软件定义广域网-智能广域网及网络功能虚拟化

康团社

思科高级技术顾问

Agenda

什么是SDWAN，为什么需要SDWAN

SDWAN解决方案及案例介绍

总结

Source: Gartner: How to Cost-Justify WAN Optimization

企业分支机构

远程专家

访客 Wi-Fi

云服务/SaaS

瘦客户端 应用

移动终端

高清视频/ 多媒体培训

物联网IoT

电子看板

全渠道体验

80%

30%

20-50%

用户更多

应用更多

风险增加

的员工和客户在分支机构

企业网络带宽每年增量（到2018年）

的高风险威胁针对企业分支，到2018年 (2013年为5%) **

73% 设备更多 移动终端数量增加，2014－2018年

减低风险 – 保障应用和基础架构安全

降低成本 – 整合分支结构IT平台

快速扩展 – 简化管理和部署

为万物互联和数字化做准备– 灵活、智能的IT架构

提升生产力、加强合作 – 更好的应用体验

充分发挥投资价值 Optimize Costs : Capex + Opex

灵活使用多种传输资源 Transport Independence

多活路径Multiple Active Paths : Pooling of resources

开放式网络组件 Open Networking Components

http://opennetworkingusergroup.com/software-defined-wide-area-network-sd-wan/

灵活的硬件平台 Any Hardware 1

Zero Touch部署 Zero Touch Deployment 2

安全的混合WAN Secure Hybrid WAN

3

双活架构 Active-Active Architecture

4

高可用/弹性广域网 HA and Resilient WAN

5

L2/L3 互操作 Layer 2 and 3 Interoperability

6

应用可视化、分级分类、可控 Visibility, Prioritization and Steering Applications

7

图形化管理 Management Dashboard 8

开放的北向接口，为控制器服务 Open North-Bound API for Controller

9

安全认证(FIPS 140-2) Validation Certification(FIPS 140-2)

10

Branch

Internet

MPLS

Private Cloud

Public Cloud

Hybrid Cloud

MPLS

Internet

利用混合WAN，降低广域网成本

加强应用性能和可靠性

安全 应用可视化和关键业务保障

灵活利用多种传输链路 降低链路成本

DIA（Direct Internet Access）

动态路径优选 高带宽

智能路径控制 应用服务体验（QoE）

可扩展的安全 资源保护 降低风险 数据加密

可视化 加速 优先级

基于软件部署的应用优化、自动化和安全保障 发挥最大广域网价值

© 2013 思科和/或其附属公司。版权所有。 思科机密信息 10

双 MPLS 混合 双互联网

互联网

最高 SLA 保证 – 与 SP 紧密耦合 ẋ 价格昂贵

公共网络

MPLS

一致的 VPN 覆盖，确保过渡安全

关键应用的带宽更宽 平衡的 SLA 保证 – 价格适中

最优惠的价格/最佳的性能 SP 灵活性最大 – 企业负责 SLA

互联网

公共网络 企业网络

分支机构 分支机构 分支机构

MPLS MPLS+

互联网

© 2013 思科和/或其附属公司。版权所有。 思科机密信息 11

解决冗余和路径多样性问题

ISR G2

MPLS

ISR G2

MPLS MPLS 互联网

ISR G2

MPLS

单路由器， 单路径

单路由器， 双路径

双路由器， 双路径

互联网 互联网

ISR G2

ISR G2

互联网

ISR G2

MPLS 互联网

ISR G2 ISR G2

互联网 互联网

ISR G2

99.95%* 99.90%*

99.995% 99.995% 99.995%

99.999% 99.999%

每年 故障停机时间

4-9 小时

每年 故障停机时间

8 小时 46 分钟

5 分钟

26 分钟

SDWAN 解决方案

ISR G2

MPLS MPLS

ISR G2

99.999%

* 每年典型的 MPLS 和企业级宽带可用性 SLA 及故障停机时间，用思科高级服务部 DAAP 工具计算。

© 2013 思科和/或其附属公司。版权所有。 思科机密信息 12

安全的广域网传输和互联网接入

混合广域网传输 IPSec 安全

分支机构

MPLS (IP-VPN)

互联网

直接互联网 接入

私有云

虚拟 私有云

公共云

• 用于私有和虚拟私有云接入的安全广域网传输

• 利用本地互联网路径接入公共云和互联网

• 广域网传输能力增加；成本效益提高！

• 提高应用性能（正确流向，各司其职）

简化广域网设计 动态全网状连接 久经验证的强大安全性

安全 灵活

• 通过任何运营商服务服务轻松实现多宿主

• 单一路由控制平面，最小化提供商 Peer 对接

• 一致的设计覆盖所有传输方式

• 自动站点间 IPsec 隧道建立

• 用于新分支的零接触控制中心 配置

• 经过认证的加密和防火墙以确保合规性

• 可扩展设计，硬件具有高性能加密

与传输方式无关

© 2013 思科和/或其附属公司。版权所有。 思科机密信息 13

内置1,300多种应用识别特征库

0

200

400

600

800

1000

1200

1400

传统NBAR 新一代NBAR

识别应用数目

© 2013 思科和/或其附属公司。版权所有。 思科机密信息 14

语音和视频、关键应用使用案例

分支机构

MPLS

互联网 虚拟

私有云

私有云

• 根据应用性能策略监控网络性能和路由应用（PfR）

• 根据链路利用水平均衡流量负载以有效利用所有可用广域网带宽（PfR）

对其他流量执行负载均衡以使带宽最大化

如果现有路径的等级降至策略阈值之下，则系统会重新路由语音/视频

语音/视频选择最佳延迟、抖动和/或丢失路径

© 2013 思科和/或其附属公司。版权所有。 思科机密信息 15

解决方案

• 减少负载

热点数据就近缓存、消除数据冗余 (DRE)、压缩和 TCP 优化

• 应用优化

较少的协议消息和元数据缓存

问题

• 应用延迟

• 广域网带宽效率低下

使用思科广域网优化的应用带宽

原应用带宽

原应用延迟

使用思科广域网优化的应用延迟 0 0

1

2

3

4

400

80

120

160

应用带宽 应用延迟

带宽 (Mbps)

延迟 （秒）

带宽减少

延迟减少

增强用户体验，提高广域网效率

广泛且有效的 安全策略和监控

维持一个高等级的 安全和性能

实时侦测和防护

安全的连线

可视化和分析力

企业分支威胁防御

思科 优势

Cisco® APIC-EM

Cisco Prime™ Infrastructure Stealthwatch® Learning Network License

VPN

IWAN

Site to Site IPsec

NaaS/NaaE

防御恶意软体、入侵、 拒绝服务等攻击和威胁

符合 PCI DSS 等法规要求

允许安全的远端接入、站点间加密, 与 SSL VPN 技术

保护资料免于窃听 非法取得和窜改

直接连接 Internet (DIA)

Cisco IOS® Zone-Based Firewall

Snort® IPS

Umbrella Branch

Cloud Web Security (CWS)

Cisco Firepower® Threat Defense

Base Automation, Monitoring & Troubleshooting Plug and Play | EasyQoS | Path Analysis

DNA Center

SDWAN

Campus Fabric

Assurance

Identity & Access Policy

ISE

Automation

APIC-EM

Analytics

Network Data Platform (Tesseract)

管理和运营调度平台

Transport Independence

Application Optimization

Highly Secure

Connectivity

Intelligent Path Control

广域网平台支持

ASR 1000

UCS® E-Series

800 and 4000 Series ISR

Physical

IWAN App ESA Easy QoS

APIC-EM/Cisco Prime™

Cisco® SDN Applications

PnP

WAN

智能广域网Intelligent WAN

Virtual

vWAAS ISRv vWLC ASAv

Cloud

ASAv CSR 1000V

Amazon Web Services

Microsoft Azure

自劢化部署

应用识别分类 应用策略部署 最佳路径选择 部署状态显示

智能 & 分析 对 1300+ 种应用进行自动检测和分类

应用类型

Consumer Apps

Voice and Video

File Sharing

Business and Productivity Tools

Social Networking

Software Updates

Instant Messaging

Database

Gaming

Browsing

Email

72

48

36

31

28

24

19

17

12

9

8

任何用户、终端、有线、无线

协助故障定位排查

无需额外硬件

Browsing

Consumer_apps

Unknown

Net-admin

File-sharing

Voice-and-video

Other

“思科AVC功能，在应用性能下降的时候，可以很容易帮助我们知道是客户端的网络问题，还是服务器侧的网络导致的。”

“IT 人员通过广域网，可以对企业应用、用户、终端有360度全方位的了解。”

在线服务业某客户

教育行业某客户

Route app path based on policies 3

Use Internet as your 2nd WAN 2

Set app rankings and policies 1

Business Relevant – High Priority

Business Irrelevant – Low Priority

Default – Medium Priority

Active-Standby Active-Active

充分利用可用带宽

提升应用性能 降低成本

“通过PfR，我可以让我的关键数据和语音流量通过MPLS链路，因为我和MPLS链路供应商有SLA，以免链路终端或者质量弱化造成业务质量下降。同时，我把低优先级的流量（比如浏览类）通过DMVPN。”

金融行业某客户

移动应用

访客WiFi

视频会议

数字签名

商品目录

点播，培训

推动业务发展

Reduced

Bandwidth

0 0

1

2

3

4

40

80

120

160

App Bandwidth App Latency

Bandwidth

(Mbps)

Latency

(ms)

Reduced

Latency

Bandwidth with IWAN

Bandwidth natively

App latency natively

App latency with IWAN

零售业（路易斯威登）

80% 缩短应用响应时间 3x

增加客户滞留时间

应用加速 传输无关

热点流量、视频等本地存储，

快速响应

优化广域网带宽，获得更佳

ROI

保护广域网流量

安全连接

合规

安全的就近访问Internet

全面的威胁防御

集成式一体化安全平台

安全防护和应用性能完美结合

威胁攻击快速响应

“在设备运行中，整体安全套件为我们提供了很大的灵活性和敏捷性。集成化平台带来的易管理性，让我们无需纠结该部署路由器还是防火墙，或是其它安全组件。”

元器件供应商某客户

简化广域网部署管理

提升部署效率 85%

Zero-Touch Rollout

Set Application Policy

Gain Visibility and Tune

Point and Click Troubleshoot

Simple Workflows

“IWAN 自劢化部署工具，消除了路由器高级功能所需的大量复杂配置，我仅需10次图形化界面的鼠标点击，即可完成IWAN的部署。”

服务行业某客户

思科ISR4000+UCS-E模块 企业网络计算系统ENCS

网络功能虚拟化基础架构软件(NFVIS)

基于APIC-EM和PI平台的企业网络服务自劢化(ESA)

虚拟路由器 (ISRv)

虚拟防火墙 (ASAv)

虚拟广域网流量加速(vWAAS)

虚拟无线控制器(vWLC)

更多Apps

第三方VNFs

…未来支持

思科企业NFV解决方案，允许网络功能以虚机的方式部署在商用x86平台上，并结合管理平台，提供网络功能的快速自劢化部署

对用户的价值：

• 网络服务快速上线，

数分钟内部署完成，

节省时间

• 灵活的服务类型

• 降低部署和运维成本

• 更多部署平台可选

虚拟化 控制器 应用

APIC-EM 加 ESA App

vRouter

vFirewall

vWAN optimization

vWLAN controller

Third-party services

Cisco® ISR, UCS® E-Series

Cisco UCS C-Series

x86 server

选择网络功能 1 选择部署平台 2 流程编排，自劢上线 3

提升IT敏捷性

灵活的平台选择 灵活的服务类型 数分钟内部署完成

虚拟化 控制器 应用

思科通过 network functions virtualization (NFV) 技术，为网络服务功能特性，提供了最佳的部署方式 – 无论何时、无论何地、无论服务的能力需求

依据思科最佳实践，

在数分钟内完成上线

“

”

Cisco ONE Foundation

March 2016 Controlled Availability:

General Availability in Cisco ONE June 2016

全部由软件组成

增强分支的灵活性

集中的流程编排及管理 SDN: APIC-EM with Enterprise Service Automation

自由的硬件载体 Hardware: Cisco UCS® E- and C-Series | COTS

智能软件平台 Virtualization Layer: NFV Infrastructure Software

一致, 可信的网络服务 Virtual Network Functions (VNFs): Cisco® and

Third Party

IT供应商某客户

控制器

端到端的流程编排 以及策略控制

开放，可编程 | 符合行业标准

开放的APIs | 开发环境

DNA Center 策略 | 流程

虚拟化

ASR1K, ISR4K, ENCS, ISRV, CSR1KV| 自定义App | 数据采集

分析

网络数据, 基于上下文的事件

面向网络的流程编排

基于云 | 软件控制

策略自动化

网络数据分析

物理/虚拟平台

Thanks！