Das diensteneutrale Transportnetz

Norbert Serick

Systems Engineer

Sachsenstammtisch / Oktober 2014

Intelligente WAN-Dienste (IWAN)

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Das intelligente WAN mit seinen Komponenten

Transportnetz

Internet

Außenstelle

Transportnetz

3G/4G-LTE

AVC

Transportnetz

(z.B. MPLS) WAAS PfR

Anwendungs- bezogen

• Sichtbarkeit der

Anwendungen mit

Performance Monitoring

• Anwendungsbe-

schleunigung und

Bandbreitenoptimierung

Sichere

Kommunikation

• Zertifizierte starke

Verschlüsselung

Intelligente Wegewahl

• Dynamische & optimale

Wegewahl für

Anwendungen

• Load balancing für volle

Bandbreitenausnutzung

• Verbesserte Verfügbarkeit

Transport- unabhängig

• Konsitentes Betriebsmodell

• Providerunabhängig

• skalierbares und modulares

Design

• IPSec routing overlay Design

WAN

RZ/Zentrale

Ein Transport-Unabhängiges WAN-Design

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Simplifiziertes WAN Design Dynamische Full-Meshed

Vernetzung Validierte und robuste Sicherheit

Ein flexibles und sicheres WAN Design für alle Transportoptionen

Was bietet Dynamic Multipoint VPN (DMVPN) ?

Sicher Flexibel

• Einfaches multi-homing über alle möglichen Transportnetze der Provider

• Ein Routing Control Plane mit minimalem Peering zum Provider

• Konsistentes Design über alle Transportoptionen

• Automatische Site-to-Site IPSec Tunnel

• Zero-touch Hub Konfiguration für neue Spokes

• Zertifizierte Verschlüsselung plus Firewallfunktionen

• Skalierbares Design mit Hochleistungsverschlüsselung in Hardware

ISR-G2

WAN

Transportnetz 2 ASR 1000

ASR 1000

Transport-Unabhängig

RZ/Zentrale

Außenstelle

Transportnetz 1

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Sichere Tunnel ON-DEMAND

Das WAN Design mit

• Die Außenstellen Spokes registrieren sich am Hub und etablieren IPSec Tunnel

• Das IP Routing tauscht für jede Außenstelle Prefix Information aus

• BGP, OSPF oder EIGRP werden typischerweise verwendet

• Mit WAN Interface IP Adressen als Tunnel Source Adresse brauchen Provider Netzwerke keine Kundeninternen IP Prefixe zu routen

• Der Datenverkehr wird über DMVPN Tunnel transportiert

• Für Verkehr zwischen den Spokes (Außenstellen) werden Tunnel dynamisch aufgebaut

• QoS wird pro Tunnel realisiert

Dynamic Multipoint VPN (DMVPN)

Außenstelle 2

Herkömmliche statische Tunnel

DMVPN On-Demand Tunnel

Static Known IP Addresses

Dynamic Unknown IP Addresses

ISR G2

Außenstelle 1

IPsec VPN

Außenstelle n

ASR 1000

ISR G2 ISR G2

Zentrale

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Ein DMVPN IPsec Overlay

Eine WAN Routing Domäne iBGP, EIGRP oder OSPF

Active/Active WAN Pfade

IWAN: realisiert transportunabhängige WAN-Designs Gleiches Design für Transportoptionen MPLS, Internet, 3G / 4G(LTE)

Internet MPLS

Außenstelle

DMVPN DMVPN

MPLS 3G/4G

Außenstelle

DMVPN DMVPN

IWAN HYBRID

RZ/Zentrale

IWAN HYBRID

RZ/Zentrale

ISR-G2

ASR 1000 ASR 1000

ISP A ISP B

ISR-G2

ISP A ISP C

ASR 1000 ASR 1000

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Hochverfügbare Transportnetze mit Cisco IWAN Durch Redundanz und Wege-Vielfalt

ISR G2

MPLS

ISR G2

MPLS MPLS Internet

ISR G2

MPLS

SINGLE

ROUTER,

SINGLE PATH

SINGLE

ROUTER,

DUAL PATHS

DUAL

ROUTERS,

DUAL PATHS

Internet Internet

ISR G2

ISR G2

Internet

ISR G2

MPLS Internet

ISR G2 ISR G2

Internet Internet

ISR G2

99.95%* 99.90%*

99.995% 99.995% 99.995%

99.999% 99.999%

Downtime

pro Jahr

4–9 Stunden

Downtime

pro Jahr

8 Stunden

46 Minuten

5 Minuten

26 Minuten

IWAN Lösung

ISR G2

MPLS MPLS

ISR G2

99.999%

* Typical MPLS and Business Grade Broadband Availability SLAs and Downtime per Year, calculated with Cisco AS DAAP tool.

Intelligente Wegewahl mit Performance Routing (PfR)

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Durch PfR entsteht ein höherer Nutzen der WAN Investition

Vorteile der intelligenten Wegewahl

RZ/Zentrale Außenstelle

ASR 1000

ASR 1000

WAAS PfR

AVC

ISR G2

Transportnetz 2

Transportnetz 1

Ermöglicht auch Internet-

basierte WANs

Effiziente Verteilung von

Verkehr basierend auf

Auslastung, Leitungskosten,

und Wegepräferenzen

Pro Anwendung der beste

Pfad basierend auf

Verzögerung, Paketverlust

und

Jitter Messungen

Schutz vor

Überlastsituationen auf

WAN-Anschlüssen und

beim Provider

Geringere

WAN Kosten

Volle Ausnutzung der

gesamten WAN Bandbreite

Verbesserte

Anwendungs-Performance

Geringere

WAN Kosten

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Die intelligente Wegewahl mit PfR

Der Anwendungsfall Sprache und Video

Außenstelle

Transportnetz 1

Transportnetz 2

• PfR überwacht die Netzwerk-Performance und routed Anwendungen

basierend auf den Performance Vorgaben (Policies)

• PfR realisiert Loadbalancing basierend auf Anschlußauslastungen zur effektiven Ausnutzung der WAN

Bandbreite

Anderer Verkehr wird

lastverteilt zur Maximierung

der Bandbreite Sprache/Video wird umgeleitet

wenn der aktuelle Pfad die

Vorgaben nicht mehr einhält

Sprache/Video bekommt

den besten Pfad bezüglich

Delay, Jitter, und/oder

Paketverlust

RZ/Zentrale

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Performance Routing Die Komponenten

12

Der Entscheider: Master Controller (MC)

Umsetzung der Vorgaben (Policies), deren Überprüfung und Reporting

Kein Transport + Untersuchung von Paketen erforderlich

Der Transportweg: Border Router (BR)

Liegt im Datenpfad (lernt + überwacht den Verkehr) Setzt die Entscheidungen des MC’s um (Wegewahl)

Optimierung nach verschiedenen Kriterien:

Erreichbarkeit, Verzögerung, Paketverlust, Jitter, Sprachqualität (MOS), Durchsatz, Last, und/oder Kosten

Transportnetz 1 Transportnetz 2

Rechenzentrum

Außenstelle MC+BR

BR BR

MC

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Wie PfR funktioniert – die Hauptfunktionen

Wegewahl

Identifikation der

Verkehrsklassen über die

Anwendungen oder QoS

Werte

ISR G2 und ASR Geräte

lernen die Verkehrsklassen

anhand des Verkehrs der

durch sie geht (Funktion

BR = Border Router)

basierend auf der

Definition der Vorgaben

(Policies)

Messung des

Verkehrsflusses und der

Netzwerk-Performance

(aktiv oder passiv

möglich) und Übermittlung

der Werte an Master

Controller

Der Master Controller

bestimmt die Wegewahl

und Pfadänderungen

basierend auf den

Vorgaben (Policies)

Messung Lernen des Verkehrs Definition der Traffic Policy

ISR G2

ASR1K MC

BR BR

MC

BR BR

Performance

Messungen MC

BR BR

Lernen der

aktiven TCs

Traffic

Classes

(TC)

TC Pfade

Anwendungs- und dienstezentrische Netze

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Heutige Netze sind häufig “blind” für Anwendungen

• Statische IP-Port Klassifizierung reicht nicht mehr

• Mehr und mehr Anwendungen nutzen HTTP/HTTPS

• Verstärkte Nutzung von Verschlüsselung

• Anwendungen bestehen aus mehreren Sessions (video, voice, data)

• Was ist, wenn die Nutzererfahrungen nicht zu den Geschäftsanforderungen passt?

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Außenstelle

Zunahme

der Endgeräte

Nutzer/ Geräte

Das Transportnetz wird sensibel für Anwendungen und Dienste

Durch Application Visibility & Control (AVC)

Rechenzentrum/Z

entrale

Cisco AVC

>60% der IT Verantwortlichen sehen Performance als eine wesentliche Herausforderung

Keine zusätzlichen Untersuchungsgeräte

• Paketuntersuchung in der Tiefe (Deep Packet Inspection)

• Passive Überwachung von Voice, Video, kritischen und unkritischen Anwendungen

• Keine zusätzliche Hardware (enthalten in AX Lizens)

Effektivere Kapazitätsplanung

• Bessere Ausnutzung der kostenintensiven Bandbreite

• Pro Außenstelle und pro Anwendung Möglichkeit des Reportings

An Dienste und Anwendungen angelehnte Umsetzung

• Kein Bedarf an komplexen IP- und Port ACL’s

• Schaut in HTTP Flows um spezifische Anwendungen zu identifizieren

RZ

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Nutzer/ Geräte

RZ

Überwachung der Anwendungs Performance

Reporting der Anwendungen und deren Performance

WAN

NetFlow v9

IPFIX

AVC

CSR

NetFlow/IPFIX Records (gleiche Provisionierung, gleiches Format)

• Datensätze mit Verkehrsstatistiken

• Datensätze mit Antwortzeiten von Anwendungen

• Datensätze der Überwachung von Anwendungen, Jitter, Paketverlust, u.s.w.

Auswerte-SW von Partnern

ActionPacked

Glue Plixer

Living Objects

CompuWare

CA Technologies

InfoVista

Sammeln Sammeln Sammeln

Provisionierung

Export

NetFlow v9 Export/IPFIX Export

Außenstelle

RZ/Zentrale

AVC

AVC

Zunahme

der Endgeräte

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

NBAR2

IOS NBAR

+150 Signatures

Service Control Engine

Classification

+1000 Signatures

Innovationen

Native IPv6 Classification

Open API 3rd Party Integration..

Netzwerk-Basierte Anwendungs-Erkennung (NBAR2) Deep Packet Inspection (DPI)

18

Anwendungs

Erkennung

• Erweiterte Anwendungsklassifizierung

• In-service upgradable Protokoll Definitionen

Kein IOS upgrade oder Reboot für neue Protocol Packs

• Abwärts-Kompatibel zu älteren NBAR Investitionen

• NBAR2 Protocol List http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6616/product_bulletin_c25-627831.html

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Möglichkeit der Transportnetz Optimierung Zusätzliche Geschwindigkeits- und Bandbreitenvorteile durch WAAS

Außenstelle

RZ/Zentrale

Schnellere Anwendungen, mehr Nutzer, weniger Bandbreite

• 90% HD Video Optimierung und Verbesserung der Nutzerwahrnehmung

• Doppelte Anzahl Citrix Nutzer über die gleiche WAN-Verbindung, 70% schneller

• Amortisierung in weniger als einem Jahr, 65% Kosteneinsparung bei Bandbreite

Einfache Umsetzung

• Funktioniert mit ISR-Routern (und AX Lizens)

Skalierbar

• AppNav Controller und WAVE Pool ist skalierbar

• Einfache Möglichkeit der “Hochverfügbarkeit”

vWAAS WAAS Express

AppNav-XE Controller

CSR

WAVE

Transportnetz

Beschleunigt TCP-Verbindungen Nutzer/ Geräte

Transportnetz Management

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Specialized Management Cloud-Based Management

• Speed: Eliminates manual building of WANs

• Agility: Quick configuration updates and IOS

upgrades

• Dynamic: Compatible with onePK for app

aware WANs

• Reduced OPEX: Automated WAN

orchestration

• Cost Savings: Centralized hybrid WAN

management

• Integrates with Cisco App Visibility and

Control

• Monitor and analyze app-level traffic

• End-to-end flow visualization

• Troubleshoots hop-by-hop to pinpoint

source

• Fix and verify QoS and App in realtime

Cisco IWAN Management

Automates Deployment

and Lifecycle Management Application Aware Network

Performance Management

On-Prem Management

Cisco Prime

• Lifecycle: Vereinfachte Umsetzung und

Konfiguration

• Configuration: – “Plug and Play” Umsetzung

und Automation

• Health Assurance: Verbesserte

Anwendungsverteilung

• Compliance: Regulatorien, Anforderungen

und “best practices”

Management für Firmen und

Systemintegratoren

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public 22

Zusammenfassung

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Neue Möglichkeiten für Transportnetze mit Cisco IWAN

Geprüfte und

skalierbare

Sicherheit

• “Any to Any” Sicherheit

• Schützt alle Außenstellenressourcen

• Sicherer Internetzugang

Kontext-

basierendes

Routing

• Erkennt Anwendungen

• Erkennt Endgeräte

• Erkennt Netzwerkzustände

Schnelle

Amortisation

• Die Einsparungen können an anderer Stelle in Innovationen investiert werden

Kann sich nach

amortisieren

Granulare

Steuerung an

allen Stellen

• Außenstelle ISR-AX

• RZ ASR1K-AX

• Cloud CSR1000V

Integriert in die

WAN Plattform,

dadurch einfache

Umsetzung

Bis zu

Einsparungspotential

Die Alternative:

Zusätzliche Appliances

App Visibility

andControl

IP Sec VPN

WAN Opt.

Firewall

WAN Path Selection

Router

© 2014 Cisco and/or its affiliates. All rights reserved. IWAN Cisco Public

Die Zukunft: Application Centric Infrastructure (ACI)

APIC APIC

EM

Rechenzentrum WAN Access

Controller

Infrastruktur

Network Aware

Applications

Endgeräte

SECURITY COLLABORATION ORCHESTRATION SERVICES IoE

25