Макс.абонентов
1,000,000
2,000,000 #
14. SCE10000
SCE8000
Масштабируемость
Макс. Flows (Bi-Directional)
16 M
20 M
TPS (Gx& SM)
850
3000#
Gx+ Gy
850
1400#
Quota TPS -QM
1000
1400#
Зоны
20K for v4/ 5K for v6
32K for v4/ 8K for v6
Subscriber/ Global Counters
48/ 192
64/ 256
RDR Rate
35K/sec
70K/sec
15. Абоненты, Flowsи масштабируемость
•
Одновременная поддержка максимального числа абонентов и flow
SCE8000
250k Subs
16 M
500k Subs
15 M
750k Subs
14 M
1MSubs
13M
SCE10000
2M Subs
20 M
16. Размеры пакетов (в%) у крупных операторов
Регион
Тип SP
SIMBA status
64- 127
128- 256
256- 511
512- 1023
1024- 1518
1519 and above
Среднийразмер пакета
Европа
Cable
Single SIMBA
30.80
5.59
2.05
2.32
59.22
Not present
988.09
Япония
Broadband
Dual SIMBA
36.61
6.27
2.83
2.70
51.56
0.027
835.92
Средний восток
Broadband
Dual SIMBA
41.75
5.62
2.47
2.83
32.37
15.05
824.60
Европа
Broadband
Single SIMBA
43.77
4.78
2.51
2.90
44.32
1.69
782.75
Япония
Mobile provider
Single SIMBA
46.44
4.80
3.34
3.13
42.27
Not present
693.88
The data is picked from support files for 36 hour interval to eliminate discrepancies due to peak-hour and off-peak-hour
17. Размер пакета в Интернет
Source: Amsterdam Internet Exchange
(https://www.ams-ix.net/technical/statistics/sflow-stats/frame-size-distribution)
Тенденция к увеличению среднего размера пакета
18. SCE10000 –есть ли узкое место?
Средний размер пакета
Bandwidth
512
60 Gbps
576 (IPv4Min MTU)
65 Gbps
620
70Gbps
SCE10000 отлично сбалансирован для реальных применений
60G Производительность
20. Предпосылки для виртуализированногорешения
•SDN/NFV способствуют развитию виртуализированныхрешений
NFV/ SDN
•Предпочтение стандартным аппаратным решениям
•С целью уменьшения Capexиэнергопотребления
•Уменьшение требований к персоналу по обслуживанию оборудования
Generic HW
•Упрощение и ускорение внедрения
Скорость внедрения
•Возможность оперативного масштабирования решения в зависимости от потребностей бизнеса
Масштабируемость
21. vSCEпозиционирование
Одиночный DPI
vSCEзапускается на стандартном серверном оборудовании
Отлично подходит для сценариев «try-and-buy»
Помогает заказчикам тестировать новые сервисы
NFV
vSCEдействует как DPI NFV
vSCEофициально предлагается Cisco для Service-chaining
Нет привязки к оборудованию
22. Функциональность
ПО запускается над гиперпизоромKVM на любой x86 платформе
Полное функциональное соответствие с SCE10000
Network Function Virtualization (NFV) ready
Возможность опробовать решение до приобретения больших платформ –SCE8K, SCE10K
23. Сценарии для виртуализации DPI (NFV)
Cloud Datacenter
GI-LAN | Consumer
DPI
CGN
WWW
FW
CDN
IPS
Virtual Private Cloud
NfV Services
DPI
CPE
WAAS
FW
NAM
IPS
Evolved Programmable Network
SP
Data Center
Service Controller
27. NG Clustering –новый подход кластеризации SCE
BRAS
Internet Gateway
SCE 1
SCE 3
S to N
N to S
Cluster interface
Cluster interface
Cluster interface
SCE 2
28. Распределение интерфейсов
•
6 портов данных и 12кластерных порта в каждом SCE10000
•
3 NICс двойными портамидля данных
•
3 NIC с четырьмя портами каждый для кластера
•
До 7 SCE в кластере
•
Все SCE соединены в MESH топологию
•
В первом релизе NG Cluster ожидается производительность ~300 Гбит/с
•
6 data port 3 S:N pair
•
Каждый SCE10000 сможет обработать до 45 Гбит/с
•
2x10G соединение между любой парой SCE в кластере
•
И самое главное –ВНЕШНИЙ ДИСПЕТЧЕР НЕ ТРЕБУЕТСЯ!
29. Абоненты
Производительность
5 Gbps
30 Gbps
vSCEзапускается на VSM для ASR9k
Основные сценарии
URL и контент фильтрация
Управление трафиком на глобальном уровне
Аналитика
Производительность до 25Гбит/с
ИнтегрированныйSCE (iSCE)
iSCE–новое приложение для VSM (5.3.0)
10 Gbps
500K
31.
Выполнение 139-ФЗ
http://78.rkn.gov.ru/directions/p4592/p11530/
Монетизация DPI
Родительский контроль
Таргетированнаяреклама
Зачем это нужно?
32. URL-фильтрация на базе SCE
Cisco SCE
Абоненты
Сеть
Интернет
HTTP GET
Разрешенный URL
HTTP GET
Разрешенный URL
Запрещенный URL
DROP
Cisco SCE
–
Обработка только исходящего HTTP трафика (ассиметричный режим)
–
Контроль на основе статических URL/Domain/IP списков
–
Высокая масштабируемость–до 500 000 URL
33.
Предполагает, что список фильтруемых ресурсов статический либо обновляется редко и не требует мгновенного применения оператором
Метод применим для выполнения ФЗ-139
Список обновляется 2 раза в сутки
ФЗ требует применить ограничение к ресурсу в течение суток с момента появления ресурса в списке
Описание базового процесса настройки:
http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel41x/scabbug/scabbug/07_SCA_BB_UG.html#wp1175199
URL-фильтрация на базе SCE
34.
Шаг 1. Получение списка запрещенных ресурсов
Шаг 2. Создание Flavor вGUI
URL-фильтрация на базе SCEПроцесс настройки
36.
HTTPS трафик –URL, как правило,не видны для анализа
Глубина поиска HTTP GET в одном TCP потоке –влияет на точность блокировки и производительность DPI
ClickStream–что делает сам абонент, а неwebстраница?
URL-фильтрация на базе SCEО чем надо помнить
37.
Простой процесс настройки
Высокая масштабируемость
Требуется адаптация списка Роскомнадзорав формат «понятный» SCE
Возможно реализовать с помощью различного рода скриптов-парсеровдля текстовых/csvфайлов
При изменении списка НЕ требует повторного применения сервисной политики на SCE
URL-фильтрация на базе SCEВыводы
39. Контент-фильтрация на базе SCEДинамическая URL-фильтрация
Cisco SCE
Управление абонентскими контекстами
экспорт URLдля анализас использованием специального вида RDR
контроль HTTP трафика абонентов в соответствии с заданной сервисной политикой и текущим состоянием URL кэша
Внешняясистема категоризации
Определение категории URL, полученных от Cisco SCE
Обновление URL кэша на Cisco SCEчерез API
40. Контент-фильтрация на базе SCEДинамическая URL-фильтрация. Выводы.
Внешняя система может быть реализована оператором самостоятельно или использовать готовые решения
Необходимо реализовать всего 2 функциипри взаимодействии с SCE:
—
Интерпретировать URL RDR
—
По окончании процесса категоризации запустить API функцию
42.
Линейка Cisco SCE получила долгожданное развитие
SCE10K и vSCE, которые дополняют, а НЕ замещают существующее решение SCE8K!
Богатые планы по дальнейшему развитию линейки
iSCEна ASR9K VSM
Увеличение производительности vSCE
Реализация контентной и URL фильтрации
статической или динамической
самостоятельно или с помощью партнеров Cisco
Заключение и выводы