Андрей Вишняков Менеджер системных инженеров

1. Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

2. Виртуальные устройства и
наложенные сети - новый
подход к организации
абонентских сервисов
Андрей Вишняков
Менеджер системных инженеров
© 2017 Cisco and/or its affiliates. All rights reserved.

3. Пример организации наложенной сети для
туннелирования данных до виртуальных BNG
3
vBRAS
Internet
VPEF
x86 servers
CSR
VMs
vBNG
vRouter
L2 VLAN
подключения
IPv6 Core
Дата ЦентрWAN сеть
HGWs
HGWs
vLNS
DHCPv4
CSR
VMs
vLNS – Retail ISP
LNS
LNS –Retail ISP
LNS
LNS
LNS
vLNS
Физические LNS
L2TPv2oIPv4
tunnels
IPv6 tunnel
end-points
IPv6
tunnels
RT OSS
Network Control Orchestrator
RADIUS
Retailer
RADIUS

4. Содержание
CSR 1000Vи его применение
РазвитиеXRv9000
Виртуальныемежсетевые экраны
Service Chaining– как этореализовать?

5. Последовательное соединение сервисов
– «сервисная цепочка»
Сервисная цепочка – упорядоченное соединение сетевых сервисов,
последовательно обрабатывающих пользовательский трафик
Пример: Firewall  NAT  Load Balancer
5
Service Chain

6. Так как же реализовать Service Chaining ?
Традиционные VLAN Stitching и Policy Based Routing
Service Chaining с использованием наложенных туннелей (MPLSoGRE или VXLAN) и Cisco
NSO оркестратора, программирующего, например, BGP EVPN сервисы
Segment Routing
Network Service Header (NSH) архитектура
BGP Vector Routing
OpenFlow/OVSDB управление виртуальными либо аппаратными коммутаторами
…
6

7. Network Service Header (NSH) архитектура
Service Chaining
Orchestration
SF
(VM)
Service
(v)switch
Forwarding
Service
Service
Classifier
SF
(Physical)
Service1VLAN
Service Function
Forwarder (SFF)
Control Plane
Policy Plane
SF
(VM)
Service
(v)switch
Forwarding
Service
SF
(Physical)
Service1VLAN
Service Function
Forwarder (SFF)
Service
Classifier
Network Overlay +
Service Header
Service Header
Service Classifier (SC)
Определяет тот трафик, который должен пройти по
сервисной цепочке
Service Path/ Service Chain
Реальный путь прохождения трафика/ абстрактный
упорядоченный набор виртуальных функций
Service Function Forwarder (SFF)
Коммутация трафика от/к одной или нескольким
подключенным сервисным функциям (SF) в
соответствии с информацией, содержащейся в NSH
заголовке
Service Function Proxy
Компонент ответственный за обработку NSH
заголовка/ инкапсуляции вместо непосредственно
подключенной сервисной функции
7

8. Network Service Header (NSH)
Network Service Header (NSH) содержит идентификатор сервисного пути (Service Path Identifier) и указатель на текущую
сервисную функцию (Service Index), к которой направляется трафик, а также метаданные
NSH состоит из 4-ех байтного базового заголовка, 4-ех байтного указателя на сервисный путь, четыре 4-ех байтных
контекстных заголовка и опционально расширения переменной длины.
0
0
1 2 3 4 5 6 7 8 9
1
0
1 2 3 4 5 6 7 8 9
2
0
1 2 3 4 5 6 7 8 9
3
0
1
Ver O C R R R R R R Length (6) MD Type (8) Next Protocol (8)
Service Path Identifier (24) Service Index (8)
Mandatory Context Header (1) - Network Platform Context
Mandatory Context Header (2) - Network Shared Context
Mandatory Context Header (3) - Service Platform Context
Mandatory Context Header (4) - Service Shared Context
Optional Variable Length Context Headers
Original Packet Payload
8

9. Network Service Header (NSH) инкапсуляция
Ethernet
IP Ethernet
UDP IP
VxLAN-GPE GRE Ethernet
NSH
Ethernet
IP
Payload
Инкапсуляция для доставки трафика до
следующей Сервисной Функции (SF).
Заменяется на каждом SF хопе
Оригинальный пользовательский
фрейм
NSH заголовок остается с
пользовательским пакетом на
протяжении всего сервисного пути
9

10. NSH Топология
SC
SFF + SFP SFF
SF
C
SF
B
SF
A
SF
D
Источник
Пункт назначения
1
2
3
4
5
6
7
9
8 10
12
11
Без NSH заголовка
NSH заголовок
10

11. Метаданные NSH заголовка
Метаданные значительно расширяют возможности и добавляют функционал NSH
коммутации трафика!
При добавлении и изменении NSH заголовка
• Возможность добавления произвольных данных в NSH заголовок
• Может использоваться SF и/или SFF, чтобы изменить/ повлиять на путь прохождения
данных
При отбрасывании NSH заголовка
• Может использоваться для коммутации пакета в заранее определенный VRF
сегмент, Next-Hop или продолжить обработку согласно таблице маршрутизации
11

12. Service Chaining в IPv6 мире
IPv6 Segment Routing (SRv6)
SR Header (SRH) содержит список
сегментов в обратном порядке
Segment List [ 0 ] – последний сегмент
Segment List [ 𝑛 − 1 ] – первый сегмент
SRv6 использует обычную IPv6
маршрутизацию данных до следующей
SF функции, IPv6 DA внешнего заголовка
устанавливается в соответствии с
текущим сегментом
Segment Routing service chaining: сервисы
отображаются как сегменты
Version Traffic Class
Next = 43 Hop LimitPayload Length
Source Address = A1::
Destination Address = A2::
Segment List [ 0 ] = A4::
Segment List [ 1 ] = A3::
Next Header Len= 6 Type = 4 SL = 2
First = 2 Flags TAG
IPv6Hdr
Segment List [ 2 ] = A2::
SRHdr
Payload
Flow LabelFlow Label
4
A4::
1
A1::
SR Hdr
IPv6 Hdr SA = A1::, DA = A2::
( A4::, A3::, A2:: ) SL=2
Payload
2
A2::
3
A3::

13. Поддержка NSH, VXLAN и SRv6 на Cisco
XRv 9000 и CSR 1000V устройствах
CSR 1000V
• CSR 1000V поддерживает SC/ SFF c релиза
IOS XE 16.4S, включая NSH Ping и Traceroute
функционал.
• VXLAN Flood and Learn
• VXLAN BGP EVPN
• SRv6 в плане на релиз 16.5S
XRv 9000
• XRv 9000 поддерживает SC/ SFF
функционал с релиза IOS XR 6.1.1 и NSH
Proxy c 6.2.1.
• Поддержка VXLAN BGP EVPN вынесена на
конец 2017 года, IOS XR 6.4.1
• SRv6 в плане на релизе IOS XR 6.4.1+
13

14. Сервер 1
Сервер 2
ASR9k
SC/SFF-1
VRF
ASR9k
SC/SFF
VRF
VRF
SFF-2
XRv 9000
VNF1
vNBAR
VNF2
vNBAR1
VNF3
vASA
VPN Blue данные
BLUE
VPN-site-A
BLUE
VPN-site-B
GREEN
VPN-site-A
GREEN
VPN-site-B
VRF
NSH цепочка сервисов на базе IOS XR
Входящий PE: SC и SFF
DC виртуальный
маршрутизатор: SFF
NSO
(Powered
by tail-f
NCS)
14

15. Server 1
Server 2
ASR9k
SC/SFF-1
VRF
ASR 9000
VRF
VRF
XRv 9000
VNF1
vNBAR
VNF2
vNBAR
VNF3
vASA
VPN Blue Traffic
BLUE
VPN-site-A
BLUE
VPN-site-B
GREEN
VPN-site-A
GREEN
VPN-site-B
VRF
Входящий PE: SC Конфигурация
Сервисная Классификация (SC) :
class-map type traffic match-any vrf-green
match access-group ipv4 nsh-vrf-green
end-class-map
policy-map type pbr nsh-vrf-green
class type traffic nsh-vrf-green
service-function-path 100 index 255 metadata nsh-vrf-green
Определяем Service Path:
service-function-chaining
path 100
255 sff SFF-2 ! SFF-2 это виртуальный маршрутизатор в Дата Центре
Формат и состав Метаданных:
metadata nsh-vrf-green
type 1 format dc-allocation
tenant-id 123
Применяем политику на интерфейсе:
interface TenGigE0/0/0/6
service-policy type pbr input nsh-vrf-green
vrf green
Пример на базе IOS-XR 6.1.1

16. Входящий PE: SFF Конфигурация
Сервер 1
Server 2
ASR9k
SC/SFF-1
VRF
ASR9k
SC/SFF
VRF
VRF
SFF-2
XRv 9000
VNF1
vNBAR
VNF2
vLB
VNF3
vASA
VPN Blue данные
BLUE
VPN-site-A
BLUE
VPN-site-B
GREEN
VPN-site-A
GREEN
VPN-site-B
VRF
Define SFF Locator and Transport/Encapsulation:
service-function-chaining
path 100
255 sff SFF-2
service-function-chaining
sff SFF-2
locator 1
transport vxlan-gpe
source-address ipv4 <IP SFF-1> destination-address ipv4
<IP SFF-2> source-port <port> vni <value>
Пример на базе IOS-XR 6.1.1

17. Сервер 1
Сервер 2
ASR 9000
VRF
VRF
XRv 9000
VNF1
vNBAR
VNF2
vNBAR1
VNF3
vASA
VPN Blue данные
BLUE
VPN-site-B
GREEN
VPN-site-B
DC виртуальный маршрутизатор: SFF
конфигурация Обработка Метаданных на выходе:
service-function-chaining
metadata-disposition nsh-vrf-green
type 1 format dc-allocation
match-entry 1
tenant-id 123
redirect ipv4 nexthop vrf green
Определение Сервисного Пути:
path 100
253 terminate metadata-disposition nsh-vrf-green default-action
redirect ipv4 nexthop 9.9.9.9
254 sf asav1
255 sf vnbar1
Как добраться до Сервисных Функций – инкапсуляция и IP адреса:
sf asav1
locator 1
transport vxlan-gpe
source-address ipv4 14.0.1.1 destination-address ipv4 14.0.1.2
source-port <port> vni 14
!
sf vnbar1
locator 1
transport vxlan-gpe
source-address ipv4 13.0.1.1 destination-address ipv4 13.0.1.2
source-port <port> vni 13
Пример на базе IOS-XR 6.1.1

18. 18
Network IO
Packet Processing: VPP
Management Agent
NC/Y REST ...
Сердцем fd.io проекта является Cisco Virtual Packet Processing
технология с 2002 года применяемая в коммерческих продуктах
Cisco
Fd.io код выполняются в Linux user-space и использует DPDK
библиотеку
Независим от аппаратной архитектуры сервера, будь то x86,
ARM или Power, а также от версии Linux ядра и, где выполняется
– в контейнере или отдельной виртуальной машине.
Релиз 16.09 fd.io содержит NSH Classifier, Service Function
Forwarder (SFF), SF Proxy функционал и поддерживает VXLAN-
GPE/GRE инкапсуляции
SRv6 доступен в FD.io 17.04 релизе, поведение аналогично IOS
XR/ XE платформам
Open Source реализация SFC/ NSH и SRv6

19. Virtual Packet Processing
Формирование супер-фрейма
VPP формируем супер-фрейм/ вектор из пакетов, полученных от I/O подсистемы
19

20. Virtual Packet Processing
Обработка супер-фрейма
• VPP обрабатывает целиком супер-
фрейм последовательно на каждом
узле функционального графа
• Вместо того, чтобы поочередно
«прогонять» каждый пакет через весь
граф, VPP завершает обработку всего
супер-фрейма на каждом узле перед
тем, как перейти к следующему
20

21. • Композиция функциональных блоков
обработки трафика в виде графа позволяет
легко расширить доступный VPP
функционала, например, добавить SFC и
NSH
• Создается отдельная бинарная библиотека
(plugin), реализующая необходимый
функционал
• Расширения загружаются из отдельной
директории на хосте, в том числе и в
режиме реального времени
• Конфигурация VPP дает возможность
поменять порядок функциональных узлов в
графе и добавить дополнительные узлы
21
Virtual Packet Processing
Легкость расширения функционала

22. NSH/ SFC Производительность
(16.09)
5120 5520
7088
9432
0
2000
4000
6000
8000
10000
72 84 128 256
Throughput(Mbps)
Packet Size (Bytes)
NSH Classifier Throughput For Different
Packet Size
(1C1T)
7088
4250
4500
0
1000
2000
3000
4000
5000
6000
7000
8000
Throughput(Mbps)
NSH Classifier NSH Proxy SFF
NSH_SFC Throughput For 128B Packet
(1C1T)
Два-три выделенных CPU ядра на fd.io позволяют достичь 10 Gbps line-rate для всех
размеров пакетов!
22

23. Fd.io как прокси для SRv6 трафика
VNF хост
F1::
IPv6 Hdr SA = A::, DA = B::
Payload
Терминация сервисной цепочки с SID F1::A2
- Отбрасывание внешних IP и SR заголовков
- Отправка «чистого» пакета на Iface 1
Входящая политика на Iface 2: добавление SRH
- Определение входящих пакетов как
принадлежащих сервисной цепочке 〈 F2::, … 〉
- Инкапсуляция и отправка трафика к DA: F2
IPv6 Hdr SA = A::, DA = B::
Payload
Статичная конфигурация
VPP для каждой сервисной
цепочки
fd.io
VNF1
Iface 1 Iface 2
SR Hdr
IPv6 Hdr SA = E1::, DA = F1::A2
(F1::A2, …) SL=0
Payload
IPv6 Hdr SA = A::, DA = B::
SR Hdr
IPv6 Hdr SA = E1::, DA = F2::
(…, F2::)
Payload
IPv6 Hdr SA = A::, DA = B::
VNF обрабатывает обычный IPv6
пакет
23

24. Содержание
CSR 1000Vи его применение
РазвитиеXRv9000
Виртуальныемежсетевые экраны
Service Chaining– как этореализовать?

25. Виртуальная машина IOS XE – CSR 1000V
CSR 1000v
vMS
Сервер
Гипервизор
Virtual Switch
OS
App
OS
App
CSR1000v
vPE vBNG / vLNS
vSP WiFi
viWAG
vRR
25

26. Cisco CSR 1000V подобен ASR 1001
26
Аналогичное программное обеспечение
• Хорошо известная IOS XE система
• Независимое от состава серверного оборудования и
виртуального vSwitch коммутатора
Эластичная производительность
• Лицензируемо от 10 Mbps до 10 Gbps
• Поддержка от 1 до 8 виртуальных CPU
Несколько лицензионных моделей
• Подписка (1 и 3 года), постоянная, по использованию (AWS
облако)
Программируемость
• NetConf/Yang, RESTConf и SSH/Telnet для
автоматизированного управления и развертывания
Control PlaneForwarding Plane
vNICvCPU vMemory vDisk
Сервер
CPU Memory Disk NIC
Hypervisor (VMware / Citrix / KVM / Microsoft)
Chassis Mgr.
Forwarding Mgr.
IOS
Chassis Mgr.
Forwarding Mgr.
FFP Client /
Driver
FFP code
Linux Container

27. Влияние частоты CPU на
производительность VNF
• Два сервера:
• 3.2 GHz (16 ядер)
• 2.6 GHz (24 ядра)
• Используется SR-IOV, чтобы минимизировать
влияние I/O ввода-вывода
• Тестируется IPv4 CEF коммутация
Для одной VM увеличение производительности
пропорционально увеличению частоты CPU
Для трех VM уже не пропорционально
• Узким местом является IO (2x10 GE)
• Пример горизонтального масштабирования с
тремя VM (3 x 6 Gbps)
28
3.2
2.6
≈
7.4
6
18.101
20
6.001
7.367
0 5 10 15 20 25
2.6 GHz, 24 core
3.2 GHz, 16 core
Impact of Different server Core Speeds
CSR 1000v, IMIX, SR-IOV, IOS XE 16.3
1x2vCPU 3x2vCPU

28. Miercom тестирование CSR 1000V в
роли vBNG
29
Задействуя всего один или два vCPU на VM, можем достичь физического лимита в 20 Gbps на
x86 сервер с двумя 10 GE портами и до 5 Gbps в AWS облаке
Горизонтальная масштабируемость –
производительность
3 x 2 vCPU VM > 1 x 8 vCPU VM
vBNG Тест:
Одна VM с 2 vCPU на RHEL 7.2 с SR-IOV
CPU: Intel® Xeon E5-2699 v3 @ 2.30GHz
8.000 Dual-Stack Sessions, 500 Kbps на сессию

29. Использование VxLAN или L2TPv3 туннелей до vBNG
для доставки абонентского трафика
30
Каким образом доставить трафик из множества сетей доступа к нескольким
Дата Центрам?
Два готовых решения для проброса трафика от абонентов до vBNG:
• PPP / IP сессии поверх VXLAN
• PPP / IP сессии поверх L2TPv3-in-IPv6 до fd.io/VPP и затем к vBNG
Решение терминации L2TPv3 туннелей непосредственно на CSR 1000V в
настоящий момент находится в стадии разработки

30. VxLAN туннель устанавливается между коммутатором агрегации и vBNG:
vBNG вычленяет PPP трафик из VxLAN туннеля и терминирует его
Пример настройки BDI интерфейса на vBNG (16.3.1):
PPP сессии поверх VXLAN до vBNG
31
PPP inside VxLAN Tunnel
Устройство
доступа
Коммутатор
PPP
клиент
vBNG
interface BDI10
no ip address
vlan-id dot1q 2000
pppoe enable group global
!
pppoe enable group global
!

31. L2TPv3 туннель между устройством агрегации и fd.io/VPP виртуальным
коммутатором:
Упрощение дизайна и повышение его эффективности за счет терминации L2TPv3
туннеля на CSR 1000V (планируется к реализации)
PPP поверх L2TPv3-in-IPv6 с fd.io/VPP
32
PPP поверх L2TPv3 туннеля
Устройство
доступа
КоммутаторPPP
Клиент
vBNGfd.io
VPP
PPP поверх L2TPv3 туннеля
Устройство
доступа
КоммутаторPPP
Клиент
vBNG
Хост

32. 40 Gbps NAT на CSR 1000V
NAT Inside G1/G3 NAT Outside G2/G4
Port1 Port3 Port4 Port2
CSR 1000V
Bidirectional UDP трафик
1,000,000 сессий
• Функционал планируется в релизе IOS XE 16.7S – значительное ускорение части
функционала
• Bidirectional UDP трафик с 1М потоков, 450 байтные пакеты
• Под Data Plane PPE задействуется 7-мь ядер
• Используется ускорение ввода-вывода PCI PassThrough
192.58.1.3 192.58.3.3 192.58.4.3 192.58.2.3

33. 1 2 3 4 5 6 7 8 9 10
Best caseAdditive(feat) 1.8 3.6 5.4 7.2 8.9 10.7 12.5 14.3 16.1 17.9
OVS-DPDK (feat) 0.9 2.2 3.4 5.3 6.7 6.1 4.6 2.4 4.1 3.9
SR-IOV (feat) 1.8 3.6 5.0 6.7 8.0 9.5 10.9 12.5 14.0 15.5
FD.io VPP (feat) 1.7 3.2 4.6 6.0 7.4 9.0 9.4 8.7 8.3 7.7
0
5
10
15
20
25
SystemThroughput(Gbps)
Number of Virtual Network Functions (VNF Virtual Machines)
Multi-VM Throughput (Gbps) with various I/O architectures
NAT+Firewall+QoS+DPI, IMIXPacket Size, XE 16.3.1
Physical InterfaceLimit
Multi-VM CSR1KV производительность
OVS-DPDK vs fd.io VPP
2 vCPU CSR1kv виртуальная машина
сконфигурирована с NAT, Firewall, QoS и
AVC
• SR-IOV и VPP показывают хорошую
линейность при увеличении числа VM
• VPP максимальная
производительность 10 Gbps
• OVS-DPDK - 6.7 Gbps
x86 Хост Cisco UCS C240 M4 Series: 2 Sockets Intel Xeon E5-2699v3 2.3 GHz with 18 cores each, 262GB RAM
Физические
интерф.
1 NIC with 2 x 10GE ports; Intel X520-DA2 NIC
Гипервизор Redhat KVM version 7.2; Linux kernel 3.10.0- 327.18.2.el7.x86 64; Libvirt 1.2.17; QEMU version 2.3.0
I/O оптимизация OVS version 2.4.0 , Cisco FD.io VPP release 16.06, configured for 3 cores

34. Содержание
CSR 1000Vи его применение
РазвитиеXRv9000
Виртуальныемежсетевые экраны
Service Chaining– как этореализовать?

35. IOS-XRv 9000: в основе 64-ех битная IOS-XR
Виртуальный маршрутизатор с RPM Package Manager
IOS XRv
QOS
TWAMP
LACP ARP
IS-ISLLDP
BGP LDP
VRRPRSVP
SR PCEP
Netconf
Open
Flow
SNMP
SYSDB
RIBFIB
BGP-LS Netflow
802.1agGRE
Y.1731
L2TPEVPN
OSPF
LLDP
EVPN
OSPF
LLDP
Без перезагрузки устройства
Уменьшение времени отказа
Рестарт процессов
OSPF OSPF
Установка патчей без перерыва сервиса
Установка баг-фиксов
Минимизация потерь сервиса
и количества перезагрузок
OSPF OSPF
Модульность
64-bit
Расширяемость за счет установки
сторонних приложений
QOS
TWAM
P
LACP ARP
IS- ISLLDP
BGP LDP
VRRPRSVP
SR PCEP
Netco
nf
Open
Flow
SNMP
SYSD
B
RIBFIB
BGP-
LS
Netf o
w
802.1
agGRE
Y.
1731
L2TPEVPN
OSPF
LLDP
EVPN
OSPF
LLDP
Machine to Machine
Telemetry
AppHosting
Granular packaging
36

36. Гибко масштабируемый
коммутационный уровень
• ACLs
• uRPF
• Marking, Policing
• IPv4, IPv6, MPLS
• Segment routing
• BFD
IOS-XRv 9000: Эффективная коммутация данных
IOS-XRv Control Plane
RX &
Interface
Classification
Traffic
Manager
& TX
Forwarding
& Features
TCAM PLU
TM
Pkt. replication
• Инновационный виртуальный коммутатор
• X86 программная реализация:
• Иерархический трафик менеджер с 3
уровнями HQoS, 512,000 очередей
• Программные полисеры, в 4-е раза
быстрее чем DPDK эталонные
реализации
• Программная реализация TCAM с
постоянной характеристикой поиска
• Плоскость передачи данных оптимизирована
для быстрой перемашрутизации данных, а
также для передачи IMIX трафика без потерь на
скорости порта
• Портируемый 64bit C-code (для ARM платформ)
• Часть кода идентична Cisco nPower X семейству
IOS-XRv 9000
IOS-XRv Virtual Forwarder
Иерархический QOS
планировщик
• На одном CPU ядре
• ½ миллиона очередей
• 3-уровневый H-QOS
Классификация пакетов и
балансировка
SW based HW Assists
37

37. LXCLXC
XRv Linux Kernel
KVM, ESXi
Виртуальная машина
LXC
Linux
bridge
Admin
Plane
IOS XRv 9000 Детали архитектуры (6.1.x)
38
Virtual Forwarder
Dataplane
IOS XR Control
Plane (CP)
DP
Agent
(DPA) Driver Driver Driver
VPP + DPDK
Ctrl
Eth
virtio
e1000
10G
10G
VF PF
vmxnet3
Ctrl
Eth
IOS XR
LC CP
DP control
(DPC)
IOS XR
RP CP
Ctrl
Eth
GE
Mg
mt
Eth

38. Transmit ThreadReceive Thread
Конфигурация XRv 9000 – один сокет
2c CP, 10c DP (2x Rx, 6x WT, 2x Tx)
NIC
DPDK
Driver
DPDK
Driver
NIC
DPDK
Driver
DPDK
Driver
Load
Balanc
e
Worker Thread
Worker Thread
Worker Thread
Worker Thread
Worker Thread
Traffic
Mgr
I/F
Output
Receive ThreadNIC
DPDK
Driver
DPDK
Driver
Load
Balanc
e
Transmit Thread NIC
DPDK
Driver
DPDK
Driver
Traffic
Mgr
I/F
Output
Worker Thread
10 Data Plane ядер
RX
RX
DPA
XR
RP+LCAdmin
DP
C
39

39. Профиль тестирования:
VPN сервис, без Multicast‘а
Пропускная
способность
(Gbps), NDR
Пропускная
способность (L1)
(Gbps) , NDR
Пакетов в
секунду
(Mpps)
Пакетов в секунду
(Mpps)
Размер IP
пакета
374 байта (среднее)
48 байт
IPv4
MPLS L3VPN VPNv4 (bi-directional)
 Policing, Marking, HQoS
 50K Bidir flows
19.81 - CE -> PE
39.62* 11.79 15.17
19.81 - PE -> CE
MPLS L3VPN VPNv4 (bi-directional)
 Policing, Marking, HQoS
 5K Bidir flows
19.83 - CE -> PE
39.66* 11.80 15.71
19.83 - PE -> CE
IPv6
MPLS L3VPN VPNv6 (bi-directional)
 Policing, Marking, HQoS
 50K Bidir flows
19.73 - CE -> PE
39.46* 11.75 14.73
19.73 - PE -> CE
MPLS L3VPN VPNv6 (bi-directional)
 Policing, Marking, HQoS
 5K Bidir flows
19.76 - CE -> PE
39.51* 11.79 15.14
19.76 - PE -> CE
Один сокет
2 ядра CP
10 ядер DP – 2 Rx, 6 WT, 2 Tx
Два сокета
Сокет 0: 3 ядра CP
Сокет 1: 12 ядер DP –
2 Rx, 8 WT, 2 Tx
Производительность XRv 9000 vPE (6.1.1)
40
Интерфейсы полностью загружены *

40. Socket 0 Socket 1
Receive Thread
Разделение плоскостей управления и
коммутации данных по разным сокетам
NIC
Worker
Thread
Worker
Thread
Worker
Thread
Worker
Thread
Worker
Thread
Worker
Thread
Worker
Thread
Rx Thread
RX
NIC
DPDK
Driver
DPDK
Driver
Worker
Thread
Tx Thread
RX
DPDK
Driver
DPDK
Driver
NIC
NICTx Thread
RX
DPDK
Driver
DPDK
Driver
Rx Thread
RX
DPDK
Driver
DPDK
Driver
QPI
DPA
XR
RP+LCAdmin
DP
C
41
12 Data Plane ядер

41. Профиль тестирования:
VPN сервис, без Multicast‘а
Пропускная
способность
(Gbps), NDR
Пропускная
способность (L1)
(Gbps) , NDR
Пакетов в
секунду
(Mpps)
Пакетов в секунду
(Mpps)
Размер IP
пакета
374 байта (среднее)
48 байт
IPv4
MPLS L3VPN VPNv4 (bi-directional)
 Policing, Marking, HQoS
 50K Bidir flows
19.81 - CE -> PE
39.62* 11.79 15.17
19.81 - PE -> CE
MPLS L3VPN VPNv4 (bi-directional)
 Policing, Marking, HQoS
 5K Bidir flows
19.83 - CE -> PE
39.66* 11.80 15.71
19.83 - PE -> CE
IPv6
MPLS L3VPN VPNv6 (bi-directional)
 Policing, Marking, HQoS
 50K Bidir flows
19.73 - CE -> PE
39.46* 11.75 14.73
19.73 - PE -> CE
MPLS L3VPN VPNv6 (bi-directional)
 Policing, Marking, HQoS
 5K Bidir flows
19.76 - CE -> PE
39.51* 11.79 15.14
19.76 - PE -> CE
Один сокет
2 ядра CP
10 ядер DP – 2 Rx, 6 WT, 2 Tx
Два сокета
Сокет 0: 3 ядра CP
Сокет 1: 12 ядер DP –
2 Rx, 8 WT, 2 Tx
Производительность XRv 9000 vPE (6.1.1)
42
Интерфейсы полностью загружены *

42. Multi-socket Data Plane масштабируемость
Receive ThreadsNIC NIC
Socket 0
NIC NIC
Transmit ThreadsWorker Threads
Receive Threads Transmit ThreadsWorker Threads
Socket 1
QPI
Одна виртуальная машина, работающая на нескольких CPU/ Сокетах
43

43. Cisco Connect 2017 44
Профиль тестирования
Пропускная способность
(L1) (Gbps), NDR
Пропускная
способность Bi-dir
(L1) (Gbps), NDR
Throughput
(Mpps)
Максимальная
скорость
Маршрутизация IPv4 @ 64B Uplink 50 Gbps
100 Gbps 149 Mpps
Downlink 50 Gbps
Интернет
профиль
Маршрутизация IPv4 @ 344B H-QoS input policing +
marking + ACL + RPF + output HQoS Shaping
Uplink 58.5 Gbps
128 Gbps 40.2 Mpps
Downlink 58.5 Gbps
Маршрутизация IPv6 @ 344B H-QoS input policing +
marking + ACL + RPF + HQoS output
Uplink 64.5 Gbps
129 Gbps 40.3 Mpps
Downlink 64.5 Gbps
VPN профиль
Маршрутизация MPLS L3VPN bidir @ 344B input + ACL
+ Policing + Marking + H-QoS + RPF + output H-QoS
Uplink 62.5 Gbps
125 Gbps 40.8 Mpps
Downlink 62.5 Gbps
Тестовая конфигурация: сервер с 4-я сокетами, зарезервировано 21 vCPU каждого сокета, PCI PassThrough
ускорение ввода-вывода
IOS-XRv 9000 vPE Multi-socket:
XR 6.2.x Производительность

44. Требования Заказчиков по развитию
XRv 9000 платформы
• Разделение плоскостей управления и передачи данных по разным VM виртуальным машинам
• Резервирование плоскости управления, отсутствие влияния RP Failover на передачу данных
• Масштабирование за счет увеличения количества Data Plane виртуальных машин. При этом требования
различаются кардинально – от двух VM в плоскости передачи данных для EVPN PW резервирования
абонентских подключений до 64-ех виртуальных «линейных карт»
• В случае нескольких виртуальных «линейных карт» на базе серверов необходимо предусмотреть
внешнюю коммутационную фабрику и интерфейсы с ней
• Это может быть один или несколько выделенных Ethernet интерфейсов
• Или может использоваться один универсальный интерфейс, по которому передается трафик сетей
доступа, ядра и фабрики
Также акцентировалось внимание на - последовательном апгрейде ПО виртуальных «линейных карт»,
замене ПО без перерыва сервиса (ISSU), «горячем» добавлении сетевых карт, vCPU, оперативной памяти к
виртуальным машинам
45

45. XRv 9000 Распределенная архитектура
Рассматривается к реализации
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
mgmt
ctrl
mgmt
ctrl
ctrl
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
ctrl
• Active/Standby RP VM
• Выделенный CTRL
Ethernet порт на
каждой VM для
служебного трафика
управления и
Punt/Inject данных
• Менеджмент порт для
внешнего
подключения
• Несколько LC VM, все активны
• До 16 портов на LC (данных или фабрики)
• Поддержка Multi-Socket Dataplane на LC VM
. . .
traffic/
fabric
traffic/
fabric
Admin
Plane
XR
RP
XR LC
+ DP
• Управление Infra / System / LXC
• Install / Upgrade / SMU / Управление
жизненным циклом ПО
• Проверка работоспособности LC/RP
компонент, HA, OIR
• IOS XR управление системой
• Протоколы маршрутизации
• Интерфейс с пользователем
• XR Line Card функционал
• Трафик менеджер/ QoS
• Коммутация/ маршрутизация данных
46

46. XRv9k Виртуальная фабрика коммутации
Варианты рассматриваемые к реализации
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
mgmt
ctrl
mgmt
ctrl
ctrlctrl
Коммутатор/
сеть
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
mgmt
ctrl
mgmt
ctrl
ctrlctrl
Коммутатор/
сеть
Core
Access
Fabric
Универсальный дата/ фабрик интерфейс Выделенные дата и фабрик интерфейсы
• mpls
• vlan
• vxlan / dedicated L2
Произвольный тип драйвера
порта virtio, vmxnet3,
PassThrough, SRIOV, ...
47

47. XRv 9000 эволюция – распределенная модель 6.2.1
Единая VM (доступно в 6.2.1)
XR LC функционал включен в DP контейнер
VMVM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
Распределенное Виртуальное Шасси (внутреннее тестирование)
1-2 RP VM + 1 LC VM
VM VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LXC
XR LC
+ DP
48

48. VM
Дальнейшее развитие XRv 9000 – обсуждение в
процессе!
RP VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LC VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
Распределенное Виртуальное Шасси
1-2 RP VM + 1-8* LC VM
LC VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
VM RP VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
...
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LXC
XR LC
+ DP
Отказоустойчивая пара RP VM с интегрированной линейной картой
Active/Standby RP с двумя виртуальными LC
* Количество обсуждается
vFabri
c
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
LXC
XR LC
+ DP
Виртуальная фабрика
49

49. XRv 9000 vBNG производительность
50
Отметим: цифры производительности и даты предварительные, могут измениться до FCS
32.000 абонентов на VM, Гео-резервирование
200 вызовов в секунду на VM, 100 CoA в секунду на VM
Производительность:
UCS C240, 28 ядер, Xeon E5-2697 v3 @ 2.6 Ghz, 128 GB RAM, 10x10Gig
32.000 IPoE абонентов с H-QoS и ACL’s, 82 Gbps IMIX трафика NDR
Оценка для 32.000 PPP сессий: 5-10% меньше пропускная способность, около 75 Gbps
Roadmap:
Dec'16
IPoE DEMO
Feb-17
IPoE PoC
Apr-17
PPPoE Demo
Jun-17
PPPoE PoC
Jul-17
IPoE EFT
Aug-17
IPoE FCS
(6.3.1)
Sep-17
PPPoE EFT
Nov-17
PPPoE FCS
(6.3.2)

50. Cisco vBNG VNF
51
CSR 1000V XRv 9000
Доступность к заказу Сейчас
IPoE – Август 2017
PPP – Ноябрь 2017
Масштабируемость
2 vCPU VM:
8.000 сессий
5 Gbps IMIX
28 vCPUs VM:
32.000 сессии
80 Gbps IMIX
Сценарии
использования
vPTA, vLAC, vLNS, vLTS vPTA, LNS в Roadmap

51. Содержание
CSR 1000Vи его применение
РазвитиеXRv9000
Виртуальныемежсетевые экраны
Service Chaining– как этореализовать?

52. Cisco VNF системы информационной
безопасности
Автоматическое развертывание и REST-API оркестрация для NGFWv и ASAv
ASAv 9.x
Firewall
KVM
Microsoft
Hyper-V
Vmware
Microsoft
Azure
Amazon
Web Services
ASAv
FMCv 6.x
Unified
Manager
VmwareAmazon
Web Services
FTDv
NGFW VmwareAmazon
Web Services
Firepower NGFWv 6.x
Microsoft
Azure
KVMKVM
53

53. Virtual FTD производительность 6.2.0
54
FW FW + IPS FW + AVC FW + IPS + AVC
TCP Throughput -
EMIX (690B)
1530 Mbps 900 Mbps 1000 Mbps
1180 Mbps
UDP Throughput -
1500B
3100 Mbps 1213 Mbps 1323 Mbps
1329 Mbps
TCP Connections
per second
12K 11K
16K
TCP Max Sessions 100K 100K 100K
IPSec TCP 450B 196 Mbps 184 Mbps
IPSec UDP 450B 209 Mbps 196 Mbps
• Протестировано для конфигурации: Cisco UCS B200 M3, Intel E5-2640 @ 2,5 GHz, KVM
Ubuntu 14.04 LTS; FTDv w/ 4 vCPU, 8GB RAM
• EMIX – смесь пакетов со средним размером 690B и протоколов HTTP(43%), FTP(9%),
IMAP(16%), SMTP(9%), Torrent(22%)

54. Data Sheet Metric Cisco® ASAv5 Cisco ASAv10 Cisco ASAv30 Cisco ASAv50 *
Stateful inspection throughput
(maximum)
100 Mbps 1 Gbps 2 Gbps 10 Gbps
Stateful inspection throughput
(multiprotocol)
50 Mbps 500 Mbps 1 Gbps 5 Gbps
3DES/AES VPN throughput 30 Mbps 125 Mbps 300 Mbps TBD
Connections per second 8,000 20,000 60,000 200,000
Concurrent sessions 50,000 100,000 500,000 2M
VLANS 25 50 200
Bridge groups (2 VLANs, BVI) 12 25 100
Cisco® Cloud Web Security users 50 150 500
IPsec VPN peers 50 250 750 10000
Cisco AnyConnect® or clientless user
sessions
50 250 750 10000
vCPU 1 1 4 8
RAM 1 GB* 2 GB 8 GB 16 GB
Cisco ASAv производительность и
масштабируемость 9.8.1/ Май’17
* ASAv50 использует IXGBE-VF/ SR-IOV, «прозрачный» режим не поддерживается
55

55. Маршрутизирующий межсетевой экран
ASAv
 ASAv выступает в роли маршрутизатора
между VXLAN, vNIC и VLAN сегментами
 First-Hop Router для подключенных устройств
как физических, так и виртуальных. Отвечает
на ARP запросы, в том числе передаваемых по
VXLAN
 Integrated Routing and Bridging
 Полноценные политики безопасности для
вcех типов доступа – VXLAN, VLAN и т.д.
 Динамическая маршрутизация
 Поддержка Equal-Cost Multipath
 Поддержка Policy-Based Routing
Cisco® ASAv
Routed
Gateway 1
VTEP
VTEP
host
1
host
2
Virtual Host
VTEP
Client
Gateway 2
Traffic Zone
Outside
vNIC5
VLAN200
VxLAN 30000
DMZ1
VxLAN 20001
DMZ2
VxLAN 20000
Host3
inside
outside2
outside1
Host4
DMZ3
VLAN13
vNIC6
VLAN
Trunk
DMZ4
VLAN14
BVI10
56

56.  До 4-ех интерфейсов в Bridge группе
 Поддержка VxLAN, vNIC и VLAN
интерфейсов
 Возможность объединить
разнообразные сегменты доступа в
один широковещательных домен
 NAT и ACL на интерфейсах
«Прозрачный» режим межсетевого
экранирования ASAv Gateway
Cisco® ASAv
Transp
Segment- 1
Segment- 4
VTEP
VTEP
host
2
host
3
Virtual Host Segment- 2
VxLAN 20001
Segment- 3
VxLAN 2000
host
4
57

57. Вопросы ?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58

58. #CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia