Cisco ACI. Инфраструктура, ориентированная на приложения (часть 2). Интеграци...Cisco Russia
В этой презентации мы продолжим глубокое погружение в архитектуру Cisco ACI и подробно обсудим детали интеграции APIС и доменов виртуализации на базе решений Microsoft, Openstack и VMware. Основной целью такой интеграции является увеличение количества автоматизированных операции при настройке сетевых свойств приложения в средах виртуализации и как следствие снижение количества ошибок конфигурации, минимизация времени, затрачиваемого при первоначальной настройке и последующей эксплуатации интегрированного решения. Так же у слушателей будет возможность познакомиться с тем, как архитектура ACI взаимодействует со внешними, по отношению к фабрике, сервисными устройствами L4-L7, таким как балансировщики нагрузки, межсетевые экраны, системы предотвращения вторжений и другие. Конструкция сервисного графа и модель управления политиками сервисных устройств, о которых пойдет речь, позволяют значительно упростить и централизовать сложный процесс интеграции сервисных устройств с фабрикой Ethernet.
Cisco ACI. Инфраструктура, ориентированная на приложенияCisco Russia
Архитектура Cisco Application Centric Infrastructure является революционным решением для построения сетевой инфраструктуры ЦОД, позволяющим создать "сеть, разговаривающую на языке приложений". В рамках данного выступления будет описана концепция Cisco ACI, её основные возможности и архитектурные принципы, включая управление на основе политик.
Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...Cisco Russia
В данной презентации мы сосредоточимся на собственно сетевых механизмах функционирования Cisco ACI, включая логику передачи пакетов, применение политик взаимодействия, оптимальную балансировку трафика и т.д. Презентация поможет понять отличия между ACI и другими подходами к построению современной сети ЦОД, а также возможные пути миграции с традиционных сетей ЦОД на инфраструктуру ACI.
Cisco ACI. Инфраструктура, ориентированная на приложения (часть 2). Интеграци...Cisco Russia
В этой презентации мы продолжим глубокое погружение в архитектуру Cisco ACI и подробно обсудим детали интеграции APIС и доменов виртуализации на базе решений Microsoft, Openstack и VMware. Основной целью такой интеграции является увеличение количества автоматизированных операции при настройке сетевых свойств приложения в средах виртуализации и как следствие снижение количества ошибок конфигурации, минимизация времени, затрачиваемого при первоначальной настройке и последующей эксплуатации интегрированного решения. Так же у слушателей будет возможность познакомиться с тем, как архитектура ACI взаимодействует со внешними, по отношению к фабрике, сервисными устройствами L4-L7, таким как балансировщики нагрузки, межсетевые экраны, системы предотвращения вторжений и другие. Конструкция сервисного графа и модель управления политиками сервисных устройств, о которых пойдет речь, позволяют значительно упростить и централизовать сложный процесс интеграции сервисных устройств с фабрикой Ethernet.
Cisco ACI. Инфраструктура, ориентированная на приложенияCisco Russia
Архитектура Cisco Application Centric Infrastructure является революционным решением для построения сетевой инфраструктуры ЦОД, позволяющим создать "сеть, разговаривающую на языке приложений". В рамках данного выступления будет описана концепция Cisco ACI, её основные возможности и архитектурные принципы, включая управление на основе политик.
Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...Cisco Russia
В данной презентации мы сосредоточимся на собственно сетевых механизмах функционирования Cisco ACI, включая логику передачи пакетов, применение политик взаимодействия, оптимальную балансировку трафика и т.д. Презентация поможет понять отличия между ACI и другими подходами к построению современной сети ЦОД, а также возможные пути миграции с традиционных сетей ЦОД на инфраструктуру ACI.
Отечественные решения на базе SDN и NFV для телеком-операторовARCCN
Доклад Р.Л. Смелянского на секции "Инновационные информационно-телекоммуникационные технологии в вооруженных силах Российской Федерации. Программно-конфигурируемые сети (SDN). Области применения и особенности внедрения" Форума Армия-2016
Основной фокус предлагаемой сессии, это практическое применение технологий Программно Управляемых Сетей (SDN), Виртуализации Сетевых Функции (NFV), и новых платформ оркестрации, обеспечивающие гибкую и модульную сервисную платформу для операторов связи и облачных услуг. Будет подробна рассмотрена бизнес модель и техническая реализация Cisco vMS (Virtual Manaвged Services) решения, которое уже внедрено в коммерческую эксплуатацию ведущими операторами услуг, что позволило им предложить новые персонализированные услуги. Сервисы для корпоративных заказчиков формируются в виде модулей включающих виртуализированные сетевые функции, соглашения об уровне обслуживания (SLA), которые клиенты могут выбрать и активировать на интернет-портале. Будет подробно рассмотрена платформа оркестрации, представляющая собой интегрированную платформу включающую в себя подсистемы создания и обслуживания сервисного каталога, подсистемы кросс доменной оркестрации Cisco NSO (Tail-f NCS) и другие системы обеспечивающие полный цикл автоматизации и сопровождения жизненного цикла услуги.” Сессия будет интересна сетевым и ИТ -специалистам, руководителям отделов развития и эксплуатации сетей операторов связи, партнерам Cisco, интересующимся применением технологий SDN для предоставления современных телекоммуникационных и облачных услуг.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
3. Пример организации наложенной сети для
туннелирования данных до виртуальных BNG
3
vBRAS
Internet
VPEF
x86 servers
CSR
VMs
vBNG
vRouter
L2 VLAN
подключения
IPv6 Core
Дата ЦентрWAN сеть
HGWs
HGWs
vLNS
DHCPv4
CSR
VMs
vLNS – Retail ISP
LNS
LNS –Retail ISP
LNS
LNS
LNS
vLNS
Физические LNS
L2TPv2oIPv4
tunnels
IPv6 tunnel
end-points
IPv6
tunnels
RT OSS
Network Control Orchestrator
RADIUS
Retailer
RADIUS
4. Содержание
CSR 1000Vи его применение
РазвитиеXRv9000
Виртуальныемежсетевые экраны
Service Chaining– как этореализовать?
5. Последовательное соединение сервисов
– «сервисная цепочка»
Сервисная цепочка – упорядоченное соединение сетевых сервисов,
последовательно обрабатывающих пользовательский трафик
Пример: Firewall NAT Load Balancer
5
Service Chain
6. Так как же реализовать Service Chaining ?
Традиционные VLAN Stitching и Policy Based Routing
Service Chaining с использованием наложенных туннелей (MPLSoGRE или VXLAN) и Cisco
NSO оркестратора, программирующего, например, BGP EVPN сервисы
Segment Routing
Network Service Header (NSH) архитектура
BGP Vector Routing
OpenFlow/OVSDB управление виртуальными либо аппаратными коммутаторами
…
6
7. Network Service Header (NSH) архитектура
Service Chaining
Orchestration
SF
(VM)
Service
(v)switch
Forwarding
Service
Service
Classifier
SF
(Physical)
Service1VLAN
Service Function
Forwarder (SFF)
Control Plane
Policy Plane
SF
(VM)
Service
(v)switch
Forwarding
Service
SF
(Physical)
Service1VLAN
Service Function
Forwarder (SFF)
Service
Classifier
Network Overlay +
Service Header
Service Header
Service Classifier (SC)
Определяет тот трафик, который должен пройти по
сервисной цепочке
Service Path/ Service Chain
Реальный путь прохождения трафика/ абстрактный
упорядоченный набор виртуальных функций
Service Function Forwarder (SFF)
Коммутация трафика от/к одной или нескольким
подключенным сервисным функциям (SF) в
соответствии с информацией, содержащейся в NSH
заголовке
Service Function Proxy
Компонент ответственный за обработку NSH
заголовка/ инкапсуляции вместо непосредственно
подключенной сервисной функции
7
8. Network Service Header (NSH)
Network Service Header (NSH) содержит идентификатор сервисного пути (Service Path Identifier) и указатель на текущую
сервисную функцию (Service Index), к которой направляется трафик, а также метаданные
NSH состоит из 4-ех байтного базового заголовка, 4-ех байтного указателя на сервисный путь, четыре 4-ех байтных
контекстных заголовка и опционально расширения переменной длины.
0
0
1 2 3 4 5 6 7 8 9
1
0
1 2 3 4 5 6 7 8 9
2
0
1 2 3 4 5 6 7 8 9
3
0
1
Ver O C R R R R R R Length (6) MD Type (8) Next Protocol (8)
Service Path Identifier (24) Service Index (8)
Mandatory Context Header (1) - Network Platform Context
Mandatory Context Header (2) - Network Shared Context
Mandatory Context Header (3) - Service Platform Context
Mandatory Context Header (4) - Service Shared Context
Optional Variable Length Context Headers
Original Packet Payload
8
9. Network Service Header (NSH) инкапсуляция
Ethernet
IP Ethernet
UDP IP
VxLAN-GPE GRE Ethernet
NSH
Ethernet
IP
Payload
Инкапсуляция для доставки трафика до
следующей Сервисной Функции (SF).
Заменяется на каждом SF хопе
Оригинальный пользовательский
фрейм
NSH заголовок остается с
пользовательским пакетом на
протяжении всего сервисного пути
9
10. NSH Топология
SC
SFF + SFP SFF
SF
C
SF
B
SF
A
SF
D
Источник
Пункт назначения
1
2
3
4
5
6
7
9
8 10
12
11
Без NSH заголовка
NSH заголовок
10
11. Метаданные NSH заголовка
Метаданные значительно расширяют возможности и добавляют функционал NSH
коммутации трафика!
При добавлении и изменении NSH заголовка
• Возможность добавления произвольных данных в NSH заголовок
• Может использоваться SF и/или SFF, чтобы изменить/ повлиять на путь прохождения
данных
При отбрасывании NSH заголовка
• Может использоваться для коммутации пакета в заранее определенный VRF
сегмент, Next-Hop или продолжить обработку согласно таблице маршрутизации
11
12. Service Chaining в IPv6 мире
IPv6 Segment Routing (SRv6)
SR Header (SRH) содержит список
сегментов в обратном порядке
Segment List [ 0 ] – последний сегмент
Segment List [ 𝑛 − 1 ] – первый сегмент
SRv6 использует обычную IPv6
маршрутизацию данных до следующей
SF функции, IPv6 DA внешнего заголовка
устанавливается в соответствии с
текущим сегментом
Segment Routing service chaining: сервисы
отображаются как сегменты
Version Traffic Class
Next = 43 Hop LimitPayload Length
Source Address = A1::
Destination Address = A2::
Segment List [ 0 ] = A4::
Segment List [ 1 ] = A3::
Next Header Len= 6 Type = 4 SL = 2
First = 2 Flags TAG
IPv6Hdr
Segment List [ 2 ] = A2::
SRHdr
Payload
Flow LabelFlow Label
4
A4::
1
A1::
SR Hdr
IPv6 Hdr SA = A1::, DA = A2::
( A4::, A3::, A2:: ) SL=2
Payload
2
A2::
3
A3::
13. Поддержка NSH, VXLAN и SRv6 на Cisco
XRv 9000 и CSR 1000V устройствах
CSR 1000V
• CSR 1000V поддерживает SC/ SFF c релиза
IOS XE 16.4S, включая NSH Ping и Traceroute
функционал.
• VXLAN Flood and Learn
• VXLAN BGP EVPN
• SRv6 в плане на релиз 16.5S
XRv 9000
• XRv 9000 поддерживает SC/ SFF
функционал с релиза IOS XR 6.1.1 и NSH
Proxy c 6.2.1.
• Поддержка VXLAN BGP EVPN вынесена на
конец 2017 года, IOS XR 6.4.1
• SRv6 в плане на релизе IOS XR 6.4.1+
13
14. Сервер 1
Сервер 2
ASR9k
SC/SFF-1
VRF
ASR9k
SC/SFF
VRF
VRF
SFF-2
XRv 9000
VNF1
vNBAR
VNF2
vNBAR1
VNF3
vASA
VPN Blue данные
BLUE
VPN-site-A
BLUE
VPN-site-B
GREEN
VPN-site-A
GREEN
VPN-site-B
VRF
NSH цепочка сервисов на базе IOS XR
Входящий PE: SC и SFF
DC виртуальный
маршрутизатор: SFF
NSO
(Powered
by tail-f
NCS)
14
15. Server 1
Server 2
ASR9k
SC/SFF-1
VRF
ASR 9000
VRF
VRF
XRv 9000
VNF1
vNBAR
VNF2
vNBAR
VNF3
vASA
VPN Blue Traffic
BLUE
VPN-site-A
BLUE
VPN-site-B
GREEN
VPN-site-A
GREEN
VPN-site-B
VRF
Входящий PE: SC Конфигурация
Сервисная Классификация (SC) :
class-map type traffic match-any vrf-green
match access-group ipv4 nsh-vrf-green
end-class-map
policy-map type pbr nsh-vrf-green
class type traffic nsh-vrf-green
service-function-path 100 index 255 metadata nsh-vrf-green
Определяем Service Path:
service-function-chaining
path 100
255 sff SFF-2 ! SFF-2 это виртуальный маршрутизатор в Дата Центре
Формат и состав Метаданных:
metadata nsh-vrf-green
type 1 format dc-allocation
tenant-id 123
Применяем политику на интерфейсе:
interface TenGigE0/0/0/6
service-policy type pbr input nsh-vrf-green
vrf green
Пример на базе IOS-XR 6.1.1
16. Входящий PE: SFF Конфигурация
Сервер 1
Server 2
ASR9k
SC/SFF-1
VRF
ASR9k
SC/SFF
VRF
VRF
SFF-2
XRv 9000
VNF1
vNBAR
VNF2
vLB
VNF3
vASA
VPN Blue данные
BLUE
VPN-site-A
BLUE
VPN-site-B
GREEN
VPN-site-A
GREEN
VPN-site-B
VRF
Define SFF Locator and Transport/Encapsulation:
service-function-chaining
path 100
255 sff SFF-2
service-function-chaining
sff SFF-2
locator 1
transport vxlan-gpe
source-address ipv4 <IP SFF-1> destination-address ipv4
<IP SFF-2> source-port <port> vni <value>
Пример на базе IOS-XR 6.1.1
17. Сервер 1
Сервер 2
ASR 9000
VRF
VRF
XRv 9000
VNF1
vNBAR
VNF2
vNBAR1
VNF3
vASA
VPN Blue данные
BLUE
VPN-site-B
GREEN
VPN-site-B
DC виртуальный маршрутизатор: SFF
конфигурация Обработка Метаданных на выходе:
service-function-chaining
metadata-disposition nsh-vrf-green
type 1 format dc-allocation
match-entry 1
tenant-id 123
redirect ipv4 nexthop vrf green
Определение Сервисного Пути:
path 100
253 terminate metadata-disposition nsh-vrf-green default-action
redirect ipv4 nexthop 9.9.9.9
254 sf asav1
255 sf vnbar1
Как добраться до Сервисных Функций – инкапсуляция и IP адреса:
sf asav1
locator 1
transport vxlan-gpe
source-address ipv4 14.0.1.1 destination-address ipv4 14.0.1.2
source-port <port> vni 14
!
sf vnbar1
locator 1
transport vxlan-gpe
source-address ipv4 13.0.1.1 destination-address ipv4 13.0.1.2
source-port <port> vni 13
Пример на базе IOS-XR 6.1.1
18. 18
Network IO
Packet Processing: VPP
Management Agent
NC/Y REST ...
Сердцем fd.io проекта является Cisco Virtual Packet Processing
технология с 2002 года применяемая в коммерческих продуктах
Cisco
Fd.io код выполняются в Linux user-space и использует DPDK
библиотеку
Независим от аппаратной архитектуры сервера, будь то x86,
ARM или Power, а также от версии Linux ядра и, где выполняется
– в контейнере или отдельной виртуальной машине.
Релиз 16.09 fd.io содержит NSH Classifier, Service Function
Forwarder (SFF), SF Proxy функционал и поддерживает VXLAN-
GPE/GRE инкапсуляции
SRv6 доступен в FD.io 17.04 релизе, поведение аналогично IOS
XR/ XE платформам
Open Source реализация SFC/ NSH и SRv6
20. Virtual Packet Processing
Обработка супер-фрейма
• VPP обрабатывает целиком супер-
фрейм последовательно на каждом
узле функционального графа
• Вместо того, чтобы поочередно
«прогонять» каждый пакет через весь
граф, VPP завершает обработку всего
супер-фрейма на каждом узле перед
тем, как перейти к следующему
20
21. • Композиция функциональных блоков
обработки трафика в виде графа позволяет
легко расширить доступный VPP
функционала, например, добавить SFC и
NSH
• Создается отдельная бинарная библиотека
(plugin), реализующая необходимый
функционал
• Расширения загружаются из отдельной
директории на хосте, в том числе и в
режиме реального времени
• Конфигурация VPP дает возможность
поменять порядок функциональных узлов в
графе и добавить дополнительные узлы
21
Virtual Packet Processing
Легкость расширения функционала
22. NSH/ SFC Производительность
(16.09)
5120 5520
7088
9432
0
2000
4000
6000
8000
10000
72 84 128 256
Throughput(Mbps)
Packet Size (Bytes)
NSH Classifier Throughput For Different
Packet Size
(1C1T)
7088
4250
4500
0
1000
2000
3000
4000
5000
6000
7000
8000
Throughput(Mbps)
NSH Classifier NSH Proxy SFF
NSH_SFC Throughput For 128B Packet
(1C1T)
Два-три выделенных CPU ядра на fd.io позволяют достичь 10 Gbps line-rate для всех
размеров пакетов!
22
23. Fd.io как прокси для SRv6 трафика
VNF хост
F1::
IPv6 Hdr SA = A::, DA = B::
Payload
Терминация сервисной цепочки с SID F1::A2
- Отбрасывание внешних IP и SR заголовков
- Отправка «чистого» пакета на Iface 1
Входящая политика на Iface 2: добавление SRH
- Определение входящих пакетов как
принадлежащих сервисной цепочке 〈 F2::, … 〉
- Инкапсуляция и отправка трафика к DA: F2
IPv6 Hdr SA = A::, DA = B::
Payload
Статичная конфигурация
VPP для каждой сервисной
цепочки
fd.io
VNF1
Iface 1 Iface 2
SR Hdr
IPv6 Hdr SA = E1::, DA = F1::A2
(F1::A2, …) SL=0
Payload
IPv6 Hdr SA = A::, DA = B::
SR Hdr
IPv6 Hdr SA = E1::, DA = F2::
(…, F2::)
Payload
IPv6 Hdr SA = A::, DA = B::
VNF обрабатывает обычный IPv6
пакет
23
24. Содержание
CSR 1000Vи его применение
РазвитиеXRv9000
Виртуальныемежсетевые экраны
Service Chaining– как этореализовать?
25. Виртуальная машина IOS XE – CSR 1000V
CSR 1000v
vMS
Сервер
Гипервизор
Virtual Switch
OS
App
OS
App
CSR1000v
vPE vBNG / vLNS
vSP WiFi
viWAG
vRR
25
26. Cisco CSR 1000V подобен ASR 1001
26
Аналогичное программное обеспечение
• Хорошо известная IOS XE система
• Независимое от состава серверного оборудования и
виртуального vSwitch коммутатора
Эластичная производительность
• Лицензируемо от 10 Mbps до 10 Gbps
• Поддержка от 1 до 8 виртуальных CPU
Несколько лицензионных моделей
• Подписка (1 и 3 года), постоянная, по использованию (AWS
облако)
Программируемость
• NetConf/Yang, RESTConf и SSH/Telnet для
автоматизированного управления и развертывания
Control PlaneForwarding Plane
vNICvCPU vMemory vDisk
Сервер
CPU Memory Disk NIC
Hypervisor (VMware / Citrix / KVM / Microsoft)
Chassis Mgr.
Forwarding Mgr.
IOS
Chassis Mgr.
Forwarding Mgr.
FFP Client /
Driver
FFP code
Linux Container
27. Влияние частоты CPU на
производительность VNF
• Два сервера:
• 3.2 GHz (16 ядер)
• 2.6 GHz (24 ядра)
• Используется SR-IOV, чтобы минимизировать
влияние I/O ввода-вывода
• Тестируется IPv4 CEF коммутация
Для одной VM увеличение производительности
пропорционально увеличению частоты CPU
Для трех VM уже не пропорционально
• Узким местом является IO (2x10 GE)
• Пример горизонтального масштабирования с
тремя VM (3 x 6 Gbps)
28
3.2
2.6
≈
7.4
6
18.101
20
6.001
7.367
0 5 10 15 20 25
2.6 GHz, 24 core
3.2 GHz, 16 core
Impact of Different server Core Speeds
CSR 1000v, IMIX, SR-IOV, IOS XE 16.3
1x2vCPU 3x2vCPU
28. Miercom тестирование CSR 1000V в
роли vBNG
29
Задействуя всего один или два vCPU на VM, можем достичь физического лимита в 20 Gbps на
x86 сервер с двумя 10 GE портами и до 5 Gbps в AWS облаке
Горизонтальная масштабируемость –
производительность
3 x 2 vCPU VM > 1 x 8 vCPU VM
vBNG Тест:
Одна VM с 2 vCPU на RHEL 7.2 с SR-IOV
CPU: Intel® Xeon E5-2699 v3 @ 2.30GHz
8.000 Dual-Stack Sessions, 500 Kbps на сессию
29. Использование VxLAN или L2TPv3 туннелей до vBNG
для доставки абонентского трафика
30
Каким образом доставить трафик из множества сетей доступа к нескольким
Дата Центрам?
Два готовых решения для проброса трафика от абонентов до vBNG:
• PPP / IP сессии поверх VXLAN
• PPP / IP сессии поверх L2TPv3-in-IPv6 до fd.io/VPP и затем к vBNG
Решение терминации L2TPv3 туннелей непосредственно на CSR 1000V в
настоящий момент находится в стадии разработки
30. VxLAN туннель устанавливается между коммутатором агрегации и vBNG:
vBNG вычленяет PPP трафик из VxLAN туннеля и терминирует его
Пример настройки BDI интерфейса на vBNG (16.3.1):
PPP сессии поверх VXLAN до vBNG
31
PPP inside VxLAN Tunnel
Устройство
доступа
Коммутатор
PPP
клиент
vBNG
interface BDI10
no ip address
vlan-id dot1q 2000
pppoe enable group global
!
pppoe enable group global
!
31. L2TPv3 туннель между устройством агрегации и fd.io/VPP виртуальным
коммутатором:
Упрощение дизайна и повышение его эффективности за счет терминации L2TPv3
туннеля на CSR 1000V (планируется к реализации)
PPP поверх L2TPv3-in-IPv6 с fd.io/VPP
32
PPP поверх L2TPv3 туннеля
Устройство
доступа
КоммутаторPPP
Клиент
vBNGfd.io
VPP
PPP поверх L2TPv3 туннеля
Устройство
доступа
КоммутаторPPP
Клиент
vBNG
Хост
32. 40 Gbps NAT на CSR 1000V
NAT Inside G1/G3 NAT Outside G2/G4
Port1 Port3 Port4 Port2
CSR 1000V
Bidirectional UDP трафик
1,000,000 сессий
• Функционал планируется в релизе IOS XE 16.7S – значительное ускорение части
функционала
• Bidirectional UDP трафик с 1М потоков, 450 байтные пакеты
• Под Data Plane PPE задействуется 7-мь ядер
• Используется ускорение ввода-вывода PCI PassThrough
192.58.1.3 192.58.3.3 192.58.4.3 192.58.2.3
33. 1 2 3 4 5 6 7 8 9 10
Best caseAdditive(feat) 1.8 3.6 5.4 7.2 8.9 10.7 12.5 14.3 16.1 17.9
OVS-DPDK (feat) 0.9 2.2 3.4 5.3 6.7 6.1 4.6 2.4 4.1 3.9
SR-IOV (feat) 1.8 3.6 5.0 6.7 8.0 9.5 10.9 12.5 14.0 15.5
FD.io VPP (feat) 1.7 3.2 4.6 6.0 7.4 9.0 9.4 8.7 8.3 7.7
0
5
10
15
20
25
SystemThroughput(Gbps)
Number of Virtual Network Functions (VNF Virtual Machines)
Multi-VM Throughput (Gbps) with various I/O architectures
NAT+Firewall+QoS+DPI, IMIXPacket Size, XE 16.3.1
Physical InterfaceLimit
Multi-VM CSR1KV производительность
OVS-DPDK vs fd.io VPP
2 vCPU CSR1kv виртуальная машина
сконфигурирована с NAT, Firewall, QoS и
AVC
• SR-IOV и VPP показывают хорошую
линейность при увеличении числа VM
• VPP максимальная
производительность 10 Gbps
• OVS-DPDK - 6.7 Gbps
x86 Хост Cisco UCS C240 M4 Series: 2 Sockets Intel Xeon E5-2699v3 2.3 GHz with 18 cores each, 262GB RAM
Физические
интерф.
1 NIC with 2 x 10GE ports; Intel X520-DA2 NIC
Гипервизор Redhat KVM version 7.2; Linux kernel 3.10.0- 327.18.2.el7.x86 64; Libvirt 1.2.17; QEMU version 2.3.0
I/O оптимизация OVS version 2.4.0 , Cisco FD.io VPP release 16.06, configured for 3 cores
34. Содержание
CSR 1000Vи его применение
РазвитиеXRv9000
Виртуальныемежсетевые экраны
Service Chaining– как этореализовать?
35. IOS-XRv 9000: в основе 64-ех битная IOS-XR
Виртуальный маршрутизатор с RPM Package Manager
IOS XRv
QOS
TWAMP
LACP ARP
IS-ISLLDP
BGP LDP
VRRPRSVP
SR PCEP
Netconf
Open
Flow
SNMP
SYSDB
RIBFIB
BGP-LS Netflow
802.1agGRE
Y.1731
L2TPEVPN
OSPF
LLDP
EVPN
OSPF
LLDP
Без перезагрузки устройства
Уменьшение времени отказа
Рестарт процессов
OSPF OSPF
Установка патчей без перерыва сервиса
Установка баг-фиксов
Минимизация потерь сервиса
и количества перезагрузок
OSPF OSPF
Модульность
64-bit
Расширяемость за счет установки
сторонних приложений
QOS
TWAM
P
LACP ARP
IS- ISLLDP
BGP LDP
VRRPRSVP
SR PCEP
Netco
nf
Open
Flow
SNMP
SYSD
B
RIBFIB
BGP-
LS
Netf o
w
802.1
agGRE
Y.
1731
L2TPEVPN
OSPF
LLDP
EVPN
OSPF
LLDP
Machine to Machine
Telemetry
AppHosting
Granular packaging
36
36. Гибко масштабируемый
коммутационный уровень
• ACLs
• uRPF
• Marking, Policing
• IPv4, IPv6, MPLS
• Segment routing
• BFD
IOS-XRv 9000: Эффективная коммутация данных
IOS-XRv Control Plane
RX &
Interface
Classification
Traffic
Manager
& TX
Forwarding
& Features
TCAM PLU
TM
Pkt. replication
• Инновационный виртуальный коммутатор
• X86 программная реализация:
• Иерархический трафик менеджер с 3
уровнями HQoS, 512,000 очередей
• Программные полисеры, в 4-е раза
быстрее чем DPDK эталонные
реализации
• Программная реализация TCAM с
постоянной характеристикой поиска
• Плоскость передачи данных оптимизирована
для быстрой перемашрутизации данных, а
также для передачи IMIX трафика без потерь на
скорости порта
• Портируемый 64bit C-code (для ARM платформ)
• Часть кода идентична Cisco nPower X семейству
IOS-XRv 9000
IOS-XRv Virtual Forwarder
Иерархический QOS
планировщик
• На одном CPU ядре
• ½ миллиона очередей
• 3-уровневый H-QOS
Классификация пакетов и
балансировка
SW based HW Assists
37
37. LXCLXC
XRv Linux Kernel
KVM, ESXi
Виртуальная машина
LXC
Linux
bridge
Admin
Plane
IOS XRv 9000 Детали архитектуры (6.1.x)
38
Virtual Forwarder
Dataplane
IOS XR Control
Plane (CP)
DP
Agent
(DPA) Driver Driver Driver
VPP + DPDK
Ctrl
Eth
virtio
e1000
10G
10G
VF PF
vmxnet3
Ctrl
Eth
IOS XR
LC CP
DP control
(DPC)
IOS XR
RP CP
Ctrl
Eth
GE
Mg
mt
Eth
39. Профиль тестирования:
VPN сервис, без Multicast‘а
Пропускная
способность
(Gbps), NDR
Пропускная
способность (L1)
(Gbps) , NDR
Пакетов в
секунду
(Mpps)
Пакетов в секунду
(Mpps)
Размер IP
пакета
374 байта (среднее)
48 байт
IPv4
MPLS L3VPN VPNv4 (bi-directional)
Policing, Marking, HQoS
50K Bidir flows
19.81 - CE -> PE
39.62* 11.79 15.17
19.81 - PE -> CE
MPLS L3VPN VPNv4 (bi-directional)
Policing, Marking, HQoS
5K Bidir flows
19.83 - CE -> PE
39.66* 11.80 15.71
19.83 - PE -> CE
IPv6
MPLS L3VPN VPNv6 (bi-directional)
Policing, Marking, HQoS
50K Bidir flows
19.73 - CE -> PE
39.46* 11.75 14.73
19.73 - PE -> CE
MPLS L3VPN VPNv6 (bi-directional)
Policing, Marking, HQoS
5K Bidir flows
19.76 - CE -> PE
39.51* 11.79 15.14
19.76 - PE -> CE
Один сокет
2 ядра CP
10 ядер DP – 2 Rx, 6 WT, 2 Tx
Два сокета
Сокет 0: 3 ядра CP
Сокет 1: 12 ядер DP –
2 Rx, 8 WT, 2 Tx
Производительность XRv 9000 vPE (6.1.1)
40
Интерфейсы полностью загружены *
40. Socket 0 Socket 1
Receive Thread
Разделение плоскостей управления и
коммутации данных по разным сокетам
NIC
Worker
Thread
Worker
Thread
Worker
Thread
Worker
Thread
Worker
Thread
Worker
Thread
Worker
Thread
Rx Thread
RX
NIC
DPDK
Driver
DPDK
Driver
Worker
Thread
Tx Thread
RX
DPDK
Driver
DPDK
Driver
NIC
NICTx Thread
RX
DPDK
Driver
DPDK
Driver
Rx Thread
RX
DPDK
Driver
DPDK
Driver
QPI
DPA
XR
RP+LCAdmin
DP
C
41
12 Data Plane ядер
41. Профиль тестирования:
VPN сервис, без Multicast‘а
Пропускная
способность
(Gbps), NDR
Пропускная
способность (L1)
(Gbps) , NDR
Пакетов в
секунду
(Mpps)
Пакетов в секунду
(Mpps)
Размер IP
пакета
374 байта (среднее)
48 байт
IPv4
MPLS L3VPN VPNv4 (bi-directional)
Policing, Marking, HQoS
50K Bidir flows
19.81 - CE -> PE
39.62* 11.79 15.17
19.81 - PE -> CE
MPLS L3VPN VPNv4 (bi-directional)
Policing, Marking, HQoS
5K Bidir flows
19.83 - CE -> PE
39.66* 11.80 15.71
19.83 - PE -> CE
IPv6
MPLS L3VPN VPNv6 (bi-directional)
Policing, Marking, HQoS
50K Bidir flows
19.73 - CE -> PE
39.46* 11.75 14.73
19.73 - PE -> CE
MPLS L3VPN VPNv6 (bi-directional)
Policing, Marking, HQoS
5K Bidir flows
19.76 - CE -> PE
39.51* 11.79 15.14
19.76 - PE -> CE
Один сокет
2 ядра CP
10 ядер DP – 2 Rx, 6 WT, 2 Tx
Два сокета
Сокет 0: 3 ядра CP
Сокет 1: 12 ядер DP –
2 Rx, 8 WT, 2 Tx
Производительность XRv 9000 vPE (6.1.1)
42
Интерфейсы полностью загружены *
42. Multi-socket Data Plane масштабируемость
Receive ThreadsNIC NIC
Socket 0
NIC NIC
Transmit ThreadsWorker Threads
Receive Threads Transmit ThreadsWorker Threads
Socket 1
QPI
Одна виртуальная машина, работающая на нескольких CPU/ Сокетах
43
44. Требования Заказчиков по развитию
XRv 9000 платформы
• Разделение плоскостей управления и передачи данных по разным VM виртуальным машинам
• Резервирование плоскости управления, отсутствие влияния RP Failover на передачу данных
• Масштабирование за счет увеличения количества Data Plane виртуальных машин. При этом требования
различаются кардинально – от двух VM в плоскости передачи данных для EVPN PW резервирования
абонентских подключений до 64-ех виртуальных «линейных карт»
• В случае нескольких виртуальных «линейных карт» на базе серверов необходимо предусмотреть
внешнюю коммутационную фабрику и интерфейсы с ней
• Это может быть один или несколько выделенных Ethernet интерфейсов
• Или может использоваться один универсальный интерфейс, по которому передается трафик сетей
доступа, ядра и фабрики
Также акцентировалось внимание на - последовательном апгрейде ПО виртуальных «линейных карт»,
замене ПО без перерыва сервиса (ISSU), «горячем» добавлении сетевых карт, vCPU, оперативной памяти к
виртуальным машинам
45
45. XRv 9000 Распределенная архитектура
Рассматривается к реализации
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
mgmt
ctrl
mgmt
ctrl
ctrl
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
ctrl
• Active/Standby RP VM
• Выделенный CTRL
Ethernet порт на
каждой VM для
служебного трафика
управления и
Punt/Inject данных
• Менеджмент порт для
внешнего
подключения
• Несколько LC VM, все активны
• До 16 портов на LC (данных или фабрики)
• Поддержка Multi-Socket Dataplane на LC VM
. . .
traffic/
fabric
traffic/
fabric
Admin
Plane
XR
RP
XR LC
+ DP
• Управление Infra / System / LXC
• Install / Upgrade / SMU / Управление
жизненным циклом ПО
• Проверка работоспособности LC/RP
компонент, HA, OIR
• IOS XR управление системой
• Протоколы маршрутизации
• Интерфейс с пользователем
• XR Line Card функционал
• Трафик менеджер/ QoS
• Коммутация/ маршрутизация данных
46
46. XRv9k Виртуальная фабрика коммутации
Варианты рассматриваемые к реализации
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
mgmt
ctrl
mgmt
ctrl
ctrlctrl
Коммутатор/
сеть
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
mgmt
ctrl
mgmt
ctrl
ctrlctrl
Коммутатор/
сеть
Core
Access
Fabric
Универсальный дата/ фабрик интерфейс Выделенные дата и фабрик интерфейсы
• mpls
• vlan
• vxlan / dedicated L2
Произвольный тип драйвера
порта virtio, vmxnet3,
PassThrough, SRIOV, ...
47
47. XRv 9000 эволюция – распределенная модель 6.2.1
Единая VM (доступно в 6.2.1)
XR LC функционал включен в DP контейнер
VMVM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
Распределенное Виртуальное Шасси (внутреннее тестирование)
1-2 RP VM + 1 LC VM
VM VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LXC
XR LC
+ DP
48
48. VM
Дальнейшее развитие XRv 9000 – обсуждение в
процессе!
RP VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LC VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
Распределенное Виртуальное Шасси
1-2 RP VM + 1-8* LC VM
LC VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
VM RP VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
...
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LXC
XR LC
+ DP
Отказоустойчивая пара RP VM с интегрированной линейной картой
Active/Standby RP с двумя виртуальными LC
* Количество обсуждается
vFabri
c
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
LXC
XR LC
+ DP
Виртуальная фабрика
49
49. XRv 9000 vBNG производительность
50
Отметим: цифры производительности и даты предварительные, могут измениться до FCS
32.000 абонентов на VM, Гео-резервирование
200 вызовов в секунду на VM, 100 CoA в секунду на VM
Производительность:
UCS C240, 28 ядер, Xeon E5-2697 v3 @ 2.6 Ghz, 128 GB RAM, 10x10Gig
32.000 IPoE абонентов с H-QoS и ACL’s, 82 Gbps IMIX трафика NDR
Оценка для 32.000 PPP сессий: 5-10% меньше пропускная способность, около 75 Gbps
Roadmap:
Dec'16
IPoE DEMO
Feb-17
IPoE PoC
Apr-17
PPPoE Demo
Jun-17
PPPoE PoC
Jul-17
IPoE EFT
Aug-17
IPoE FCS
(6.3.1)
Sep-17
PPPoE EFT
Nov-17
PPPoE FCS
(6.3.2)
50. Cisco vBNG VNF
51
CSR 1000V XRv 9000
Доступность к заказу Сейчас
IPoE – Август 2017
PPP – Ноябрь 2017
Масштабируемость
2 vCPU VM:
8.000 сессий
5 Gbps IMIX
28 vCPUs VM:
32.000 сессии
80 Gbps IMIX
Сценарии
использования
vPTA, vLAC, vLNS, vLTS vPTA, LNS в Roadmap
51. Содержание
CSR 1000Vи его применение
РазвитиеXRv9000
Виртуальныемежсетевые экраны
Service Chaining– как этореализовать?
52. Cisco VNF системы информационной
безопасности
Автоматическое развертывание и REST-API оркестрация для NGFWv и ASAv
ASAv 9.x
Firewall
KVM
Microsoft
Hyper-V
Vmware
Microsoft
Azure
Amazon
Web Services
ASAv
FMCv 6.x
Unified
Manager
VmwareAmazon
Web Services
FTDv
NGFW VmwareAmazon
Web Services
Firepower NGFWv 6.x
Microsoft
Azure
KVMKVM
53
55. Маршрутизирующий межсетевой экран
ASAv
ASAv выступает в роли маршрутизатора
между VXLAN, vNIC и VLAN сегментами
First-Hop Router для подключенных устройств
как физических, так и виртуальных. Отвечает
на ARP запросы, в том числе передаваемых по
VXLAN
Integrated Routing and Bridging
Полноценные политики безопасности для
вcех типов доступа – VXLAN, VLAN и т.д.
Динамическая маршрутизация
Поддержка Equal-Cost Multipath
Поддержка Policy-Based Routing
Cisco® ASAv
Routed
Gateway 1
VTEP
VTEP
host
1
host
2
Virtual Host
VTEP
Client
Gateway 2
Traffic Zone
Outside
vNIC5
VLAN200
VxLAN 30000
DMZ1
VxLAN 20001
DMZ2
VxLAN 20000
Host3
inside
outside2
outside1
Host4
DMZ3
VLAN13
vNIC6
VLAN
Trunk
DMZ4
VLAN14
BVI10
56
56. До 4-ех интерфейсов в Bridge группе
Поддержка VxLAN, vNIC и VLAN
интерфейсов
Возможность объединить
разнообразные сегменты доступа в
один широковещательных домен
NAT и ACL на интерфейсах
«Прозрачный» режим межсетевого
экранирования ASAv Gateway
Cisco® ASAv
Transp
Segment- 1
Segment- 4
VTEP
VTEP
host
2
host
3
Virtual Host Segment- 2
VxLAN 20001
Segment- 3
VxLAN 2000
host
4
57