Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование

Архитектура корпоративной сети Cisco,
варианты внедрения и позиционирование
Илья Озарнов
Системный инженер
26.11.14 © 2014 Cisco and/or its affiliates. All rights reserved.

Программа
2
Задачи презентации
Обзор ключевых сервисов
Модели дизайна
• Традиционный доступ
§ Многоуровневый
§ Маршрутизируемый
§ VSS
• Converged Access
• Instant Access
Заключение
Si Si
Si Si
Si
Data Center
Si Si
Services
Block
Si Si Si

По результатам этой презентации слушатели должны:
Понять характеристики различных моделей дизайна корпоративных сетей
§ Unified Access
Ø Традиционный доступ
Ø Converged Access
Ø Instant Access
Понять какие платформы являются ведущими для различных моделей дизайна
§ Позиционирование продуктов
Принимать решения о выборе модели дизайна и продуктов в соответствии с
требованиями проекта
§ Понимание текущих требований и преимуществ, которые может обеспечить та или
иная модель дизайна
§ Понимание ключевых критериев для выбора модели дизайна корпоративной сети

Модели дизайна корпоративной сети
Традиционный доступ, конвергированный доступ и Instant Access
Унифицированный доступ
Единое
управление Cisco ISE Единая
Cisco Prime
Infrastructure
Централизованная беспроводная сеть
Si Si
Традиционный
Доступ
Распределенная проводная сеть
Instant Access
Централизованная проводная сеть
VSS
политика
Распределённая беспроводная сеть
Si Si
Конвергированный доступ
Распределенная проводная сеть
VSS
MA# MA# MA#
MA# MA# MA#
MA# MA# MA#
MA# MA# MA#
MA# MA# MA#
MA# MA# MA#

Unified Access
Что это на самом деле означает?
Ведущие платформы
Cisco
Catalyst
6800/VSS
Wireless
точки
доступа
Cisco Catalyst 4500E,
Cisco Catalyst 3850/3650
WISM2/
WLC
WLC
Identity
Services Engine
Cisco Prime
Infrastructure
КЛЮЧЕВЫЕ
СЕРВИСЫ
ВНЕДРЕНИЙ
UNIFIED
ACCESS
Secure Group Access для упрощения сети и использования
виртуализации
Application-Aware Networking для сервисов Collaboration, Video и
других приложений
Высокая надёжность сети с использованием Virtual Switching и
Stateful SwitchOver
Снижение операционных расходов и оптимизация обеспечения
работы сервисов
Совместимость операционных систем: IOS XE 3.x
Cisco Validated Design 2.5 для внедрений корпоративных сетей

Программа
6
§ VSS
• Instant Access
Si Si
Si Si
Si
Data Center
Si Si
Services
Block
Deployment Models
Si Si Si

Безопасность корпоративной сети
Всесторонняя безопасность End-to-End
Сегментация
Сегментация независимо от
топологии с Secure Group Access
(SGA)
Layer 3 сегментация с VRF-Lite/
Easy Virtual Networks (EVN)/MPLS
VPN
Layer 2 и Layer 3 сегментация с
использованием
сервисных модулей
Контроль со знанием
контекстов
What
Where
When
Who How
IDENTITY
Контроль доступа на базе ролей с
Security Group Tagging (SGT)
Идентификация, профилирование
устройств с Device Sensor
Гостевой доступ с dACL,
назначением VLAN
Аутентификация 802.1X
Защита сетевой
инфраструктуры
Шифрование MACsec
Network Device Authentication
(NDAC)
IPv6 First-Hop Security
Control Plane Policing (CoPP)
Cisco Catalyst Integrated
Security Toolkit (CIST)

Application Visibility and Control (AVC)
Внедрения BYOD и угрозы для ваших приложений
Проблемы
IT
• Готова ли сеть для внедрения видео?
• Как обеспечить качественную работу бизнес-приложений?
• Как обеспечить эффективный мониторинг и поиск неисправностей?
Анализ и сбор
Идентификация и
контроль приложений
• Media Services Proxy
(MSP)
• Metadata
• Flexible NetFlow
• Device sensor
• Secure group tagging
• Quality of Service (QoS)
• AVC in Wireless Controller
High Availability à L2/L3
информации
• Enhanced Object
Tracking
• IP SLA
• Built-in Traffic
Simulator
• Cisco CleanAir
Мониторинг и устранение
неисправностей
• Performance Monitor
• Mediatrace
• Flexible NetFlow
• Wireshark / Mini-
Protocol Analyzer
• Device sensor
Multicast: HA, Call Admission Control (CAC), Multipath, Video Stream

Гибкость инфраструктуры – доступ
Cisco StackWise+
Масштабируемость Упрощение управления Гибкость
• Расширение сетевого доступа в
рамках одного логического
устройства
• Высокопроизводительное
двунаправленное кольцо в стеке
• Одна логическая единица для
управления 9 коммутаторами, 450
портами
• Архитектура с централизованным
контролем и управлением
• Уменьшение кол-ва VLAN’ов/
подсетей
• 9-ти кратное упрощение
эксплуатации
• Гибкая и распределенная
архитектура коммутации
• Единая сеть
• Эксплуатация сети без
прерывания сервисов коммутации
Si VSL Si

Гибкость инфраструктуры - доступ
Cisco StackPower обеспечивает резервирование питания
• Все источники питания в стеке формируют
общий бюджет по питанию независимо от
мощности, типа AC/DC и местоположения
• Режим резервирования обеспечивает 1+n
защиту от отказа наиболее мощного ИП в
стеке, выделяя его мощность в
специальный резервный бюджет
• Оставшийся бюджет распределяется между
потребителями питания: коммутаторами и
PoE-устройствами
• В случае отказа линии питания, выхода из
строя или замены ИП, недостаток мощности
компенсируется из резервного бюджета,
обеспечивая непрерывность бизнес-
процессов и коммуникаций
Общий
бюджет
2865 Вт
Выделение
бюджета
питания
Резерв
1100 Вт
350 Вт
715W
350 Вт
1100 Вт
350 Вт
Отказ
ИП
Отказ
ИП
Более детальная информация: Calculating Power for Cisco StackPower

Гибкость инфраструктуры – ядро/распределение
Virtual Switching System (VSS)
VSS-дизайн
• Упрощенная эксплуатация
системы
• Единое логическое сетевое
устройство
• Упрощенная и
отказоустойчивая сетевая
топология
VSS-дизайн
Оптимизация
• Оптимизированный сетевой
дизайн
• Удвоение пропускной
способности коммутации
• Оптимизированная
производительность
приложений и сети
Традиционный дизайн
сети
• Комплексный сетевой дизайн
и эксплуатация
• Неполное использование
сетевых ресурсов
• Неоптимальная
производительность
приложений и сети
Упрощение
эксплуатации

Гибкость инфраструктуры – обновление ПО
ISSU обеспечивает сетевую доступность 99,999%
Распределение / ядро
VSL
• eFSU обеспечивает апгрейд ПО для двух шасси
в режиме реального времени
• Защита сетевых сервисов и доступность с
резервированием маршрутов на уровне доступа
• Влияние на сеть ~1 сек для всего процесса
апгрейда
Доступ
• Dual-Supervisor требует совместимости версий
ПО
• ISSU обеспечивает апгрейд ПО в рамках одного
шасси в режиме реального времени
• Защита сетевых сервисов и ресурсов,
доступность для проводных и беспроводных
оконечных устройств
eFSU
ISSU
4500E 6500E

Cisco Smart Operations
Упростите свою инфраструктуру
Director
Access Switches
Smart Install
Внедрения и эксплуатация Zero-
Подключен новый коммутатор
• Software image загружен;
конфигурация автоматически
применена
• Zero Touch внедрения, апгрейды
и замены
Touch
Auto Smartports
Plug and Play для конечных
устройств
Подключено новое устройство
• Настройки порта: Applied
• Политики QoS: Enforced
• Политики безопасности: Enforced
Упрощение задач управления
Embedded Event Manager
Автоматическая реакция на события
Кастомизация поведения IOS
• Изменение поведения IOS
• Автоматическое решение
сетевых проблем
• Автоматизация реакции на
происходящие события

Программа
14
§ VSS
• Instant Access
Si Si
Si Si
Si
Data Center
Si Si
Services
Block
Deployment Models
Si Si Si

Традиционный доступ – Многоуровневый дизайн
MULTILAYER CAMPUS DESIGN
Wireless LAN
Controller
Cisco Prime/LMS
CAPWAP
Tunnel
Особенности
Сетевой дизайн с высокой
надёжностью
Необходим тюнинг протоколов
L2/L3
Необходимо соответствие
поддерживаемых протоколов
Гибкость внедрения
Хорошо известный и понятный
дизайн
Backbone
Core
Distribution
Access
CPE
ISE

Характеристики многоуровневой модели дизайна
Преимущества
Хорошо понятный и хорошо задокументированный
типовой дизайн с многолетней историей успешных
внедрений
Использует индустриальные стандарты протоколов,
таких как Rapid Spanning Tree Protocol и т.д.
Отличительные особенности и возможности на базе
решений Cisco (PVST+), обеспечивающие быструю
сетевую конвергенцию в пределах 1 секунды
Возможность использования оборудования
различных производителей
Гибкий выбор широкого спектра оборудования
различной стоимости
Недостатки
Требуется трудоёмкая конфигурация и тюнинг для
достижения быстрой сетевой конвергенции в
пределах 1 секунды
Появляется дополнительная сложность в
эксплуатации при добавлении VLAN или VRF
сегментации
Все коммутаторы управляются индивидуально
Комплексные задачи – требуется настройка и
тюнинг Spanning Tree, маршрутизации,
отказоустойчивость шлюза по умолчанию
Поиск и устранение неисправностей Spanning
Tree

Традиционный доступ – Virtual Switching System
VSS CAMPUS DESIGN
Wireless LAN
Controller
Cisco Prime/LMS
Упрощение тюнинга протоколов
Более эффективное
использование ресурсов
Более высокая гибкость с
использованием Quad Sup VSS
Backbone
Core
Distribution
Access
CPE
Уменьшение кол-ва Routing Peers
CAPWAP
Tunnel
Некоторые заказчики
предпочитают раздельные control
plane
ISE

Характеристики модели дизайна с VSS
Упрощённый сетевой дизайн с объединением двух
физических устройств в одну логическую единицу
Нет необходимости в First Hop Redundancy Protocol
Etherchannel-трафик распределяется и балансируется
между несколькими аплинками
Обеспечивает возможность расширения L2-домена с
распределением VLAN’ов на нескольких коммутаторах
доступа без блокированных каналов STP
Поддерживает сетевую конвергенцию в пределах 1
секунды
Возможность использования оборудования различных
производителей на доступе
Коммутаторы распределения управляются как одна
логическая единица
Решение разработано Cisco, требуются
коммутаторы Cisco на уровнях ядра/
распределения
Коммутаторы доступа управляются
индивидуально
Использование единой control plane нежелательно
для некоторых заказчиков
Нет отличительных особенностей и возможностей
на базе решений Cisco, обеспечивающих быструю
сетевую конвергенцию в пределах 1 секунды

Традиционный доступ –
дизайн на основе маршрутизируемого доступа
МНОГОУРОВНЕВЫЙ ДИЗАЙН КАМПУСА
WLC
Cisco Prime/LMS
CAPWAP
туннель
Уровень ядра
Уровень
Уровень
доступа
Оконечные
Единая Control Plane
Упрощенное восстановление сети
Использование дополнительных
IP-адресов
VLAN’s распространяются до WLC
Широкий выбор средств
диагностики
ISE

Характеристики модели внедрения
маршрутизируемого доступа
Единая control plane = уменьшение сложности
Меньше необходимость в тюнинге протоколов для
ускорения сходимости (зависит от протокола)
Развитый набор средств диагностики
Использование настроек ECMP по-умолчанию для
эффективного использования доступных соединений и
быстрой сходимости
Нет необходимости в протоколах FHRP (HSRP/VRRP)
Нет необходимости в транках
Возможность повторного использования VLAN ID
Упрощение мультикаст-топологии
Необходимость в дополнительных IP-адресах
(усложнение схемы IP-адресации)
VLAN’ы ограничены в рамках одного коммутатора
– нет возможности распространить VLAN’ы между
разными коммутаторами и расширить L2-домен
Может потребоваться тонкая настройка ECMP /
CEF hash для наиболее эффективного
использования связей в топологии (на старом
оборудовании)
Нет возможности сделать RSPAN (рекомендуется
ER-SPAN)

Основные платформы для традиционного доступа
Фиксированные Модульные
Магистрали
Доступ
Catalyst 6500-E
Catalyst 6807-XL
Catalyst 4500-E Sup8E
6880-X
3850
3650
2960

Кампусная сеть с 3 или 3+ уровнями
Супер ядро
SITE A SUPER CORE SITE B / DC
SITE A SHARED CORE SITE B / DC
3
2
1
4
3
2
1
L2
L3
L3
L3
L2
L2
L3
L3
L3
L3
L3
L2
© 2014-2015 Cisco Systems Inc. and/or its affiliates. All rights reserved. Cisco Confidential 23

Позиционирование для уровня ядра
Кампусная сеть с 3+ уровнями
Требования к оборудованию ядра кампусной сети
ü Сетевые сервисы ü Масштабируемость
10/40/100G ü Простота управления ü Высокая доступность
ü Безопасность ü Сегментирование ü Application Visibility and Control ü Защита инвестиций
Критерии выбора
Catalyst 6800/6500-E с IOS Nexus 7000/7700 с NX-OS
1GE, средняя плотность 10GE
Одна ОС для всего кампуса
Защита инвестиций в C6500
Расширенные сервисы для кампусной сети
Выбор вариантов сегментации
(MPLS/VPLS, EVN, LISP, mGRE, SGT)
Высокая плотность 10GE/40GE, 100GE
Общая платформа с ядром ЦОД
Выбор вариантов сегментации
(MPLS/VPLS, LISP, OTV, VDC, VXLAN, SGT)

Пример CVD для Nexus в ядре кампусной сети
LAN and Data Center
Consolidated Core Using
Cisco Nexus 7000
Deployment Guide
http://www.cisco.com/c/dam/en/us/td/docs/
solutions/SBA/February2013/
Cisco_SBA_BN_LANandDataCenterConsolida
tedCoreUsingCiscoNexus7000DeploymentGui
de-Feb2013.pdf

Программа
26
§ VSS
• Instant Access
Si Si
Si Si
Si
Data Center
Si Si
Services
Block
Deployment Models
Si Si Si

Конвергированный доступ
MC/MA
WiSM2,5508,8510*,3850,
3650*, 5760
Cisco Prime
ISE
MA
Многоуровневая модель, VSS, или маршрутизируемый доступ
Единая модель QoS для
проводных/беспроводных
подключений
Прозрачность беспроводного
трафика
Единые сервисы для проводных/
беспроводных подключений
Отсутствие необходимости в
выделенном контроллере для
решений с менее 250 ТД
Полная поддержка 802.11ac
CAPWAP
Tunnel Поддержка многоуровневой
модели или маршрутизируемого
доступа
Уровень ядра
Уровень
Уровень
доступа
Оконечные

Характеристики конвергированного доступа
Может внедряться в существующую традиционную
архитектуру для упрощения миграции
3850/3650/4500E могут терминировать CAPWAP как
Mobility Agent совместно с традиционными
контроллерами 3850, 3650, 5760 в роли Mobility
Controller
Единая модель QoS для проводных/ беспроводных
подключений на 3850/3650/4500E
Поддержка Flexible Netflow для проводных/
беспроводных подключений
Более эффективное использование мультикаста за
счет терминации CAPWAP на коммутаторе доступа
Распределенное управление и диагностика для
беспроводной сети
Неполное соответствие функционала Catalyst
3850/3650 и 3750-x/3560-x на текущий момент
Неполное соответствие функционала AireOS и
IOS XE

Режимы развертывания конвергированного доступа
На примере Catalyst 3850
ВНЕШНИЙ КОНТРОЛЛЕР MOBILITY CONTROLLER
WLC 5760
Catalyst
3750
Catalyst
3850
Mobility
Agent
КРУПНЫЙ КОМПЛЕКС ЗДАНИЙ
ДО 72 000 ТОЧЕК ДОСТУПА
ДО 864 000 КЛИЕНТОВ
КРУПНЕЙШИЕ ДОМЕНЫ L3-РОУМИНГА
Точки
доступа
ISE Prime
Catalyst
3850
Точки
доступа
ВОЗМОЖНОСТИ ИНТЕГРИРОВАННОГО КОНТРОЛЛЕРА
ISE Prime ISE Prime
Catalyst
3850
ДМЗ
Catalyst
3850
ИНТЕГРИРОВАННЫЙ
КОНТРОЛЛЕР
Сотр29у дник Гость
ФИЛИАЛ НЕБОЛЬШОЙ ИЛИ СРЕДНИЙ КОМПЛЕКС
ЗДАНИЙ
ДО 50 ТОЧЕК ДОСТУПА *
ДОСТУПНЫ ВСЕ СЕРВИСЫ ГЛОБАЛЬНОЙ СЕТИ
ДО 250 ТОЧЕК ДОСТУПА
ПРОЗРАЧНОСТЬ, КОНТРОЛЬ, УСТОЙЧИВОСТЬ
Глобальная
сеть
Mobility
Controller
Mobility
Controller
Туннель CAPWAP Стандартное подключение Ethernet, без туннелей Гостевой туннель от коммутатора к контроллеру ДМЗ

Основные платформы для конвергированного доступа
Доступ
Catalyst 6500-E
Catalyst 6807-XL
Catalyst 4500-E Sup8E
6880-X
3850
3650

Программа
31
§ VSS
• Instant Access
Si Si
Si Si
Si
Data Center
Si Si
Services
Block
Deployment Models
Si Si Si

Технология Instant Access
Блок сети кампуса на 1000 портов
Поддержка технологий Stacking, POE+ на
уровне доступа
Единая точка управления, настройки
и поиска неисправностей
Упрощенный дизайн для VLAN и
агрегированных каналов
Гибкая инфраструктура позволяет
добавлять новый функционал
единообразно для всего уровня доступа
Единый образ IOS внедрения и
управления для всего блока
УМЕНЬШЕНИЕ TCO
Cisco Prime
Количество управляемых
устройств > 20
ISE

Масштабирование Instant Access
6880-X
Функциональность 15.1(2)SY 15.2(1)SY (Декабрь 2014)
Количество портов
Fabric Link
Устройств в стеке
Supervisor 2T
15.1(2 Функциональность )SY 15.2(1)SY (Декабрь 2014) 15.2(1)SY1
Количество портов
Fabric Link
Устройств в стеке
1,000
12
3
2,000
42
5
1,000
12
3
1,200
25
5
1,500
32
5

Характеристики технологии Instant Access
Единая точка управления, конфигурации и диагностики
для блока распределения
Упрощение дизайна блока распределения упраздняет
необходимость конфигурирования аплинков
Простое управление ПО на коммутаторах
Надежность и функционал Catalyst 6500/6800 на
Может совместно использоваться с традиционным или
конвергированным доступом
Решение для заказчиков с поддержкой MPLS и других
расширенных функций на уровне доступа
Текущее ограничение для блока распределения -
1000 портов *
Большое количество east-west трафика может
увеличить загрузку аплинков (переподписка)
Поддержка только в VSS конфигурациях
( поддерживается один коммутатор в режиме VSS )
Различия в функционале уровня доступа между
Cat6k и традиционными Cat2k/3k/4k
Нет возможности терминировать CAPWAP-туннели
на портах клиентских коммутаторов Instant Access

Catalyst Instant Access
Ключевые компоненты
Catalyst 6500E Sup 2T 6904 FourX
Catalyst 6807-XL Sup 2T 6904 FourX Catalyst 6848ia
Catalyst 6880-X

Основные платформы для Instant Access
6880-X Catalyst 6807-XL
Catalyst 6800ia
Catalyst 6500-E
отсутствуют
Доступ
C3560-CX
(15.2(1)SY)

Программа
37
§ VSS
• Instant Access
Si Si
Si Si
Si
Data Center
Si Si
Services
Block
Deployment Models
Si Si Si

Fabric Links
6848ia
INSTANT ACCESS
L2/L3 Links
2960-X
3650
3850
4500 (Sup8E)
ТРАДИЦИОННЫЙ ДОСТУП
L2/L3
Links
3850
3650
4500 (Sup8E)
MA#
MA#
КОНВЕРГИРОВАННЫЙ ДОСТУП
WiSM2/5508
Wireless
Wired
Централизованный
Распределенный
Cisco Prime ISE
CAPWAP
Tunnel
5760

Конвергированный доступ – основы позиционирования
Защита инвестиций на существующем оборудовании
q Используйте конвергированный доступ
q Заказчики, которые планируют обновление проводной + беспроводной сети
q защита инвестиций за счет поддержки различных сервисов, доступных в будущем с
ведущими коммутаторами в отрасли - Catalyst 3850, 3650 и 4K с супервизором
Sup8E (Advanced QoS, AVC, UPOE)
q линейный апгрейд (3560 -> 3650, 3750 -> 3850, Sup7E -> Sup8E)
q внедрение беспроводной сети
q обеспечение прозрачности трафика, расширенный QoS, максимальная надежность
и масштабируемость для проводного/беспроводного доступа
q Используйте решения на AireOS или другие модели внедрения
q Внедрения для больших кампусов
q Необходимость развертывания ТД в режимах Flexconnect, Indoor, Outdoor Mesh или Office Extend AP (запланировано)
q Требуется определенный функционал AireOS, не поддерживаемый IOS-XE

Instant Access – основы позиционирования
6800/6500 функциональная стабильность и операционная эффективность на
q Заказчики, которые
q желают расширить на уровень доступа функционал и эксплуатационную надежность Catalyst
6500/6800
q заинтересованы в специфическом функционале Catalyst 6500/6800, как, например, MPLS,
расширенное сегментирование и т.п.
q имеют блоки распределения до 1000 пользовательских портов и наложенную беспроводную
сеть
q желают максимально централизовать управление сетью кампуса и/или имеют ограничения в
количестве персонала
q желают упростить процедуры управления ПО на коммутаторах
q Используйте другие модели внедрения
q существует заинтересованность заказчика в конвергированном доступе
q существует заинтересованность в сервисах, которые предоставляют интеллектуальные коммутаторы 3850/3650/sup8E
на уровне доступа
q при росте потребности в сервисах mobility и application services
q системы с более чем 1000 (2000*) портов доступа в блоке распределения
q обязательна локальная коммутация

Традиционный доступ – основы позиционирования
q ЛУЧШИЕ коммутаторы на рынке (вам не надо менять дизайн сети)
q предлагаем актуальные решения и технологии коммутации (Cat4500/Sup8E,
3850, 3650, 2960-X/XR)
q Заказчики, которые
q отдают предпочтение наиболее известной модели построения проводного доступа
q хотят использовать гибкую модель беспроводного доступа (централизованную или
распределенную)
q хотят использовать лучшие коммутаторы уровня доступа Cat 3850, 3650 & Sup8E
(Advanced QoS, App Visibility, UPOE)
q планируют линейный апгрейд (3560 -> 3650, 3750 -> 3850, Sup7E -> Sup8E)
q имеют инфраструктуры на мультивендорных решениях проводного/беспроводного
доступа
q Используйте другие модели внедрения
q заказчик планирует внедрение на базе конвергированного доступа
q заказчик заинтересован в функционале Catalyst 6500/6800 и упрощении дизайна
сетевой архитектуры

Три вещи, которые вы ДОЛЖНЫ знать при
проектировании
Приоритеты Модель внедрения Платформы доступа

Ждем ваших сообщений с хештегом
#CiscoConnectRu
Спасибо за внимание!
Пожалуйста, используйте код для
оценки доклада
1312
Ваше мнение очень важно для нас
CiscoRu Cisco CiscoRussia
26.11.14 © 2014 Cisco and/or its affiliates. All rights reserved.

Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование

More Related Content

Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование