软件定义广域网 智能广域网及网络功能 虚拟化€¦ · Open North-Bound API for...
Transcript of 软件定义广域网 智能广域网及网络功能 虚拟化€¦ · Open North-Bound API for...
-
软件定义广域网-智能广域网及网络功能虚拟化
康团社
思科高级技术顾问
-
Agenda
什么是SDWAN,为什么需要SDWAN
SDWAN解决方案及案例介绍
总结
-
Source: Gartner: How to Cost-Justify WAN Optimization
企业分支机构
远程专家
访客 Wi-Fi
云服务/SaaS
瘦客户端 应用
移动终端
高清视频/ 多媒体培训
物联网IoT
电子看板
全渠道体验
80%
30%
20-50%
用户更多
应用更多
风险增加
的员工和客户在分支机构
企业网络带宽每年增量(到2018年)
的高风险威胁针对企业分支,到2018年 (2013年为5%) **
73% 设备更多 移动终端数量增加,2014-2018年
-
减低风险 – 保障应用和基础架构安全
降低成本 – 整合分支结构IT平台
快速扩展 – 简化管理和部署
为万物互联和数字化做准备– 灵活、智能的IT架构
提升生产力、加强合作 – 更好的应用体验
-
充分发挥投资价值 Optimize Costs : Capex + Opex
灵活使用多种传输资源 Transport Independence
多活路径Multiple Active Paths : Pooling of resources
开放式网络组件 Open Networking Components
http://opennetworkingusergroup.com/software-defined-wide-area-network-sd-wan/
-
灵活的硬件平台 Any Hardware 1
Zero Touch部署 Zero Touch Deployment 2
安全的混合WAN Secure Hybrid WAN
3
双活架构 Active-Active Architecture
4
高可用/弹性广域网 HA and Resilient WAN
5
L2/L3 互操作 Layer 2 and 3 Interoperability
6
应用可视化、分级分类、可控 Visibility, Prioritization and Steering Applications
7
图形化管理 Management Dashboard 8
开放的北向接口,为控制器服务 Open North-Bound API for Controller
9
安全认证(FIPS 140-2) Validation Certification(FIPS 140-2)
10
Branch
Internet
MPLS
Private Cloud
Public Cloud
Hybrid Cloud
MPLS
Internet
-
利用混合WAN,降低广域网成本
加强应用性能和可靠性
安全 应用可视化和关键业务保障
灵活利用多种传输链路 降低链路成本
DIA(Direct Internet Access)
动态路径优选 高带宽
智能路径控制 应用服务体验(QoE)
可扩展的安全 资源保护 降低风险 数据加密
可视化 加速 优先级
基于软件部署的应用优化、自动化和安全保障 发挥最大广域网价值
-
© 2013 思科和/或其附属公司。版权所有。 思科机密信息 10
双 MPLS 混合 双互联网
互联网
最高 SLA 保证 – 与 SP 紧密耦合 ẋ 价格昂贵
公共网络
MPLS
一致的 VPN 覆盖,确保过渡安全
关键应用的带宽更宽 平衡的 SLA 保证 – 价格适中
最优惠的价格/最佳的性能 SP 灵活性最大 – 企业负责 SLA
互联网
公共网络 企业网络
分支机构 分支机构 分支机构
MPLS MPLS+
互联网
-
© 2013 思科和/或其附属公司。版权所有。 思科机密信息 11
解决冗余和路径多样性问题
ISR G2
MPLS
ISR G2
MPLS MPLS 互联网
ISR G2
MPLS
单路由器, 单路径
单路由器, 双路径
双路由器, 双路径
互联网 互联网
ISR G2
ISR G2
互联网
ISR G2
MPLS 互联网
ISR G2 ISR G2
互联网 互联网
ISR G2
99.95%* 99.90%*
99.995% 99.995% 99.995%
99.999% 99.999%
每年 故障停机时间
4-9 小时
每年 故障停机时间
8 小时 46 分钟
5 分钟
26 分钟
SDWAN 解决方案
ISR G2
MPLS MPLS
ISR G2
99.999%
* 每年典型的 MPLS 和企业级宽带可用性 SLA 及故障停机时间,用思科高级服务部 DAAP 工具计算。
-
© 2013 思科和/或其附属公司。版权所有。 思科机密信息 12
安全的广域网传输和互联网接入
混合广域网传输 IPSec 安全
分支机构
MPLS (IP-VPN)
互联网
直接互联网 接入
私有云
虚拟 私有云
公共云
• 用于私有和虚拟私有云接入的安全广域网传输
• 利用本地互联网路径接入公共云和互联网
• 广域网传输能力增加;成本效益提高!
• 提高应用性能(正确流向,各司其职)
简化广域网设计 动态全网状连接 久经验证的强大安全性
安全 灵活
• 通过任何运营商服务服务轻松实现多宿主
• 单一路由控制平面,最小化提供商 Peer 对接
• 一致的设计覆盖所有传输方式
• 自动站点间 IPsec 隧道建立
• 用于新分支的零接触控制中心 配置
• 经过认证的加密和防火墙以确保合规性
• 可扩展设计,硬件具有高性能加密
与传输方式无关
-
© 2013 思科和/或其附属公司。版权所有。 思科机密信息 13
内置1,300多种应用识别特征库
0
200
400
600
800
1000
1200
1400
传统NBAR 新一代NBAR
识别应用数目
-
© 2013 思科和/或其附属公司。版权所有。 思科机密信息 14
语音和视频、关键应用使用案例
分支机构
MPLS
互联网 虚拟
私有云
私有云
• 根据应用性能策略监控网络性能和路由应用(PfR)
• 根据链路利用水平均衡流量负载以有效利用所有可用广域网带宽(PfR)
对其他流量执行负载均衡以使带宽最大化
如果现有路径的等级降至策略阈值之下,则系统会重新路由语音/视频
语音/视频选择最佳延迟、抖动和/或丢失路径
-
© 2013 思科和/或其附属公司。版权所有。 思科机密信息 15
解决方案
• 减少负载
热点数据就近缓存、消除数据冗余 (DRE)、压缩和 TCP 优化
• 应用优化
较少的协议消息和元数据缓存
问题
• 应用延迟
• 广域网带宽效率低下
使用思科广域网优化的应用带宽
原应用带宽
原应用延迟
使用思科广域网优化的应用延迟 0 0
1
2
3
4
400
80
120
160
应用带宽 应用延迟
带宽 (Mbps)
延迟 (秒)
带宽减少
延迟减少
增强用户体验,提高广域网效率
-
广泛且有效的 安全策略和监控
维持一个高等级的 安全和性能
实时侦测和防护
安全的连线
可视化和分析力
企业分支威胁防御
思科 优势
Cisco® APIC-EM
Cisco Prime™ Infrastructure Stealthwatch® Learning Network License
VPN
IWAN
Site to Site IPsec
NaaS/NaaE
防御恶意软体、入侵、 拒绝服务等攻击和威胁
符合 PCI DSS 等法规要求
允许安全的远端接入、站点间加密, 与 SSL VPN 技术
保护资料免于窃听 非法取得和窜改
直接连接 Internet (DIA)
Cisco IOS® Zone-Based Firewall
Snort® IPS
Umbrella Branch
Cloud Web Security (CWS)
Cisco Firepower® Threat Defense
-
Base Automation, Monitoring & Troubleshooting Plug and Play | EasyQoS | Path Analysis
DNA Center
SDWAN
Campus Fabric
Assurance
Identity & Access Policy
ISE
Automation
APIC-EM
Analytics
Network Data Platform (Tesseract)
-
管理和运营调度平台
Transport Independence
Application Optimization
Highly Secure
Connectivity
Intelligent Path Control
广域网平台支持
ASR 1000
UCS® E-Series
800 and 4000 Series ISR
Physical
IWAN App ESA Easy QoS
APIC-EM/Cisco Prime™
Cisco® SDN Applications
PnP
WAN
智能广域网Intelligent WAN
Virtual
vWAAS ISRv vWLC ASAv
Cloud
ASAv CSR 1000V
Amazon Web Services
Microsoft Azure
-
自劢化部署
应用识别分类 应用策略部署 最佳路径选择 部署状态显示
-
智能 & 分析 对 1300+ 种应用进行自动检测和分类
应用类型
Consumer Apps
Voice and Video
File Sharing
Business and Productivity Tools
Social Networking
Software Updates
Instant Messaging
Database
Gaming
Browsing
Email
72
48
36
31
28
24
19
17
12
9
8
任何用户、终端、有线、无线
协助故障定位排查
无需额外硬件
Browsing
Consumer_apps
Unknown
Net-admin
File-sharing
Voice-and-video
Other
“思科AVC功能,在应用性能下降的时候,可以很容易帮助我们知道是客户端的网络问题,还是服务器侧的网络导致的。”
“IT 人员通过广域网,可以对企业应用、用户、终端有360度全方位的了解。”
在线服务业某客户
教育行业某客户
-
Route app path based on policies 3
Use Internet as your 2nd WAN 2
Set app rankings and policies 1
Business Relevant – High Priority
Business Irrelevant – Low Priority
Default – Medium Priority
Active-Standby Active-Active
充分利用可用带宽
提升应用性能 降低成本
“通过PfR,我可以让我的关键数据和语音流量通过MPLS链路,因为我和MPLS链路供应商有SLA,以免链路终端或者质量弱化造成业务质量下降。同时,我把低优先级的流量(比如浏览类)通过DMVPN。”
金融行业某客户
-
移动应用
访客WiFi
视频会议
数字签名
商品目录
点播,培训
推动业务发展
Reduced
Bandwidth
0 0
1
2
3
4
40
80
120
160
App Bandwidth App Latency
Bandwidth
(Mbps)
Latency
(ms)
Reduced
Latency
Bandwidth with IWAN
Bandwidth natively
App latency natively
App latency with IWAN
零售业(路易斯威登)
80% 缩短应用响应时间 3x
增加客户滞留时间
应用加速 传输无关
热点流量、视频等本地存储,
快速响应
优化广域网带宽,获得更佳
ROI
-
保护广域网流量
安全连接
合规
安全的就近访问Internet
全面的威胁防御
集成式一体化安全平台
安全防护和应用性能完美结合
威胁攻击快速响应
“在设备运行中,整体安全套件为我们提供了很大的灵活性和敏捷性。集成化平台带来的易管理性,让我们无需纠结该部署路由器还是防火墙,或是其它安全组件。”
元器件供应商某客户
-
简化广域网部署管理
提升部署效率 85%
Zero-Touch Rollout
Set Application Policy
Gain Visibility and Tune
Point and Click Troubleshoot
Simple Workflows
“IWAN 自劢化部署工具,消除了路由器高级功能所需的大量复杂配置,我仅需10次图形化界面的鼠标点击,即可完成IWAN的部署。”
服务行业某客户
-
思科ISR4000+UCS-E模块 企业网络计算系统ENCS
网络功能虚拟化基础架构软件(NFVIS)
基于APIC-EM和PI平台的企业网络服务自劢化(ESA)
虚拟路由器 (ISRv)
虚拟防火墙 (ASAv)
虚拟广域网流量加速(vWAAS)
虚拟无线控制器(vWLC)
更多Apps
第三方VNFs
…未来支持
思科企业NFV解决方案,允许网络功能以虚机的方式部署在商用x86平台上,并结合管理平台,提供网络功能的快速自劢化部署
对用户的价值:
• 网络服务快速上线,
数分钟内部署完成,
节省时间
• 灵活的服务类型
• 降低部署和运维成本
• 更多部署平台可选
虚拟化 控制器 应用
-
APIC-EM 加 ESA App
vRouter
vFirewall
vWAN optimization
vWLAN controller
Third-party services
Cisco® ISR, UCS® E-Series
Cisco UCS C-Series
x86 server
选择网络功能 1 选择部署平台 2 流程编排,自劢上线 3
提升IT敏捷性
灵活的平台选择 灵活的服务类型 数分钟内部署完成
虚拟化 控制器 应用
-
思科通过 network functions virtualization (NFV) 技术,为网络服务功能特性,提供了最佳的部署方式 – 无论何时、无论何地、无论服务的能力需求
依据思科最佳实践,
在数分钟内完成上线
“
”
Cisco ONE Foundation
March 2016 Controlled Availability:
General Availability in Cisco ONE June 2016
全部由软件组成
增强分支的灵活性
集中的流程编排及管理 SDN: APIC-EM with Enterprise Service Automation
自由的硬件载体 Hardware: Cisco UCS® E- and C-Series | COTS
智能软件平台 Virtualization Layer: NFV Infrastructure Software
一致, 可信的网络服务 Virtual Network Functions (VNFs): Cisco® and
Third Party
IT供应商某客户
-
控制器
端到端的流程编排 以及策略控制
开放,可编程 | 符合行业标准
开放的APIs | 开发环境
DNA Center 策略 | 流程
虚拟化
ASR1K, ISR4K, ENCS, ISRV, CSR1KV| 自定义App | 数据采集
分析
网络数据, 基于上下文的事件
面向网络的流程编排
基于云 | 软件控制
策略自动化
网络数据分析
物理/虚拟平台
-
Thanks!