시스코 엔터프라이즈 혁신! DNA & SDN의 APIC-EM 개 · PDF file시스코 월간세미나 시스코 엔터프라이즈 혁신! dna & sdn의 주춧돌 apic-em 개 이창주
시스코 SDA로완성하는...
Transcript of 시스코 SDA로완성하는...
박상우부장 ([email protected])
Systems Engineer, Commercial SE team
시스코 SDA로완성하는차세대캠퍼스네트워크
김찬우차장 ([email protected])
Systems Engineer, Architecture SE team
SDA 탄생배경
End-to-End
Security 필요사용자단말,
IOT 기기분리새로운 Business 의
빠른적용
Seamless
Mobility
WAN
VLAN 2
HQ
ACL 1 ACL 2
ACL 2VLAN 1
Remote
Branch ABranch AACL 3
VLAN 3VLAN 1
VLAN 2 VLAN 3
과거방식의 IT Network 구성및운영으로더이상…
사용자단말,
IOT 기기분리
시스코의새로워진 DNA (Digital Network Architecture)
Intent-based Network Infrastructure
DNA Center
AnalyticsPolicy Automation
I N T E N T (의도 ) C O N T E X T (상황 )
S E C U R I T Y (보안 )
L E A R N I N G (학습 )
DC BranchCampus
POLICYPOLICYPOLICYPOLICY
Segmentation 및보안정책
리스크를줄이고컴플라이언스를준수
지능형네트워크패브릭
사용자경험증대
손쉽고자동화된Workflow
운영의효율성증대
POLICY
SDA Framework 소개
Automation Engine
Assurance Engine
DNA Center
Policy Design
Provision Assurance
Router Wireless LAN
Controller
Access
Point
Switch
Identity Services Engine
Intelligent
Network Fabric
Network Fabric 이란?
DNA Center
(GUI기반컨트롤러)
Overlay 네트워크
Encapsulation
Underlay 네트워크
호스트
IntentUnderlay vs. Overlay 네트워크
지능형네트워크패브릭
SD-Access 이전
IP 관리 Tool 이용
IP 기반정책 (ACL)
Static IP 사용
자리/부서이동에따른 IP
재설정작업
IP = Overload
(Identity, Location, Policy)
10.10.10.10 20.20.20.20
지능형네트워크패브릭
SD-Access 이후
IP 주소에대한의존도제거
사용자 Identity에기반한정책적용
접속위치에상관없이동일한정책적용으로캠퍼스내에완벽한모빌리티적용
IP = Connectivity
DNA Center
Allan
지능형네트워크패브릭
모든트래픽이무선컨트롤러를통해처리
무선 AP와무선컨트롤러간터널링을통한 Overlay 기반
모빌리티제공
향후증가하는무선트래픽처리에부적합한아키텍쳐
Internet
/WAN
10.10.10.10
SD-Access 이전
지능형네트워크패브릭
Internet
/WAN
10.10.10.10
로밍사용자별터널링,
소프트웨어기반방식으로성능이슈 (High CPU 등)
무선 AP간터널링방식을통한캠퍼스내모빌리티제공
대규모캠퍼스환경에서비효율적인아키텍쳐
비효율적인트래픽플로우
SD-Access 이전
지능형네트워크패브릭
지능형네트워크패브릭에서로밍에대한처리
네트워크패브릭에서하드웨어기반터널링제공
효율적인트래픽처리구조제공
향후확장성고려한최적의무선아키텍쳐
Internet
/WAN
Allan
DNA Center
SD-Access 이후
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
Segmentation 및보안정책
Topology에의존적 (유연성,
확장성부족)
IP 기반정책 (ACL)
VLAN 기반의 Segmentation
복잡한운영및관리
Enterprise
Backbone
Voice
VLAN
Voice
Data
VLAN
BYOD
BYOD
VLAN
임직원
Voice-2
VLAN
Voice
Data-2
VLAN
BYOD
BYOD-2
VLAN
임직원
VACL
SD-Access 이전
Segmentation 및보안정책
계층적 Segmentation 제공- VN (Virtual Netowrk)
- SG (Scalable Group)
IOT VN(Virtual Network)
Campus User VN(Virtual Network)
임직원
협력사
App servers
Shared services
SD-Access 이후
Segmentation 및보안정책
SD-Access 이후
계층적 Segmentation 제공VN (Virtual Network) 및 SG
(Scalable Group)
Network Fabric 기반으로Topology와상관없이
어디서나동일한정책적용
Identity 기반보안정책적용
Intelligent
Network Fabic
ISE
손쉽고자동화된 Workflow
인증서버CLI 기반설정
다수 Device에동일한작업
복잡한컨피그관리및운영
Error 발생에취약한구조
비효율적인소프트웨어관리
DHCP
AD
SD-Access 이전
손쉽고자동화된 Workflow
DNA Center를통하여Design, Policy, Provision
단계별손쉽게적용가능
유무선네트워크성능관리및손쉬운문제해결
외부시스템과의연동을통한IP, 인증관리
하드웨어/소프트웨어라이프사이클관리
WirelessRouters Switches
DNA Center ISE
DHCP
SD-Access 이후
End-End Security
셋업필요* Source: Internal TCO Analysis with Large Enterprise Customer (actual results may vary)
** Capex Reduction based on converging NOT Networks
Benefits of
THE NETWORK.INTUITIVE.
67%Network 프로비저닝
시간절약
80%문제해결
시간향상
48%보안침해영향감소
61%운영비용감소
SDA 지원장비
ASR-1000-X
ASR-1000-HX
ISR 4430
ISR 4450
WIRELESSROUTINGSWITCHING
AIR-CT5520
AIR-CT8540
Wave 2 APs (1800, 2800,3800)
Wave 1 APs* (1700, 2700,3700)
Catalyst 9400
Catalyst 9300
Catalyst 9500
Catalyst 4500E Catalyst 6K Nexus 7700
Catalyst 3850 and 3650
AIR-CT3504
CSR 1000V
*with Caveats