Date post: | 20-Aug-2015 |
Category: |
Technology |
Upload: | cisco-russia |
View: | 1,724 times |
Download: | 7 times |
Cisco Confidential© 2012 Cisco and/or its affiliates. All rights reserved. 1
Cisco Expo 2012
Уровни ядра и распределения ЛВС следующего поколения. Обзор линейки коммутаторов Cisco Catalyst для построения уровней ядра и распределения.
Scott Hodgdon
Technical Marketing Engineer
© 2012 Cisco and/or its affiliates. All rights reserved. 2
Cisco Expo 2012
Расп
реде
лРа
спре
дел
ение
ение
Дос
туп
Дос
туп
Ядр
оЯ
дро Как Как
управлять управлять этим на этим на уровне уровне
предприятияпредприятия??
Как Как обеспечить обеспечить
мониторинг на мониторинг на уровне уровне
предприятияпредприятия??
Как Как обеспечить обеспечить
эффективную эффективную работу работу
приложений приложений для для
пользователейпользователей??
Вопросы и задачи
Как Как обеспечить обеспечить
безопасность безопасность на уровне на уровне
устройствустройств??
Как построить Как построить масштабируемую масштабируемую и безопасную сеть и безопасную сеть для проводных и для проводных и
беспроводных беспроводных устройствустройств и и обеспечить обеспечить поддержку поддержку трендовтрендов??
Как обеспечить Как обеспечить использование использование корпоративных корпоративных
и личных и личных устройств устройств
сотрудников в сотрудников в сетисети??
Какие сервисы Какие сервисы необходимы для необходимы для
поддержки поддержки инфраструктурыинфраструктуры
??
3© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Expo 2012
© 2012 Cisco and/or its affiliates. All rights reserved. 4
Cisco Expo 2012
Catalyst 6500 Sup2T
Ядро
Catalyst 6500 Sup 2T
Распределение
Catalyst 4K / 3K
Доступ
Корпоративная Корпоративная сетьсеть
Инвестиции в платформы и их развитие будут соответствовать их позиционированию
Инвестиции в платформы и их развитие будут соответствовать их позиционированию
ЦОДЦОД
Nexus 7000
Ядро
Nexus 7000
Распределение
Nexus 5000/2000
Доступ
Cisco Catalyst Cisco Catalyst илиили NexusNexus??
Mobility/BYOD
Security
Video Workload Mobility VMVM
10G/Virtualizatio
n
EnergyEfficiency
© 2012 Cisco and/or its affiliates. All rights reserved. 5
Cisco Expo 2012
Корпоративная сетьКорпоративная сетьСемейство Catalyst - IOS
Контроль доступа / Сегментация802.1X / Easy Virtual Networks (EVN)
Интеллектуальное видеоMedianet
Конвергенция сетей wired и wirelessWireless Controller Integration
Идентификация приложенийFlexible NetFlow, NAM-3 (NBAR2)
Питание через EthernetUPOE, EnergyWise
ЦОД ЦОД / / ОблакоОблакоСемейство Nexus – NX-OS
Облачная безопасность и VMNexus 1000v, VSG, ASA, 1000v
Мобильность VM (виртуальных машин)LISP, VXLAN, OTV
Конвергенция сетей LAN / SANUnified Ports, FCoE
Масштабируемость и гибкость FabricFabricPath, vPC, Wire Speed 10/40/100G
Консолидация ЦОДVDC, FEX, DCNM
Требования и пожелания заказчиков диктуют выбор платформы
Требования и пожелания заказчиков диктуют выбор платформы
© 2012 Cisco and/or its affiliates. All rights reserved. 6
Cisco Expo 2012
ФункциональностьФункциональностьФункциональностьФункциональность
Мас
шта
биру
емос
тьМ
асш
таби
руем
ость
Мас
шта
биру
емос
тьМ
асш
таби
руем
ость
Компактные 1 RUустройства для
агрегации 1/10GE
Фиксированные коммутаторы
агрегации 10G
Cisco Catalyst Cisco Catalyst 45004500--XX
Базовый функционал при более низкой цене
Базовый набор функций для
ядра/распределения
Collapsed Access
Cisco Catalyst Cisco Catalyst 45004500--EE
Ведущая в отрасли платформа для ядра/распределения кампусной сети
Полный набор функций для сетей без границ
Высокая производительность и масштабируемость
Снижение TCO
Ведущая платформа для Ведущая платформа для VideoVideo, , CloudCloud ии BYODBYOD
Ведущая платформа для Ведущая платформа для VideoVideo, , CloudCloud ии BYODBYOD
Cisco Catalyst 6500Cisco Catalyst 6500 ссSUP2TSUP2T
© 2012 Cisco and/or its affiliates. All rights reserved. 7
Cisco Expo 2012
Цена /Производительность
Виртуализация, Smart Operations и Change
Management
Платформа ссетевыми сервисами
для Унифицированного
доступа
Next-Gen Ethernet в корпоративных сетях
1G » 10G » 40G » 100G
Инновации с сохранением инвестиций
СнижениеСнижение TCOTCO
ОсобенностиОсобенности
МиграцияМиграция
ИнновацииИнновации
Cisco Catalyst 6500 E-Series
© 2012 Cisco and/or its affiliates. All rights reserved. 8
Cisco Expo 2012
Инвестиции в развитие Sup2TСравните с инвестициями ($150M) Tesla Motor для
создания первого спортивного автомобиля на электричестве
$200+ Million
$200+ MillionИнвестиции в ближайшие 3 года
Богатые сетевые сервисы, эволюция Ethernet, снижение TCO, сохранение инвестиций
750 000+ поставленных шасси1,2 млн поставленных супервизоров110 млн портов45 000+ заказчиков Catalyst 6500
Сов
окуп
ный
дохо
д ($
B)
0
5
10
15
20
25
30
35
40
45
Cisco Catalyst 6500
Brocade HP (A7500 and
A9500)
Juniper (EX8200)
Лидирующая платформа в Лидирующая платформа в индустрии (модульные индустрии (модульные
коммутаторы)коммутаторы)
© 2012 Cisco and/or its affiliates. All rights reserved. 9
Cisco Expo 2012
Sup2T
Сервисные модулиСервисные модули ––Sup2TSup2T ии Sup720Sup720--10G10G
WiSM2
NAM-3
ASA-SM
Медь и Оптика Медь и Оптика 1GbE1GbE –– Sup2TSup2T
Fiber
High-Perf. Access
6824
6848
6848
614845AT
Copper Access
Оптика Оптика 40 40 GbEGbE –– Sup2TSup2T
6904FourX LR4SR4
Медь и Оптика Медь и Оптика 10GbE10GbE –– Sup2TSup2T
40G/слот
80G/слот
6816 6816
69086904
Sup720-10G
6716 6716
6704 6708
Медь и Оптика Медь и Оптика 10 10 GbEGbE 40G40G//слотслотдля для Sup720Sup720--10G10G
Fiber6724
6748
High-PerfAccess. 6748
614845AT
Copper Access
Медь и Оптика Медь и Оптика 1 1 GbEGbE длядля Sup720Sup720--10G10G
© 2012 Cisco and/or its affiliates. All rights reserved. 10
Cisco Expo 2012
Инсталлированная база Sup2T
1616 000 000 поставленных поставленных Supervisor Supervisor 2T2T1616 000 000 поставленных поставленных Supervisor Supervisor 2T2T
22 300300+ + заказчиков заказчиков Supervisor Supervisor 2T2T22 300300+ + заказчиков заказчиков Supervisor Supervisor 2T2T
150150 000000+ + 10G10G портовпортов150150 000000+ + 10G10G портовпортов
Первый модульный коммутатор с Первый модульный коммутатор с поддержкойподдержкой 40G40G
Первый модульный коммутатор с Первый модульный коммутатор с поддержкойподдержкой 40G40G
Backbone Backbone для внедрений и сетейдля внедрений и сетей Cisco Cisco ((InteropInterop, Cisco Live, Olympics, DNC / RNC), Cisco Live, Olympics, DNC / RNC)
Backbone Backbone для внедрений и сетейдля внедрений и сетей Cisco Cisco ((InteropInterop, Cisco Live, Olympics, DNC / RNC), Cisco Live, Olympics, DNC / RNC)
© 2012 Cisco and/or its affiliates. All rights reserved. 11
Cisco Expo 2012
ВЫДЕЛЕНЫ основные функции для поддержки BYOD, Collaboration и Video
SUP720SUP720 SUP2TSUP2TL2 MAC Table 96K 128K
Bridge Domains 4K 16K
SGT / SGACL – Yes
VNET Trunk (EVN) – Yes
40G Interfaces – Yes
System Bandwidth 720 Gbps 2 Tbps
L3 Interfaces 4K 128K
NetFlow Table 128K/256K 512K/1M
Flexible NetFlow – Yes
Hitless ACL Updates 32K Yes
Medianet 2.2 – Yes
VPLS / A-VPLS Requires WAN Module
Yes (no WANmodule)
VSS Quad Sup SSO – Yes
Новые возможности Новые возможности Sup2TSup2T
4Xмасштабируемость
3Xпроизводительность
Cisco Prime
Новая PFC4 с увеличенной производительностью и масштабируемостью, новыми аппаратными функциями
USB-BasedConsole Support
Connectivity Management Processor(CMP)
Новая MSFC5 с поддержкой Dual Core CPU и единого IOS Image
Улучшенная Switch Fabric, обеспечивающая 80G/слот
© 2012 Cisco and/or its affiliates. All rights reserved. 12
Cisco Expo 2012
Серия Серия 6900 6900 сс DFC4DFC4 Серия Серия 6800 6800 сс DFC4DFC4
• 40G/слот с интегрированной DFC4• 24 и 48 оптических портов 1GbE• 48 медных портов 10/100/1000• 16 портов 10GbE (оптика) и 10GBASE-T • Доступны стандартные и XL модели
• Неблокируемая коммутация 80G/слот• MACsec на скорости работы порта• Virtual switching link (VSL)• Большие пакетные буферы (256
MB/port)• X2 трансиверы или SFP+ с адаптером• Доступны стандартные и XL модели• Готовность к использованию LISP
Производительность системы с распределенной коммутацией,
сравнимая по цене с централизованной коммутацией
Удвоенная производительность системы с распределенной
коммутацией
CFP-40G-SR4FourX
CFP-40G-LR4
© 2012 Cisco and/or its affiliates. All rights reserved. 13
Cisco Expo 2012
Сни
жен
а С
ниж
ена
цена
цена
WSWS--X6816X6816--10G10G--2T2T
Дос
тупн
ыД
осту
пны
WSWS--X6904X6904--40G40G--2T2TWSWS--X6908X6908--10G10G--2T2T
Плотность портов 88 10GE
Трансиверы: X2, SFP+
Пропускная способность: 80 Gbps
Функциональность:
Полный набор функций L2/L3с поддержкой MPLS, VPLS.
возможностей IPv4/IPv6, 1M+ IPv4 маршрутов, 1M NetFlow
Дополнительная аппаратная функциональность:
Большие буферы, SGT, MACsec, LISP*
Идеальны для: Уровни распределения и ядра корпоративной сети
176 10GE
X2, SFP+
40 Gbps
Полный набор функций L2/L3с поддержкой MPLS, VPLS.
возможностей IPv4/IPv6, 1M+ IPv4 маршрутов, 1M NetFlow
Уровень ядра корпоративной сети
170 10GE/44 40GE
CFP, SFP+
80 Gbps
Полный набор функций L2/L3с поддержкой MPLS, VPLS.
возможностей IPv4/IPv6, 1M+ IPv4 маршрутов, 1M NetFlow
Гибкость 10G, SGT, MACsec, LISP*, Campus
FEX*, TRILL*
Уровни распределения и ядра корпоративной сети
© 2012 Cisco and/or its affiliates. All rights reserved. 14
Cisco Expo 2012
Sup2TSup2T
Поддерживаются
Специальная программа TMP для апгрейда
WS-F6K-DFC4-E
WS-F6K-DFC4-A
6148E, 6148A, 6148-SFP, 6196
NAM/-1/2/3, ACE20/30, WiSM-1/2FWSM, ASA-SM
Не поддерживаются (Используйте Sup720-10G или ASR для WAN)
Не поддерживаются(Используйте ASA-SM для IPSEC VPN)
Sup720Sup720
6704, 6724, 6748 с CFC
Оптика 6708-10G
6716-10G/10T с DFC3
6704, 6724, 6748 с DFC3
Серия 61xx
Сервисные модули
Модули WAN
VPN SPA
© 2012 Cisco and/or its affiliates. All rights reserved. 15
Cisco Expo 2012
WiSM следующего поколения : WiSM-2
NAM следующего поколения: NAM-3
Межсетевой экранследующего поколения: ASA-SM
Производительность мониторинга До 15 Gbps
Capture на внешнее устройство До 5 Gbps
Глубокий анализ пакетов Поддержка NBAR-2
HW Filters/Packet Captures Быстрый поиск неисправностей
64 Gbps Производительность системы16 Gbps Производительность одного модуля
10000000 Кол-во одновременных сессий300000 Кол-во соединений в секунду
250 Security-контекстов1000 VLAN’ов
NE
WN
EW
Интегрированное управление сетями Интегрированное управление сетями Wired Wired и и WirelessWireless
Производительность 20 GbpsКол-во точек доступа 500–1000
Кол-во клиентов 15000Мобильность, размер домена До 18000 точек доступа
Глубокий анализ пакетов AVC
NE
WN
EW
NE
WN
EW
РасширенныйРасширенный мониторинг приложениймониторинг приложений
Надежная интегрированная безопасностьНадежная интегрированная безопасность
OS и функциональный
паритет с ASA
OS и функциональный
паритет с ASA
© 2012 Cisco and/or its affiliates. All rights reserved. 16
Cisco Expo 2012
Вы
сока
я В
ысо
кая
плот
ност
ьпл
отно
сть
Низ
кая
Низ
кая
плот
ност
ьпл
отно
сть
1G 10G
4503-E
4507R+E
4510R+E
4506-E
WS-X4624-SFP-E Supervisor Engine 7-E• Пропускная способность
848 Gbps• 4 x SFP+/SFP uplinks• 100 10G SFP+
WS-X4612-SFP-E WS-X4606-X2-E
Supervisor Engine 7L-E• Пропускная способность
520 Gbps• 2 x 10G SFP+/SFP uplink • 62 10G SFP+
WS-X4712-SFP+E
• SFP+/SFP
Оптические линейные карты
БазоваяБазовая BackboneBackbone--функциональность ифункциональность и Collapsed AccessCollapsed Access
© 2012 Cisco and/or its affiliates. All rights reserved. 17
Cisco Expo 2012
Cisco Catalyst 4500Cisco Catalyst 4500--X: X: 10G10G--агрегацияагрегация
32 и 40 10/1 GbE портов
16 и 24 10/1 GbE портов
Cisco Catalyst 3750X: Cisco Catalyst 3750X: 1G1G--агрегацияагрегация
12 и 24 портов 1GbE Uplink-модули
Ключевые особенностиКлючевые особенности
• 1RU с отказоустойчивыми ИП/вентиляторами
• Стекируемые с моделями 3750-X с медными портами
• Сервисные модули с 2 портами 10G дляuplink и flexible NetFlow
• Шифрование MACsec
Ключевые особенностиКлючевые особенности• 1RU с отказоустойчивыми ИП/вентиляторами• Большие пакетные буферы и размеры таблиц• Готовность в поддержке VSS: W1 CY13• Поддержка расширенной функциональности
безопасности и QoS• Полная поддержка IPV4/IPV6 unicast/multicast• Оптимизация для поддержки video/medianet• Упрощенное управление и эксплуатация• Готовность к поддержке TrustSec
© 2012 Cisco and/or its affiliates. All rights reserved. 18
Cisco Expo 2012
WS-C4500X-32SFP+ WS-C4500X-F-32SFP+WS-C4500X-40X-ES
IP BaseВентиляция Front to Back
Enterprise Services с 8-портовым Uplink Вентиляция Front to Back IP Base
Вентиляция Back to Front
8-портовый 10GEUplink-модуль
C4KX-NM-8SFP+$8,000
Вентилятор с возможностью горячей замены
$250(Front-to-Back: Red,Back-to-Front: Blue)
750 Вт модульный источник питания DC
$3,000
750 Вт модульный источник питания AC
$2,000
WS-C4500X-16SFP+ WS-C4500X-F-16SFP+WS-C4500X-24X-ES
© 2012 Cisco and/or its affiliates. All rights reserved. 19
Cisco Expo 2012
Серия Cisco ASR-1000
Серия Cisco Catalyst 6500
Серия Cisco Catalyst 4500
Серия Cisco Catalyst 3x00
Серия Cisco ISR
IOS Feature SetsIOS Feature SetsMulticast
VPN
IP SLA
IPv6
SW License
Ethernet Services
Routing
Broadband
MPLS
Switching
Web Services
AAA
Mobile Transport
NBAR
HA
802.1X
QoS
SNMP
Embedded Mgmt.
Policy
Использование единого кода
Улучшенное управление Расширенная функциональность для
всех платформ
Стандартизированные релизы для всех
платформ
© 2012 Cisco and/or its affiliates. All rights reserved. 20
Cisco Expo 2012
Bundle Description List Price Bundle List Price Savings
VS-C6503E-SUP2T 6503E Chassis, Sup2T, Fan Tray, IP Services Image
VS-C6504E-SUP2T 6504E Chassis, Sup2T, Fan Tray, IP Services Image
VS-C6506E-SUP2T 6506EChassis,Sup2T, Fan Tray, IP Services Image
VS-C6509E-SUP2T 6509E Chassis, Sup2T, Fan Tray, IP Services Image
VS-C6509VE-SUP2T6509VE Chassis, Sup2T, Fan Tray, Cable Chassis Management, IP Services Image
VS-C6513E-SUP2T 6513E Chassis, Sup2T, Fan Tray, IP Services Image
СНИЖЕНИЕ ЦЕНЫ ДО 24%
21© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Expo 2012
22© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Expo 2012
© 2012 Cisco and/or its affiliates. All rights reserved. 23
Cisco Expo 2012
Упрощенное управлениеУпрощенное управление
• Управляется как единая сущность с интеграцией backplane
• Интегрированные возможности по работе с приложениями, анализом трафика и устранением проблем с производительностью
• Удаленный мониторинг с RSPAN/ERSPAN
Увеличенная масштабируемостьУвеличенная масштабируемость
• Виртуальные контексты для поддержки виртуализации BYOD
• Сервисные модули соответствуют последним спецификациям и версиям ПО их аналогов на отдельных шасси (appliance)
Снижение совокупной стоимости Снижение совокупной стоимости владения (владения (TCOTCO))
• Снижение кол-ва управляемых устройств в сети
• Не требуются внешние коннекторы
• Улучшенное управление питанием
• Снижение занимаемого места в стойке
© 2012 Cisco and/or its affiliates. All rights reserved. 24
Cisco Expo 2012
• Идентификация и мониторинг приложений
От филиалов до ЦОДовПолный жизненный цикл доставки приложений – мониторинг, поиск и устранение несправностей, контроль и оптимизация
• Может выполнять роль коллектора для Flexible NetFlow
• Сервисный анализ сетевых потоков и потоков приложений
• Анализ пакетов на уровне приложений (L7) с использованием NBAR-2*
• Wireless CAPWAP Decode
• Управление при помощи Cisco Prime
© 2012 Cisco and/or its affiliates. All rights reserved. 25
Cisco Expo 2012
Единое устройство для поддержки проводных и беспроводных
сервисов
Status LEDsSerial & USB Console Ports
Dedicated 12-Core Control Processor
20 Gb Backplane Channel
Dedicated 12-Core Data Processor
Снижение операционных расходов
• Масштабируемость1000 точек доступа15 000 клиентов
• Централизованная поддержкаОдновременный Upgrade точек доступаПоиск и устранение несправностей
• Мобильность36,000 точек доступа в Mobility DomainFast Roaming
• ПроизводительностьПропускная способность 10 Gbps
• Новая функциональностьApplication Visibility and Control (AVC)NetFlow v9Поддержка BonjourNMSP Location ServicesStateful AP failover в режиме VSS
ISEISE
PRIMEPRIME
© 2012 Cisco and/or its affiliates. All rights reserved. 26
Cisco Expo 2012
Room 203
printer-203
atv-203
Room 201
printer-201
atv-201
ID: JohnRole: StudentLocation: room201
Какие сервисы я могу использовать?
printer-201atv-201
What services can I use?
printer-201
Bonjour
Catalyst 6500w/WiSM-2
Catalyst 6500w/WiSM-2
Catalyst 6500w/WISM-2
AccessSwitch 1
AccessSwitch 2
AccessSwitch 3
AccessSwitch 4
CoreSwitch
AP
*Q4 CY2012
ID: AdamRole: FacultyLocation: room201
© 2012 Cisco and/or its affiliates. All rights reserved. 27
Cisco Expo 2012
Security Service Processors• Multi-services capable• Dedicated 64-bit multicore processors• Future-proof hardware
Multigigabit Fabriс• Chassis backplane• Virtualized interfaces• Module-to-module
communications
Dual-Crypto Accelerators• Hardware processing• Accelerated Virtual Private
Networking and Unified Communications encryption
Multiple Contexts (250)• High capacity• Memory for handling high
session counts• 24 GB of memory
NAT64, VPN Site-to-Site Services*
*Roadmap
© 2012 Cisco and/or its affiliates. All rights reserved. 28
Cisco Expo 2012
ПОТРЕБНОСТИ БИЗНЕСАПОТРЕБНОСТИ БИЗНЕСА•• ОбразованиеОбразование•• 13 600 13 600 преподавателей и сотрудниковпреподавателей и сотрудников, 50 000 , 50 000 студентовстудентов
ПРОБЛЕМАТИКАПРОБЛЕМАТИКА•• Недостаток ресурсов сетиНедостаток ресурсов сети•• Увеличение колУвеличение кол--ва межсетевых экранов в подразделенияхва межсетевых экранов в подразделениях•• Разделение видео и остальной сетиРазделение видео и остальной сети
РЕШЕНИЕ РЕШЕНИЕ CISCOCISCO•• Виртуализированное решение с использованиемВиртуализированное решение с использованием MPLSMPLS на базена базе
Cisco Catalyst Cisco Catalyst 6500, 6500, FWSMFWSM, WISM, WISM--22
ПРЕИМУЩЕСТВАПРЕИМУЩЕСТВА•• Улучшена безопасность с централизированным межсетевым Улучшена безопасность с централизированным межсетевым
экраномэкраном•• 150 150 межсетевых экранов замененымежсетевых экранов заменены однимодним FWSMFWSM•• Расширение сети с использованиемРасширение сети с использованием VRF multicastVRF multicast•• Гибкая доставка приложений независимо от местоположенияГибкая доставка приложений независимо от местоположения
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/case_study_c36-609342.htmlNetwork World WISM http://www.networkworld.com/newsletters/wireless/2006/0327wireless2.html
© 2012 Cisco and/or its affiliates. All rights reserved. 29
Cisco Expo 2012
ДОДО ПОСЛЕПОСЛЕ
FacultyVirtual Firewall
Большому колБольшому кол--вуву факультетовфакультетов//подразделенийподразделений UBCUBC требоваласьтребоваласьЕдиная и полностью Единая и полностью оотказоустойчивая тказоустойчивая система межсетевого система межсетевого
экранированияэкранирования для подсетейдля подсетей и и VLANVLAN’’овов
© 2012 Cisco and/or its affiliates. All rights reserved. 30
Cisco Expo 2012
Protected Corporate resources
Campus Block
Internet
Visitor Conference
room
Employee Telepresence
room
Access
Catalyst 6500w/ASA-SM
Campus Core
Network Edge Authentication Topology
Как расширить безопасность за
пределами сети ?
ACL Atomic Commit
Как избежать потерь трафика во время
модификации ACLs ?
Integrated Firewall Module
Как реализовать возможности DPI и
stateful connections ?
Control Plane Policing (CoPP) / HWRL
Как отделить CPU от трафика “тяжелых”
приложений?
Access
Catalyst 6500w/ASA-SM
ASA ClusteringКак масштабировать межсетевой экран в
сети ?
© 2012 Cisco and/or its affiliates. All rights reserved. 31
Cisco Expo 2012
Доверенные устройства
КОНТРОЛЬ ДОСТУПА ИЗОЛЯЦИЯ МАРШРУТА
Недоверенные устройства
ASA-SM Firewall IPS Services in
Backbone
SSID → Identity → Device Sensor → VLAN X → VRF X → Firewall Context X
Устройствам BYOD нужен такой же доступ, как и
корпоративным устройствамНеобходим более глубокий
анализ для устройств BYOD
Устройства BYOD не получают обязательных
обновлений безопасности и антивирусов
Изоляция маршрута в сети для IPS или ASA-SM для соответствия политикам
HIPAA, PCI, FISMA
WISM2 ASA-SMNAM-3
Cisco Catalyst 6500 VSS 4T
SSID → Identity → Device Sensor → VLAN Y → VRF Y → Firewall Context Y
© 2012 Cisco and/or its affiliates. All rights reserved.
Построение архитектуры унифицированного доступа кампусной сети
© 2012 Cisco and/or its affiliates. All rights reserved. 33
Cisco Expo 2012
Расп
реде
лРа
спре
дел
ение
ение
Дос
туп
Дос
туп
Ядр
оЯ
дро
TRUSTSECTRUSTSECЧто мне Что мне
необходимонеобходимо??
APPLICATION APPLICATION VISIBILITY VISIBILITY
AND AND CONTROLCONTROL
SMART SMART OPERATIONSOPERATIONS
((в рамках в рамках другой другой
презентациипрезентации))
RESILIENCERESILIENCE
© 2012 Cisco and/or its affiliates. All rights reserved.
Безопасность инфраструктуры BYODкампусной сети
© 2012 Cisco and/or its affiliates. All rights reserved. 35
Cisco Expo 2012
Dis
tribu
tion
Dis
tribu
tion
Acc
ess
Acc
ess
Cor
eC
ore
ContextContext--Based Based ControlControl
MACsecMACsecMACsecMACsec
Routed ACLRouted ACLRouted ACLRouted ACL
Security Group ACL Security Group ACL (SGACL)(SGACL)
Security Group ACL Security Group ACL (SGACL)(SGACL)
MACsecMACsecMACsecMACsec
Routed and VLAN ACLRouted and VLAN ACLRouted and VLAN ACLRouted and VLAN ACL
Security Group Tag Security Group Tag Security Group ACLSecurity Group ACLSecurity Group Tag Security Group Tag Security Group ACLSecurity Group ACL
Device SensorDevice SensorDevice SensorDevice Sensor
Port and VLAN ACLPort and VLAN ACLPort and VLAN ACLPort and VLAN ACL
Security Group Tag Security Group Tag Security Group ACLSecurity Group ACLSecurity Group Tag Security Group Tag Security Group ACLSecurity Group ACL
802.1X 802.1X Innovations:Innovations:Low Impact: Monitor Mode Low Impact: Monitor Mode
Flexible AuthenticationFlexible Authentication
802.1X 802.1X Innovations:Innovations:Low Impact: Monitor Mode Low Impact: Monitor Mode
Flexible AuthenticationFlexible Authentication
SegmentationSegmentation
Easy Virtual Network Easy Virtual Network (EVN)(EVN)
Easy Virtual Network Easy Virtual Network (EVN)(EVN)
VRFVRF--LiteLiteVRFVRF--LiteLite
MPLS VPNMPLS VPNMPLS VPNMPLS VPN
Easy Virtual Easy Virtual Network Network (EVN(EVN))
Easy Virtual Easy Virtual Network Network (EVN(EVN))
VRFVRF--LiteLiteVRFVRF--LiteLite
MPLS VPNMPLS VPNMPLS VPNMPLS VPN
ASAASA--SM ContextsSM ContextsASAASA--SM ContextsSM Contexts
Easy Virtual Network Easy Virtual Network (EVN)(EVN)
Easy Virtual Network Easy Virtual Network (EVN)(EVN)
VRFVRF--LiteLiteVRFVRF--LiteLite
Secure Group Secure Group Access/SGTAccess/SGT
Secure Group Secure Group Access/SGTAccess/SGT
Protect Network Protect Network InfrastructureInfrastructure
TrustSec NDACTrustSec NDACTrustSec NDACTrustSec NDAC
Hardware CoPPHardware CoPPHardware CoPPHardware CoPP
Flexible NetFlowFlexible NetFlowFlexible NetFlowFlexible NetFlow
CISTCISTCISTCIST
IPv6 IPv6 FirstFirst--Hop Hop SecuritySecurityIPv6 IPv6 FirstFirst--Hop Hop SecuritySecurity
TrustSec NDACTrustSec NDACTrustSec NDACTrustSec NDAC
Hardware CoPPHardware CoPPHardware CoPPHardware CoPP
Flexible NetFlowFlexible NetFlowFlexible NetFlowFlexible NetFlow
Flexible NetFlowFlexible NetFlowFlexible NetFlowFlexible NetFlow
IPv6 IPv6 FirstFirst--Hop Hop SecuritySecurityIPv6 IPv6 FirstFirst--Hop Hop SecuritySecurity
TrustSec NDACTrustSec NDACTrustSec NDACTrustSec NDAC
Hardware CoPPHardware CoPPHardware CoPPHardware CoPP
ASAASA--SM, NAMSM, NAM--33ASAASA--SM, NAMSM, NAM--33
© 2012 Cisco and/or its affiliates. All rights reserved. 36
Cisco Expo 2012
СегментацияСегментация((Compliance)Compliance)
Сегментация независимо от Сегментация независимо от топологии с топологии с Secure Secure Group Group
Access Access (SGA)(SGA)
Сегментация независимо от Сегментация независимо от топологии с топологии с Secure Secure Group Group
Access Access (SGA)(SGA)
Layer 3 Layer 3 сегментация с сегментация с VRFVRF--LiteLite/Easy /Easy Virtual Networks Virtual Networks
(EVN(EVN)/)/MPLS MPLS VPNVPN
Layer 3 Layer 3 сегментация с сегментация с VRFVRF--LiteLite/Easy /Easy Virtual Networks Virtual Networks
(EVN(EVN)/)/MPLS MPLS VPNVPN
Layer 2 Layer 2 ии Layer Layer 3 3 сегментация сегментация с использованиемс использованием
сервисных модулейсервисных модулей
Layer 2 Layer 2 ии Layer Layer 3 3 сегментация сегментация с использованиемс использованием
сервисных модулейсервисных модулей
Контроль со знанием Контроль со знанием контекстовконтекстов
Контроль доступа на базе Контроль доступа на базе ролейролей сс Security Group Security Group
Tagging Tagging (SGT)(SGT)
Контроль доступа на базе Контроль доступа на базе ролейролей сс Security Group Security Group
Tagging Tagging (SGT)(SGT)
Идентификация, Идентификация, профилирование устройств спрофилирование устройств с
Device SensorDevice Sensor
Идентификация, Идентификация, профилирование устройств спрофилирование устройств с
Device SensorDevice Sensor
Гостевой доступГостевой доступ с с dACLdACL, , назначением назначением VLANVLAN
Гостевой доступГостевой доступ с с dACLdACL, , назначением назначением VLANVLAN
Аутентификация Аутентификация 802.1X802.1XАутентификация Аутентификация 802.1X802.1X
What
Where
HowWho
IDENTITY
When
Защита сетевой Защита сетевой инфраструктурыинфраструктуры
Шифрование Шифрование MACsecMACsecШифрование Шифрование MACsecMACsec
Network Device Network Device Authentication Authentication (NDAC)(NDAC)
Network Device Network Device Authentication Authentication (NDAC)(NDAC)
IPv6IPv6 FirstFirst--Hop Hop SecuritySecurityIPv6IPv6 FirstFirst--Hop Hop SecuritySecurity
Control Plane Policing Control Plane Policing (CoPP)(CoPP)Control Plane Policing Control Plane Policing (CoPP)(CoPP)
Cisco Catalyst Cisco Catalyst Integrated Integrated Security Toolkit Security Toolkit (CIST)(CIST)
Cisco Catalyst Cisco Catalyst Integrated Integrated Security Toolkit Security Toolkit (CIST)(CIST)
© 2012 Cisco and/or its affiliates. All rights reserved. 37
Cisco Expo 2012
Trusted Wi-Fi
Аутентификация
пользователя
Fingerprint-устройство
Применение
корпоративной
конфигурации
Enterprise-приложения
Автоматические политики
?
Безопасность инфраструктуры Безопасность инфраструктуры BYODBYOD кампусной сети кампусной сети Контроль со знанием контекстов и сегментацияКонтроль со знанием контекстов и сегментация
© 2012 Cisco and/or its affiliates. All rights reserved. 38
Cisco Expo 2012
Trusted Wi-Fi
Authenticate user Fingerprint device Apply corporate config Enterprise apps Automatic policies
?Trusted Wi-Fi
Применение определенных политик на базе: Типа устройства Пользователя Местоположения Приложения
What
Where
HowWho
IDENTITY
When
Безопасность инфраструктуры Безопасность инфраструктуры BYODBYOD кампусной сети кампусной сети Контроль со знанием контекстов и сегментацияКонтроль со знанием контекстов и сегментация
© 2012 Cisco and/or its affiliates. All rights reserved. 39
Cisco Expo 2012
Trusted Wi-Fi
Authenticate user Fingerprint device Apply corporate config Enterprise apps Automatic policies
?Trusted Wi-Fi
Apply Defined Policy Profiles Based On: Device type User Location Application
What
Where
HowWho
IDENTITY
When
Trusted Wi-Fi
Electronic Medical Records
Mobile TelePresence
Instant Messenger
No Yes
Доступ: ПОЛНЫЙ
What
Where
HowWho
IDENTITY
When
Безопасность инфраструктуры Безопасность инфраструктуры BYODBYOD кампусной сети кампусной сети Контроль со знанием контекстов и сегментацияКонтроль со знанием контекстов и сегментация
© 2012 Cisco and/or its affiliates. All rights reserved. 40
Cisco Expo 2012
Trusted Wi-Fi
Authenticate user Fingerprint device Apply corporate config Enterprise apps Automatic policies
?Trusted Wi-Fi
Apply Defined Policy Profiles Based On: Device type User Location Application
What
Where
HowWho
IDENTITY
When
Trusted Wi-Fi
Electronic Medical Records
Mobile TelePresence
Instant Messenger
No Yes
Access: FULL
What
Where
HowWho
IDENTITY
When
Untrusted Wi-Fi
Electronic Medical Records
Mobile TelePresence
Instant Messenger
No Yes
Access: LIMITED
What
Where
HowWho
IDENTITY
When
Безопасность инфраструктуры Безопасность инфраструктуры BYODBYOD кампусной сети кампусной сети Контроль со знанием контекстов и сегментацияКонтроль со знанием контекстов и сегментация
© 2012 Cisco and/or its affiliates. All rights reserved. 41
Cisco Expo 2012
Функциональность Функциональность аутентификацииаутентификации
Cisco Catalyst Switch
Network Device
IP PhonesAuthorized Users
GuestsTablets
802.1X802.1X MABMAB WebAuthWebAuth
Особенности идентификацииОсобенности идентификации
Monitor Mode• Беспрепятственный доступ• Нет влияния на продуктивность• Мониторинг и получение информацииГибкая последовательность аутентификации• Единая конфигурация для всех случаев• Гибкие механизмы изменений и политик
Расширенные функцииРасширенные функции 802.1X 802.1X
Поддержка IP-телефонии и виртуальных десктопов• Single host mode• Multihost mode• Multiauth mode• Multidomain authenticationКритическая аутентификация Data/Voice• Отсутствие влияния на бизнес в случае отказа
© 2012 Cisco and/or its affiliates. All rights reserved. 42
Cisco Expo 2012
Device Sensor собирает информацию для классификации конечных устройств, на базе типа устройства, данных пользователя и его местоположения
CDPCDPLLDPLLDPDHCPDHCPMACMAC
1
2
1
2 11
DeviceDevice--AwareAware
IdentityIdentity--AwareAware
LocationLocation--AwareAware
Corp PC Doctor Office
Personal Laptop Doctor Office
Personal Laptop Patient Hotspot
Smartphone Admin Office
IP Phone N/A Office
TelePresence N/A Conf. Room
© 2012 Cisco and/or its affiliates. All rights reserved. 43
Cisco Expo 2012
Radius accounting
Radius Probe
ISE
11
11 Устройство подключается к сети
22
22 Коммутатор получает информацию с использованием CDP, LLDP, DHCP, MAC OUI
33
33 Коммутатор передаёт ISE информацию об устройстве с использованием сообщенийRADIUS Accounting
Уведомление посылается только в случае обнаружения изменения информации об устройстве
44
44 ISE анализирует данные и идентифицирует устройство с использованием библиотек
55
55
Политика (ACL, VLAN, SGT и т.д.) с ISE применяется на коммутаторе
CDPLLDP
MAC OUIDHCP
© 2012 Cisco and/or its affiliates. All rights reserved. 44
Cisco Expo 2012
All the info collected are sent via RADIUS Vendor-Specific Attribute TLV (e.g. DHCP options)
Address TypeCapabilities TypeCOS TypeDevice NameDuplex TypeExternal Port Id TypeIP Prefix TypeManagement Address TypeMTU TypeNative VLAN TypePlatform TypePort Id type…….Version TypeVTP Management Domain TypeVVID Type
Address TypeCapabilities TypeCOS TypeDevice NameDuplex TypeExternal Port Id TypeIP Prefix TypeManagement Address TypeMTU TypeNative VLAN TypePlatform TypePort Id type…….Version TypeVTP Management Domain TypeVVID Type
CDPCDPCDPCDP
All Subnets LocalARP Cache TimeoutAuthenticationAutoconfiguration…….Client Identifier…….Vendor Identifying Vendor ClassVendor Identifying Vendor-Specific OptionsVendor Encapsulated Options
All Subnets LocalARP Cache TimeoutAuthenticationAutoconfiguration…….Client Identifier…….Vendor Identifying Vendor ClassVendor Identifying Vendor-Specific OptionsVendor Encapsulated Options
DHCPDHCPDHCPDHCP
Chassis IdEnd Of LLDPManagement AddressPort DescriptionPort IdSystem CapabilitiesSystem DescriptionSystem NameTime To Live
Chassis IdEnd Of LLDPManagement AddressPort DescriptionPort IdSystem CapabilitiesSystem DescriptionSystem NameTime To Live
LLDPLLDPLLDPLLDP
© 2012 Cisco and/or its affiliates. All rights reserved. 45
Cisco Expo 2012
aaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radiusaaa accounting dot1x default start-stop group radius aaa session-id commondot1x system-auth-control!device-sensor accountingradius-server vsa send accountingradius-server vsa send authentication!radius server iseaddress ipv4 <ip address> auth-port 1812 acct-port 1813pac key cisco123
aaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radiusaaa accounting dot1x default start-stop group radius aaa session-id commondot1x system-auth-control!device-sensor accountingradius-server vsa send accountingradius-server vsa send authentication!radius server iseaddress ipv4 <ip address> auth-port 1812 acct-port 1813pac key cisco123
Configuring Device SensorConfiguring Device SensorConfiguring Device SensorConfiguring Device Sensor
device-sensor filter-list {cdp | lldp | dhcp} list <list-name> tlv {name <tlv-name> | number <number>}device-sensor filter-spec {cdp | lldp | dhcp} {include list <list-name> | exclude {all | list <list-name>}}
Switch(config)#device-sensor filter-list cdp list cdp-excSwitch(config-sensor-cdplist)#tlv name device-nameSwitch(config-sensor-cdplist)#tlv name platform-typeSwitch(config)#device-sensor filter-spec cdp exclude list cdp-exc
device-sensor filter-list {cdp | lldp | dhcp} list <list-name> tlv {name <tlv-name> | number <number>}device-sensor filter-spec {cdp | lldp | dhcp} {include list <list-name> | exclude {all | list <list-name>}}
Switch(config)#device-sensor filter-list cdp list cdp-excSwitch(config-sensor-cdplist)#tlv name device-nameSwitch(config-sensor-cdplist)#tlv name platform-typeSwitch(config)#device-sensor filter-spec cdp exclude list cdp-exc
Customizing the RADIUS TLV InformationCustomizing the RADIUS TLV InformationCustomizing the RADIUS TLV InformationCustomizing the RADIUS TLV Information
© 2012 Cisco and/or its affiliates. All rights reserved. 46
Cisco Expo 2012
CDPCDPLLDPLLDPDHCPDHCPMACMAC
1
2
1
2 11
DeviceDevice--AwareAware
IdentityIdentity--AwareAware
LocationLocation--AwareAware
Corp PC Doctor Office
Personal Laptop Doctor Office
Personal Laptop Patient Hotspot
Smartphone Admin Office
IP Phone N/A Office
TelePresence N/A Conf. Room
Предопределенные правила Предопределенные правила / / профилипрофили
Auto Smartports Config MacroAuto Smartports Config Macrointerface $INTERFACE interface $INTERFACE macro description $TRIGGER macro description $TRIGGER switchport access vlan 10 switchport access vlan 10 switchport mode access switchport mode access switchport portswitchport port--security security switchport portswitchport port--security maximum 1 security maximum 1 switchport portswitchport port--security violation restrict security violation restrict switchport portswitchport port--security aging time 2 security aging time 2 switchport portswitchport port--security aging type inactivity security aging type inactivity spanningspanning--tree portfast tree portfast spanningspanning--tree bpduguard enable tree bpduguard enable
Auto Smartports Config MacroAuto Smartports Config Macrointerface $INTERFACE interface $INTERFACE macro description $TRIGGER macro description $TRIGGER switchport access vlan 10 switchport access vlan 10 switchport mode access switchport mode access switchport portswitchport port--security security switchport portswitchport port--security maximum 1 security maximum 1 switchport portswitchport port--security violation restrict security violation restrict switchport portswitchport port--security aging time 2 security aging time 2 switchport portswitchport port--security aging type inactivity security aging type inactivity spanningspanning--tree portfast tree portfast spanningspanning--tree bpduguard enable tree bpduguard enable
VLAN10VLAN10
Как только устройство профилировано, коммутатор применяет конфигурацию на порту на базе предопределенных правил
© 2012 Cisco and/or its affiliates. All rights reserved. 47
Cisco Expo 2012
1
2
1
2 11
DeviceDevice--AwareAware
IdentityIdentity--AwareAware
LocationLocation--AwareAware
Corp PC Doctor Office
Personal Laptop Doctor Office
Personal Laptop Patient Hotspot
Smartphone Admin Office
IP Phone N/A Office
TelePresence N/A Conf. Room
PolicyPolicy
VLAN100VLAN100
VLAN200VLAN200
VLAN300VLAN300
VLAN100VLAN100
ACL 500ACL 500
VLAN10VLAN10
Назначение Назначение VLANVLAN
• Не требуется управления ACL на порту коммутатора
• Требуется изменения в дизайне топологии(меняется IP-адрес)
Downloadable ACLDownloadable ACL
• Меньше воздействие на конечные устройства (нет изменений IP-адресов)
• Требуется больший объем поддеживаемыхACL и TCAM-таблиц
VLAN300VLAN300
VLAN10VLAN10
VLAN100 Routed InterfaceVLAN100 Routed Interface
VLAN300 Routed InterfaceVLAN300 Routed Interface
CDPLLDPDHCPMAC
VLAN100VLAN100 VLAN100VLAN100VLAN200VLAN200
ACL 500permit tcp <src> <dst> eq sipPermit udp <src> <dst>eq domainPermit udp <src> <dst> eq tftpPermit udp <ssrc> <dst> eq 8080….
ACL 500permit tcp <src> <dst> eq sipPermit udp <src> <dst>eq domainPermit udp <src> <dst> eq tftpPermit udp <ssrc> <dst> eq 8080….
VLAN10 Routed InterfaceVLAN10 Routed Interface
ISE централизованно сохраняет информацию об устройствах и назначенных политиках
© 2012 Cisco and/or its affiliates. All rights reserved. 48
Cisco Expo 2012
Контроль доступа с Контроль доступа с использованием списков использованием списков
доступа доступа IPIP (ACL)(ACL)
• На базе топологии• Ручная конфигурация• Вероятность ошибок• Нет масштабируемости• Сложное управление
IT3.1.1.1
Finance2.1.1.1
Doctor1.1.1.1
permit tcp any 200.1.1.1 eq httpspermit tcp any 200.1.1.1 eq 8081deny ip all
permit tcp any 200.1.1.1 eq httpspermit tcp any 200.1.1.1 eq 8081deny ip all
permit tcp any 150.1.1.1 eq httpspermit tcp any 150.1.1.1 eq 8081permit tcp any 150.1.1.1 eq 445deny ip all
permit tcp any 150.1.1.1 eq httpspermit tcp any 150.1.1.1 eq 8081permit tcp any 150.1.1.1 eq 445deny ip all
permit tcp any 100.1.1.1 eq httpsdeny ip allpermit tcp any 100.1.1.1 eq httpsdeny ip all
permit tcp 3.1.1.1 100.1.1.1 eq httpspermit tcp 3.1.1.1 100.1.1.1 eq 8081deny ip 3.1.1.1 200.1.1.2
permit tcp 3.1.1.1 100.1.1.1 eq httpspermit tcp 3.1.1.1 100.1.1.1 eq 8081deny ip 3.1.1.1 200.1.1.2
permit tcp 2.1.1.1 150.1.1.1 eq httpspermit tcp 2.1.1.1 150.1.1.1 eq 8081permit tcp 2.1.1.1 150.1.1.1 eq 445deny ip 2.1.1.1 150.1.1.1 permit tcp 2.1.1.1 200.1.1.2 eq httpsdeny ip 2.1.1.1 200.1.1.2
permit tcp 2.1.1.1 150.1.1.1 eq httpspermit tcp 2.1.1.1 150.1.1.1 eq 8081permit tcp 2.1.1.1 150.1.1.1 eq 445deny ip 2.1.1.1 150.1.1.1 permit tcp 2.1.1.1 200.1.1.2 eq httpsdeny ip 2.1.1.1 200.1.1.2
permit tcp 3.1.1.1 100.1.1.1 eq httpspermit tcp 3.1.1.1 100.1.1.1 eq 8081deny ip 3.1.1.1 200.1.1.2
permit tcp 3.1.1.1 100.1.1.1 eq httpspermit tcp 3.1.1.1 100.1.1.1 eq 8081deny ip 3.1.1.1 200.1.1.2
permit tcp 2.1.1.1 150.1.1.1 eq httpspermit tcp 2.1.1.1 150.1.1.1 eq 8081permit tcp 2.1.1.1 150.1.1.1 eq 445deny ip 2.1.1.1 150.1.1.1 permit tcp 2.1.1.1 200.1.1.2 eq httpsdeny ip 2.1.1.1 200.1.1.2
permit tcp 2.1.1.1 150.1.1.1 eq httpspermit tcp 2.1.1.1 150.1.1.1 eq 8081permit tcp 2.1.1.1 150.1.1.1 eq 445deny ip 2.1.1.1 150.1.1.1 permit tcp 2.1.1.1 200.1.1.2 eq httpsdeny ip 2.1.1.1 200.1.1.2
permit tcp 1.1.1.1 100.1.1.1 eq httpspermit tcp 1.1.1.1 100.1.1.1 eq 8081permit tcp 1.1.1.1 100.1.1.1 eq 445deny ip 1.1.1.1 100.1.1.2permit tcp 1.1.1.1 100.1.1.2 eq httpsdeny ip 1.1.1.1 100.1.1.2 permit tcp 1.1.1.1 150.1.1.2 eq httpsdeny ip 1.1.1.1 150.1.1.2 permit tcp 1.1.1.1 200.1.1.1 eq httpsdeny ip 1.1.1.1 200.1.1.1
permit tcp 1.1.1.1 100.1.1.1 eq httpspermit tcp 1.1.1.1 100.1.1.1 eq 8081permit tcp 1.1.1.1 100.1.1.1 eq 445deny ip 1.1.1.1 100.1.1.2permit tcp 1.1.1.1 100.1.1.2 eq httpsdeny ip 1.1.1.1 100.1.1.2 permit tcp 1.1.1.1 150.1.1.2 eq httpsdeny ip 1.1.1.1 150.1.1.2 permit tcp 1.1.1.1 200.1.1.1 eq httpsdeny ip 1.1.1.1 200.1.1.1
permit tcp 1.1.1.1 100.1.1.1 eq httpspermit tcp 1.1.1.1 100.1.1.1 eq 8081permit tcp 1.1.1.1 100.1.1.1 eq 445deny ip 1.1.1.1 100.1.1.2permit tcp 1.1.1.1 100.1.1.2 eq httpsdeny ip 1.1.1.1 100.1.1.2 permit tcp 1.1.1.1 150.1.1.2 eq httpsdeny ip 1.1.1.1 150.1.1.2 permit tcp 1.1.1.1 200.1.1.1 eq httpsdeny ip 1.1.1.1 200.1.1.1
permit tcp 1.1.1.1 100.1.1.1 eq httpspermit tcp 1.1.1.1 100.1.1.1 eq 8081permit tcp 1.1.1.1 100.1.1.1 eq 445deny ip 1.1.1.1 100.1.1.2permit tcp 1.1.1.1 100.1.1.2 eq httpsdeny ip 1.1.1.1 100.1.1.2 permit tcp 1.1.1.1 150.1.1.2 eq httpsdeny ip 1.1.1.1 150.1.1.2 permit tcp 1.1.1.1 200.1.1.1 eq httpsdeny ip 1.1.1.1 200.1.1.1
© 2012 Cisco and/or its affiliates. All rights reserved. 49
Cisco Expo 2012
IT3.1.1.1
Finance2.1.1.1
Doctor1.1.1.1
Контроль доступа с Контроль доступа с использованием использованием
Secure Group AccessSecure Group Access
• На базе ролей• Независим от
топологии• Масштабируемость• Простота
администрирования• Единая политика
Email Email ServerServer
Financial Financial ServersServers
Patient Patient RecordsRecords
Doctors IMAP No Access File Share
IT Allow All SQL SQL
Finance IMAP Web No Access
© 2012 Cisco and/or its affiliates. All rights reserved. 50
Cisco Expo 2012
1
2
1
2 11
DeviceDevice--AwareAware
IdentityIdentity--AwareAware
LocationLocation--AwareAware
Corp PC Doctor Office
Personal Laptop Doctor Office
Personal Laptop Patient Hotspot
Smartphone Admin Office
IP Phone N/A Office
TelePresence N/A Conf. Room
Secure Secure GroupGroup
DoctorDoctor
PatientPatient
AdminAdmin
DoctorDoctor
VideoVideo
VoiceVoice
Security Group AccessSecurity Group Access
• Упрощает управление ACL• Применяет политики независимо от топологии или
протокола• Гранулирует контроль доступа
CDPLLDPDHCPMAC
SGACLSGACL применяет применяет политики на уровнях политики на уровнях
доступадоступа, , границы сети границы сети или ЦОДили ЦОД
SGACLSGACL применяет применяет политики на уровнях политики на уровнях
доступадоступа, , границы сети границы сети или ЦОДили ЦОД
SG Tag SG Tag маркируетмаркируетвходящий трафиквходящий трафикSG Tag SG Tag маркируетмаркируетвходящий трафиквходящий трафик
Patient Record Internet Facility
Doctor Permit Permit Permit
Patient Deny Permit Deny
Voice Deny ACL_v Deny
ISE централизованно сохраняет информацию об устройствах и назначенных политиках
© 2012 Cisco and/or its affiliates. All rights reserved. 51
Cisco Expo 2012
CiscoTrustSec Domain
SGTSGT SGTSGT SGTSGT SGTSGT SGTSGT
cts role-based permissions from 1110 to 3200 permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 22permit tcp dst eq 3389permit tcp dst eq 135permit tcp dst eq 136permit tcp dst eq 138permit tcp des eq 139deny ip
cts role-based permissions from 1110 to 3200 permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 22permit tcp dst eq 3389permit tcp dst eq 135permit tcp dst eq 136permit tcp dst eq 138permit tcp des eq 139deny ip
Применение политик Применение политик SGACLSGACLПрименение политик Применение политик SGACLSGACL
Manual or Dynamic VLAN Mapping
VLAN 110 VLAN 120 VLAN 130
cts role-based sgt-map VLAN-list 110 sgt 1110cts role-based sgt-map VLAN-list 120 sgt 1120cts role-based sgt-map VLAN-list 130 sgt 1130
cts role-based sgt-map 192.168.10.0/24 sgt 10cts role-based sgt-map 192.168.20.0/24 sgt 20cts role-based sgt-map 192.168.30.0/24 sgt 30
cts role-based sgt-map VLAN-list 110 sgt 1110cts role-based sgt-map VLAN-list 120 sgt 1120cts role-based sgt-map VLAN-list 130 sgt 1130
cts role-based sgt-map 192.168.10.0/24 sgt 10cts role-based sgt-map 192.168.20.0/24 sgt 20cts role-based sgt-map 192.168.30.0/24 sgt 30
ФормированиеФормирование значений значений SGTSGT на базе на базе VLANVLAN или или IPIP--
подсетиподсети
ФормированиеФормирование значений значений SGTSGT на базе на базе VLANVLAN или или IPIP--
подсетиподсети
Can Forward Existing SGT Traffic or Map
SGTs Manually
Identity Service Engine
© 2012 Cisco and/or its affiliates. All rights reserved. 52
Cisco Expo 2012
192.168.10.1 192.168.20.1 192.168.30.1 192.168.200.1Server
192.168.10.0/24192.168.10.0/24
192.168.20.0/24192.168.20.0/24
192.168.30.0/24192.168.30.0/24
SGT10SGT10
SGT20SGT20
SGT30SGT30
192.168.200.0/24192.168.200.0/24SGT30SGT30
SGACL Enforcement
SGACL Enforcement
Monitor SGACL Packet Drops with Flexible NetFlow
Monitor SGACL Packet Drops with Flexible NetFlow
Non-TrustSec Domain
L3 SGTTransport
Manual or Dynamic Subnet Mapping
Identity Service Engine
Пакеты в режиме “transport mode” ESP передают SGT без шифрования или аутентификации данных
Overhead пакета (42-45 байт) влияет на IP MTU/Fragmentation
Изменение заголовкаИзменение заголовка
© 2012 Cisco and/or its affiliates. All rights reserved. 53
Cisco Expo 2012
•• IPv6 NDP inspectionIPv6 NDP inspection•• Предотвращение атак Предотвращение атак
neighbor neighbor discovery discovery spoofingspoofing
•• IPv6 RA GuardIPv6 RA Guard•• Остановка Остановка false false router router
advertisement threatsadvertisement threats
•• IPv6 PACLIPv6 PACL•• Фильтрация трафика наФильтрация трафика на Layer Layer
2 2 портахпортах
•• IPv6 IPv6 device trackingdevice tracking•• Аннуляция сетевого доступа Аннуляция сетевого доступа
для неактивных устройствдля неактивных устройств
L2 Access
IPv6/IPv4 Dual Stack Hosts
Access Layer
Distribution Layer
Core Layer
IPv6WAN
L3
WLC
•• IPv6 uRPF IPv6 uRPF •• Аппаратная блокировка Аппаратная блокировка
spoofedspoofed--трафикатрафика ((16 16 путейпутей))
© 2012 Cisco and/or its affiliates. All rights reserved. 54
Cisco Expo 2012
Упрощенный сетевой дизайн с использованием MPLS, EVN и VRF-Lite
Расширенная безопасность, разделение групп и общих сервисов с использованиемвиртуализированных межсетевых экранов
Эффективный мониторинг и эксплуатация с использованием VRF-Aware сервисов
40GE
VRF A–F Персональные устройства
Корпоративный голос
Корпоративные компьютеры
Гостевые ноутбуки
TelePresence
Видеонаблюдение
Единая физическая сетьЕдиная физическая сетьЕдиная физическая сетьЕдиная физическая сеть
© 2012 Cisco and/or its affiliates. All rights reserved. 55
Cisco Expo 2012
ДОДО EVNEVNДОДО EVNEVN
T1/1T1/1VRF 1001
VRF 1003
VRF 1002
VRF 1003
VRF 1002
VRF 1001
interface TenGigabitEthernet1/1.101description 10GE to SW1encapsulation dot1Q 101ip vrf forwarding Redip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.102description 10GE to SW1encapsulation dot1Q 102ip vrf forwarding Greenip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.103description 10GE to SW1encapsulation dot1Q 103ip vrf forwarding Blueip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.101description 10GE to SW1encapsulation dot1Q 101ip vrf forwarding Redip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.102description 10GE to SW1encapsulation dot1Q 102ip vrf forwarding Greenip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.103description 10GE to SW1encapsulation dot1Q 103ip vrf forwarding Blueip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.101description 10GE to SW 2encapsulation dot1Q 101ip vrf forwarding Redip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.102description 10GE to SW 2encapsulation dot1Q 102ip vrf forwarding Greenip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.103description 10GE to SW 2encapsulation dot1Q 103ip vrf forwarding Blueip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.101description 10GE to SW 2encapsulation dot1Q 101ip vrf forwarding Redip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.102description 10GE to SW 2encapsulation dot1Q 102ip vrf forwarding Greenip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
interface TenGigabitEthernet1/1.103description 10GE to SW 2encapsulation dot1Q 103ip vrf forwarding Blueip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
© 2012 Cisco and/or its affiliates. All rights reserved. 56
Cisco Expo 2012
ПОСЛЕПОСЛЕ EVNEVNПОСЛЕПОСЛЕ EVNEVN
vrf definition bluevnet tag 101
interface TenGigabitEthernet1/1description 10GE to SW 1vnet trunkip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
vrf definition bluevnet tag 101
interface TenGigabitEthernet1/1description 10GE to SW 1vnet trunkip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
vrf definition bluevnet tag 101
interface TenGigabitEthernet1/1description 10GE to SW 2vnet trunkip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
vrf definition bluevnet tag 101
interface TenGigabitEthernet1/1description 10GE to SW 2vnet trunkip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode
T1/1
VNET TrunkT1/1VRF 101
VRF 103
VRF 102
VRF 103
VRF 102
VRF 101
© 2012 Cisco and/or its affiliates. All rights reserved. 57
Cisco Expo 2012
ДДОО
EEVVNN
ДДОО
EEVVNN
ip vrf SHAREDrd 3:3route-target export 3:3route-target import 1:1route-target import 2:2
!ip vrf REDrd 1:1route-target export 1:1route-target import 3:3
!ip vrf GREENrd 2:2route-target export 2:2route-target import 3:3
!router bgp 65001bgp log-neighbor-changes!address-family ipv4 vrf SHAREDredistribute ospf 3no auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf REDredistribute ospf 1no auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf GREENredistribute ospf 2no auto-summaryno synchronizationexit-address-family
vrf definition SHAREDaddress-family ipv4routeroute--replicate from replicate from vrfvrf RED unicast RED unicast
all routeall route--map redmap red--mapmaprouteroute--replicate from replicate from vrfvrf GREEN unicast GREEN unicast
all routeall route--map map grngrn--mapmap
vrf definition REDaddress-family ipv4routeroute--replicate from replicate from vrfvrf SHARED SHARED
unicast allunicast all
vrf definition GREENaddress-family ipv4routeroute--replicate from replicate from vrfvrf SHARED SHARED
unicast allunicast all
ППООССЛЛЕЕ
EEVVNN
ППООССЛЛЕЕ
EEVVNN
Преимущества настройки Преимущества настройки общих сервисов собщих сервисов с EVNEVN
• Не требуется BGP• Не требуется Route
Distinguisher• Не требуются Route Targets• Не требуется Import/Export• Простое внедрение• Поддержка Unicast и Multicast
© 2012 Cisco and/or its affiliates. All rights reserved. 58
Cisco Expo 2012
Switch# show ip route vrf greenRouting table output for green
Switch# ping vrf green 10.1.1.1 Ping result using VRF green
Switch# telnet 10.1.1.1 /vrf greenTelnet to 10.1.1.1 in VRF green
Switch# traceroute vrf green 10.1.1.1 Traceroute output in VRF green
ДОДО EVNEVNДОДО EVNEVN ПОСЛЕПОСЛЕ EVNEVNПОСЛЕПОСЛЕ EVNEVN
Switch# routingrouting--context context vrfvrf greengreenSwitch%green#
Switch%green# show show ipip routerouteRouting table output for green
Switch%green# ping 10.1.1.1ping 10.1.1.1Ping result using VRF green
Switch%green# telnet 10.1.1.1telnet 10.1.1.1Telnet to 10.1.1.1 in VRF green
Switch%green# traceroutetraceroute 10.1.1.110.1.1.1Traceroute output in VRF green
УпрощенныеУпрощенные contextcontext--aware aware операцииоперации
© 2012 Cisco and/or its affiliates. All rights reserved.
Идентификация и контроль приложений
Application Visibility and Control (AVC)
© 2012 Cisco and/or its affiliates. All rights reserved. 60
Cisco Expo 2012
Dis
tribu
tion
Dis
tribu
tion
Acc
ess
Acc
ess
Cor
eC
ore
Сбор Сбор информацииинформации
Enhanced Object TrackingEnhanced Object TrackingEnhanced Object TrackingEnhanced Object Tracking
IP SLAIP SLAIP SLAIP SLA
Enhanced Object TrackingEnhanced Object TrackingEnhanced Object TrackingEnhanced Object Tracking
IP SLAIP SLAIP SLAIP SLA
Clean AirClean AirClean AirClean Air
BuiltBuilt--in Traffic Simulatorin Traffic SimulatorBuiltBuilt--in Traffic Simulatorin Traffic Simulator
Идентификация и Идентификация и контроль контроль
приложенийприложений
Flexible NetFlowFlexible NetFlowFlexible NetFlowFlexible NetFlow
MicroflowMicroflow PolicingPolicingMicroflowMicroflow PolicingPolicing
QoSQoSQoSQoS
Flexible NetFlowFlexible NetFlowFlexible NetFlowFlexible NetFlow
MicroflowMicroflow PolicingPolicingMicroflowMicroflow PolicingPolicing
AVC in WiSMAVC in WiSM--22AVC in WiSMAVC in WiSM--22
QoSQoSQoSQoS
Flexible NetFlowFlexible NetFlowFlexible NetFlowFlexible NetFlow
Media Service ProxyMedia Service ProxyMedia Service ProxyMedia Service Proxy
Device SensorDevice SensorDevice SensorDevice Sensor
Мониторинг и Мониторинг и устранение устранение
неисправностейнеисправностей
Performance MonitorPerformance MonitorPerformance MonitorPerformance Monitor
MediatraceMediatraceMediatraceMediatrace
MiniMini--Protocol AnalyzerProtocol AnalyzerMiniMini--Protocol AnalyzerProtocol Analyzer
Performance MonitorPerformance MonitorPerformance MonitorPerformance Monitor
MediatraceMediatraceMediatraceMediatrace
WiresharkWiresharkWiresharkWireshark
Device SensorDevice SensorDevice SensorDevice Sensor
SPAN / RSPAN / SPAN / RSPAN / ERSPANERSPAN
SPAN / RSPAN / SPAN / RSPAN / ERSPANERSPAN
Performance MonitorPerformance MonitorPerformance MonitorPerformance Monitor
MediatraceMediatraceMediatraceMediatrace
MiniMini--Protocol AnalyzerProtocol AnalyzerMiniMini--Protocol AnalyzerProtocol Analyzer
NAMNAM--33NAMNAM--33
SPAN / RSPAN / SPAN / RSPAN / ERSPANERSPAN
SPAN / RSPAN / SPAN / RSPAN / ERSPANERSPAN
Wireless Controller AVCWireless Controller AVCWireless Controller AVCWireless Controller AVC
© 2012 Cisco and/or its affiliates. All rights reserved. 61
Cisco Expo 2012
Проблемы Проблемы IT IT
High Availability High Availability L2/L3L2/L3Multicast: HAMulticast: HA, Call Admission Control (CAC), Multipath, Video Stream , Call Admission Control (CAC), Multipath, Video Stream
• Готова ли сеть для внедрения видео?• Как обеспечить качественную работу бизнес-приложений?• Как обеспечить эффективный мониторинг и поиск неисправностей?
Анализ и сбор Анализ и сбор информацииинформации
• Enhanced Object Tracking
• IP SLA• Built-in Traffic
Simulator• Cisco CleanAir
Идентификация и Идентификация и контроль приложенийконтроль приложений
• Media Services Proxy (MSP)
• Metadata• Flexible NetFlow• Device sensor• Secure group tagging• Quality of Service (QoS)• AVC in Wireless
Controller• Mediastream
Мониторинг и Мониторинг и устранение устранение
неисправностейнеисправностей• Performance Monitor• Mediatrace• Flexible NetFlow• Wireshark / Mini-
Protocol Analyzer• Device sensor
© 2012 Cisco and/or its affiliates. All rights reserved. 62
Cisco Expo 2012
ERPERPERPERP
Контроль приложенийКонтроль приложений
Использует ли ктоИспользует ли кто--тото BitTorrentBitTorrent, который мешает работе бизнес, который мешает работе бизнес--приложенийприложений??Какие пользователи являются наиболее Какие пользователи являются наиболее ““активнымиактивными”” в сетив сети? ?
Какие приложения чаще всего используются в сетиКакие приложения чаще всего используются в сети??Как получить детальный отчёт по соответствию политикамКак получить детальный отчёт по соответствию политикам??
© 2012 Cisco and/or its affiliates. All rights reserved. 63
Cisco Expo 2012
Основные причины низкой производительности приложений :“Узкое место” с низкой пропускной способностью в сетиНеавторизованное использование сетевых ресурсовМониторинг безопасностиМониторинг “гостевых” устройств
Campus Building A
1
2
3
2
3
4
Internet
Campus Building B
Campus Building C
1
1
2
2
3
4
Campus Core
2
Мониторинг трафика сМониторинг трафика с Flexible NetFlowFlexible NetFlowМониторинг трафика сМониторинг трафика с Flexible NetFlowFlexible NetFlow
Flexible NetFlow обеспечивает мониторинг приложений в сети и помогает ответить на вопросы“кто, что, когда, где, как” использует сетевые ресурсыдля:
Для более быстрой и точной идентификации проблемы в сети
Определения источника проблемы и назначения ответственного за её решение
Увеличения операционной эффективности Снижения совокупной стоимости владения TCO
NOC
3
4
© 2012 Cisco and/or its affiliates. All rights reserved. 64
Cisco Expo 2012
NetFlow – процесс сбора информации о потоках трафика, проходящих через коммутатор.Сбор информации NetFlow – аппаратный процесс, экспорт Netflow-информации на внешний коллектор – процесс control plane …
NetFlow-коллектор
IT3.1.1.1
Finance2.1.1.1
Doctor1.1.1.1
Поток данных
Экспортированные записи Netflow
© 2012 Cisco and/or its affiliates. All rights reserved. 65
Cisco Expo 2012
Template RecordTemplate ID #1
(Specific Field Types and Lengths)
Template RecordTemplate ID #2
(Specific Field Types and Lengths)
Template FlowSet
Template 1
Data Record
(Field Values)
Data Record
(Field Values)
Data FlowSetFlowSet ID #1H
EADER
FlowSet ID #1
Template 2
Data Record
(Field Values)
FlowSet ID #2Data FlowSet
© 2012 Cisco and/or its affiliates. All rights reserved. 66
Cisco Expo 2012
• Каждый flow monitor может экспортироватьинформацию на несколько коллекторов (flow export)
• Каждый flow monitor может быть проассоциирован с одним набором записейNetflow (flow record)
• Применение flow monitor наинтерфейсе однонаправленно (для мониторинга двунаправленного трафика необходимо применять flow monitor на интерфейсе для каждого направления (‘in’ и‘out’)
Interface
Monitor 1(Dir = ‘in’)
Record Set A
Exporter 1
Exporter 2
Monitor 2(Direction =
‘out’)
Record Set B
Exporter 1
Exporter 1IP = 10.0.0.1
Exporter 2IP = 192.168.0.1
Record Set A Record Set B
Exporter
Record
© 2012 Cisco and/or its affiliates. All rights reserved. 67
Cisco Expo 2012
How do I want to cache information
Which interface do I want to monitor?
What data do I want to track?
Where do I want my data sent?Switch(config)# flow exporter my-exporterSwitch(config-flow-exporter)# destination 1.1.1.1
Switch(config)# flow monitor my-monitorSwitch(config-flow-monitor)# exporter my-exporterSwitch(config-flow-monitor)# record my-record
Switch(config)# interface Gig 3/1
Switch(config-if)# ip flow monitor my-monitor input
Настройка Exporter
Настройка Flow Record
Настройка Flow Monitor
Применение на интерфейсе
Switch(config)# flow record my-recordSwitch(config-flow-record)# match ipv4 destination addressSwitch(config-flow-record)# match ipv4 source addressSwitch(config-flow-record)# collect counter bytes
© 2012 Cisco and/or its affiliates. All rights reserved. 68
Cisco Expo 2012
FlexibleNetflow
Возможность гибкого выбора полей для мониторинга IPv4 и IPv6
CPU FriendlyExport
Оптимальное использование ресурсов CPU, прямой экспорт на модуле
Up to 13MFlows/System
Большие таблицы обеспечивают большее кол-во записей для системы (до 13 млн записей для 13-слотового шасси), обеспечивая более эффективный мониторинг приложений
SampledNetflow in Hardware
Для оптимизации использования таблиц Netflow и уменьшения нагрузки на анализаторы
EgressNetflow
Возможность использования Netflowпосле ingress lookup(NetFlow на CoPP)
Возможность сбора статистики multicast-трафика по направлению, а не по группе
Sup2TNetflow
Cisco Confidential© 2012 Cisco and/or its affiliates. All rights reserved. 69
Cisco Expo 2012
NDEувеличиваетexport rate до достижения порогового значения
Пауза 5 секунд и снова увеличение export rate
Когда пороговое значение достигнуто, NDEбыстро снижаетexport rate
CPU
30%
70%
Пороговое значение NDEЗагрузка CPU до NDE
Защита ресурсов CPU Масштабируемость NetFlow с распределенным экспортом
NetFlow Collector
EOBC
Direct Export поддерживается Supervisor 2T и :
WS-X6716-10x с апгрейдом доDFC4-E / DFC4-EXL
WS-X6816-10x-2T/2TXLWS-X6908-10G-2T/2TXLWS-X6904-40G-2T/2TXL
WS-X6848-TX-2T\2TXL
NetFlowData
WS-X6908-10G-2T\2TXL
NetFlowData
Supervisor
NetFlowData
NetFlowExport
NetFlowExport
© 2012 Cisco and/or its affiliates. All rights reserved. 70
Cisco Expo 2012
Streaming VideoStreaming Video Desktop Desktop ConferencingConferencing TelePresenceTelePresenceBYOD / BYOD / WebWeb--
ConferencingConferencing
Проблема
• Может ли ОДНА сеть идентифицировать все эти приложения ?
• Может ли ОДНА сеть приоритезировать все эти приложения?
• Может ли ОДНА сеть обеспечивать качественную работу бизнес-приложений?
256Kb – 2Mbps video conferencing
2-4 Mbps ( SD TV )
6-10 Mbps ( HD TV )
2.5-10 Mbps at 1080p 15 Mbps at 1080p Spatial wideband audio
256-512 byte packets 700-1350 bytes <1260 bytes 700 – 1350 bytes
Delay / Drop Sensitivity : Low / Low
Delay / Drop Sensitivity : Med / Med
Delay / Drop Sensitivity : Hi / Med
Delay / Drop Sensitivity : Hi / Hi
© 2012 Cisco and/or its affiliates. All rights reserved. 71
Cisco Expo 2012
show performance monitor history
Match: ipv4 src addr = 1.1.1.1, ipv4 dst addr = 7.7.7.2, ipv4 prot = udp, trns src port = 20001, trns dst port = 10000, SSRC = 4294967291 Policy: RTP_POL, Class: RTP_CLASS, Interface: GigabitEthernet0/4, Direction: input start time 14:57:34 ============ *history bucket number : 1 *counter flow : 1 counter bytes : 0 application media bytes counter : 12009390 application media packets counter : 5694 application media bytes rate (Bps) : 50902 *application media bytes rate per flow (Bps) : 142*application media bytes rate per flow min (Bps) : 40 *application media bytes rate per flow max (Bps) : 300 application media packets rate (pps) : 0*transport rtp flow count : 0 transport rtp jitter mean (usec) : 955transport rtp jitter minimum (usec) : 0transport rtp jitter maximum (usec) : 5225*transport rtp payload type : 0
Flexible Netflow Quality Of ServiceSwitch(config)# flow exporter export-1Switch(config-flow-exporter)# destination 172.16.10.2 Switch(config-flow-exporter)# export-protocol netflow-v9
Switchr(config)# flow record type performance-monitor record-8Switch(config-flow-exporter)# match ipv4 destination addressSwitch(config-flow-record)# collect flow direction
Switchr(config)#flow monitor type performance-monitor FM-2Switch(config-flow-monitor)# exporter export-1Switch(config-flow-monitor)# record record-8
Switchr(config)# policy-maptype preformance-monitor FM-2Switch(config-pmap)# class class-4 Switch(config-pmap-c)#flow monitor FM-2Switch(config-pmap-c)#monitor metric rtpSwitch(config-pmap-c-react)# alarm severity critical
WAN
Всё нормально Обнаружен Jitter Потери пакетов
© 2012 Cisco and/or its affiliates. All rights reserved. 72
Cisco Expo 2012
WAN
Mediatrace Initiator A Mediatrace responder B Mediatrace responder C
Hdr Rsp B Hdr Rsp C
Hdr RQ
Jitter
Packet Loss
CPU Usage
Memory Usage
Queue Length
Internal Delay
Per-hop Latency
One-way Latency
DSCP Tag
Packet Drop Count
Detailed Collection Summary (HOP):
Number of Mediatrace hops in the path: 3
Mediatrace Hop Number: 0 (host=VXR-AA0310, ttl=255)Reachability Address: 10.10.3.10Ingress Interface: NoneEgress Interface: Gi0/3
Mediatrace Hop Number: 1 (host=3845-AA0216, ttl=250)Reachability Address: 10.1.162.2Ingress Interface: Fa0/0/0Egress Interface: Fa0/0/1
Mediatrace Hop Number: 2 (host=1861-AA0213, ttl=249)Reachability Address: 10.1.3.130Ingress Interface: Fa0/0Egress Interface: Vl1000
Detailed Collection Summary (SYSTEM):
Number of Mediatrace hops in the path: 3
Mediatrace Hop Number: 1 (host=3845-AA0216, ttl=250)
Metrics Collection Status: SuccessReachability Address: 10.1.162.2Ingress Interface: Fa0/0/0Egress Interface: Fa0/0/1Metrics Collected:Collection timestamp: 01:26:36.114 EST Wed Mar 2 2011Octet input at Ingress (MB): 2725.193495Octet output at Egress (MB): 2330.624295Pkts rcvd with err at Ingress (pkts): 0Pkts errored at Egress (pkts): 0Pkts discarded at Ingress (pkts): 0Pkts discarded at Egress (pkts): 0Ingress i/f speed (kbps): 100000.000Egress i/f speed (mbps): 1000.000000
Hdr RQ
© 2012 Cisco and/or its affiliates. All rights reserved. 73
Cisco Expo 2012
Контроллеры WLANКоммутаторы ядра/распределения
CiscoPrime
Infrastructure
NAM-3
ИННОВАЦИЯ
Коммутаторы доступа
© 2012 Cisco and/or its affiliates. All rights reserved.
Гибкая сетевая архитектура кампусной сети
© 2012 Cisco and/or its affiliates. All rights reserved. 75
Cisco Expo 2012
Расп
реде
лен
Расп
реде
лен
иеиеД
осту
пД
осту
пЯ
дро
Ядр
о
Гибкость на операГибкость на опера--ционном уровнеционном уровне
Гибкость на Гибкость на сетевом уровнесетевом уровне
Equal Cost MultiEqual Cost Multi--PathPathEqual Cost MultiEqual Cost Multi--PathPath
UniDirectionalUniDirectional Link Link Detection Detection
UniDirectionalUniDirectional Link Link Detection Detection
BiBi--directionldirectionl Forwarding Forwarding DetectionDetection
BiBi--directionldirectionl Forwarding Forwarding DetectionDetection
Equal Cost MultiEqual Cost Multi--PathPathEqual Cost MultiEqual Cost Multi--PathPath
UniDirectionalUniDirectional Link Link Detection Detection
UniDirectionalUniDirectional Link Link Detection Detection
BiBi--directionldirectionl Forwarding Forwarding DetectionDetection
BiBi--directionldirectionl Forwarding Forwarding DetectionDetection
Equal Cost MultiEqual Cost Multi--PathPathEqual Cost MultiEqual Cost Multi--PathPath
UniDirectionalUniDirectional Link Link Detection Detection
UniDirectionalUniDirectional Link Link Detection Detection
IP Event DampeningIP Event DampeningIP Event DampeningIP Event Dampening
Гибкость на Гибкость на системном уровнесистемном уровне
Power Supply / Fan Power Supply / Fan RedundancyRedundancy
Power Supply / Fan Power Supply / Fan RedundancyRedundancy
GOLDGOLDGOLDGOLD
Smart Call HomeSmart Call HomeSmart Call HomeSmart Call Home
EEMEEMEEMEEM
OnOn--Board Failure LoggingBoard Failure LoggingOnOn--Board Failure LoggingBoard Failure Logging
GOLDGOLDGOLDGOLD
Smart Call HomeSmart Call HomeSmart Call HomeSmart Call Home
EEMEEMEEMEEM
OnOn--Board Failure LoggingBoard Failure LoggingOnOn--Board Failure LoggingBoard Failure Logging
GOLDGOLDGOLDGOLD
Smart Call HomeSmart Call HomeSmart Call HomeSmart Call Home
EEMEEMEEMEEM
OnOn--Board Failure LoggingBoard Failure LoggingOnOn--Board Failure LoggingBoard Failure Logging
MultMult--chassis chassis EtherChannelEtherChannelMultMult--chassis chassis
EtherChannelEtherChannel
NSF / SSONSF / SSONSF / SSONSF / SSO
Dual / Quad Sup Virtual Dual / Quad Sup Virtual Switching System (VSS)Switching System (VSS)Dual / Quad Sup Virtual Dual / Quad Sup Virtual Switching System (VSS)Switching System (VSS)
EFSUEFSUEFSUEFSU
EFSUEFSUEFSUEFSU
ISSUISSUISSUISSU
MultMult--chassis chassis EtherChannelEtherChannelMultMult--chassis chassis
EtherChannelEtherChannel
MultMult--chassis chassis EtherChannelEtherChannelMultMult--chassis chassis
EtherChannelEtherChannelNSF /SSONSF /SSONSF /SSONSF /SSO
StackWiseStackWise++StackWiseStackWise++
StackPowerStackPowerStackPowerStackPower
Wireless Controller HAWireless Controller HAWireless Controller HAWireless Controller HA
Supervisor RedundancySupervisor RedundancySupervisor RedundancySupervisor Redundancy
NSF / SSONSF / SSONSF / SSONSF / SSO
Power Supply / Fan Tray Power Supply / Fan Tray RedundancyRedundancy
Power Supply / Fan Tray Power Supply / Fan Tray RedundancyRedundancy
Supervisor Module Supervisor Module RedundancyRedundancy
Supervisor Module Supervisor Module RedundancyRedundancy
Dual / Quad Sup Virtual Dual / Quad Sup Virtual Switching System (VSS)Switching System (VSS)Dual / Quad Sup Virtual Dual / Quad Sup Virtual Switching System (VSS)Switching System (VSS)
© 2012 Cisco and/or its affiliates. All rights reserved. 76
Cisco Expo 2012
ГибкостьГибкостьУпрощение управленияУпрощение управленияМасштабируемостьМасштабируемость
• Расширение сетевого доступа в рамках одного логического устройства
• Высокопроизводительное двунаправленное кольцо в стеке 64 Gbps
• Одна логическая единица для управления 9 коммутаторами, 450 портами
• Архитектура с централизованным контролем и управлением
• Уменьшение кол-ваVLAN’ов/подсетей
• 9-ти кратное упрощение эксплуатации
• Гибкая и распределенная архитектура коммутации
• Единая сеть• Эксплуатация сети без
прерывания сервисов коммутации
VSLSiSi SiSi
© 2012 Cisco and/or its affiliates. All rights reserved. 77
Cisco Expo 2012
• Все источники питания в стеке формируют общий бюджет по питанию независимо от мощности, типа AC/DC и местоположения
• Режим резервирования обеспечивает1+n защиту от отказа наиболее мощного ИП в стеке, выделяя его мощность в специальный резервный бюджет
• Оставшийся бюджет распределяется между потребителями питания: коммутаторами и PoE-устройствами
• В случае отказа линии питания, выхода из строя или замены ИП, недостаток мощности компенсируется из резервного бюджета, обеспечивая непрерывность бизнес-процессов и коммуникаций
Общийбюджет
2865 Вт
Выделениебюджетапитания
Резерв1100 Вт
350 Вт
715W
350 Вт
1100 Вт
350 Вт
ОтказИП
ОтказИП
Более детальная информация: Calculating Power for Cisco StackPower
© 2012 Cisco and/or its affiliates. All rights reserved. 78
Cisco Expo 2012
VSSVSS--дизайндизайн
• Упрощенная эксплуатация системы
• Единое логическое сетевое устройство
• Упрощенная и отказоустойчивая сетевая топология
VSSVSS--дизайндизайн
• Оптимизированный сетевой дизайн
• Удвоение пропускной способности коммутации
• Оптимизированная производительность приложений и сети
Традиционный дизайнТрадиционный дизайн
• Комплексный сетевой дизайн и эксплуатация
• Неполное использование сетевых ресурсов
• Неоптимальная производительность приложений и сети
Оптимизация Оптимизация сетисети
Упрощение Упрощение эксплуатацииэксплуатации
© 2012 Cisco and/or its affiliates. All rights reserved. 79
Cisco Expo 2012
Проблемы отдельных устройствПроблемы отдельных устройств
STP LoopFHRPFHRP TuningsPIM DR PriorityPIM TuningsProtocol Dependent ScaleUnicast FloodingAsymmetric forwardingL2 HardeningNetwork/System Redundancy TradeoffProtocol Dependent RecoveryCAM/ARP TuningsOSPF LSA/SPF TuningControl/Mgmt/Forwarding Complexities
Решения при помощи Решения при помощи VSSVSS
Scale-independent RecoveryNetwork/System Level Redundancy
Hardware Dependent RecoveryIncrease Unicast CapacityIncrease Multicast CapacitySimplified Network TopologiesControl-plane SimplicityOperational SimplicityL2-L4 Load SharingFlat L2 NetworkNo Loss of Functionality
SPANInterface CountersQoSMPLS
6500E – Sup2T4500E – Sup7E / Sup7LE (Shipping Q1CY2013)4500X – (Shipping Q1CY2013)
© 2012 Cisco and/or its affiliates. All rights reserved. 80
Cisco Expo 2012
Коммутатор 1(Отдельная конфигурация)
! Enable 802.1d per VLAN spanning tree enhancements.spanning-tree mode pvstspanning-tree loopguard defaultno spanning-tree optimize bpdu transmissionspanning-tree extend system-idspanning-tree uplinkfastspanning-tree backbonefastspanning-tree vlan 2,4,6,8,10 priority 24576!
! Define the Layer 3 SVI for each voice and data VLANinterface Vlan4description Data VLANip address 10.120.4.3 255.255.255.0no ip redirectsno ip unreachables! Reduce PIM query interval to 250 msecip pim query-interval 250 msecip pim sparse-modeload-interval 30! Define HSRP default gateway with 250/800 msechello/holdstandby 1 ip 10.120.4.1standby 1 timers msec 250 msec 800! Set preempt delay large enough to allow network to stabilize before HSRP! switches back on power on or link recoverystandby 1 preempt delay minimum 180! Enable HSRP authenticationstandby 1 authentication cisco12
VSS (Единая упрощенная конфигурация)
! Enable 802.1d per VLAN spanning tree enhancements spanning-tree mode rapid-pvstno spanning-tree optimize bpdu transmission spanning-tree extend system-id spanning-tree vlan 2-11 priority 24576
! Define the Layer 3 SVI for each voice and data VLANinterface Vlan4description Data VLANip address 10.120.2.1 255.255.255.0 no ip redirects no ip unreachablesip pim sparse-mode load-interval 30
Коммутатор 2(Отдельная конфигурация)
! Enable 802.1d per VLAN spanning tree enhancements.spanning-tree mode pvstspanning-tree loopguard defaultno spanning-tree optimize bpdu transmissionspanning-tree extend system-idspanning-tree uplinkfastspanning-tree backbonefastspanning-tree vlan 3,5,7,9,11 priority 24576!
! Define the Layer 3 SVI for each voice and data VLANinterface Vlan4description Data VLANip address 10.120.4.3 255.255.255.0no ip redirectsno ip unreachables! Reduce PIM query interval to 250 msecip pim query-interval 250 msecip pim sparse-modeload-interval 30! Define HSRP default gateway with 250/800 msechello/holdstandby 1 ip 10.120.4.1standby 1 timers msec 250 msec 800! Set preempt delay large enough to allow network to stabilize before HSRP! switches back on power on or link recoverystandby 1 preempt delay minimum 180! Enable HSRP authenticationstandby 1 authentication cisco123
Конфигурация Spanning Tree
Конфигурация L3 SVI (пример для одного VLAN)
© 2012 Cisco and/or its affiliates. All rights reserved. 81
Cisco Expo 2012
VSS Quad SUP SSOVSS Quad SUP SSO
10GE
Si Si
LACP or PagP LACP
MonitoringServer
Access Switch orToR or Blades
ТрадиционныйТрадиционный VSSVSS
10GE
Si Si
LACP or PagP LACP
MonitoringServer
Access Switch orToR or Blades
Упрощенный сетевой дизайн• Исключение протоколов Spanning Tree и
First-Hop redundancy• Единая точка управления
Удвоение эффективной пропускной
способности• Active-Active
Multichassis EtherChannel (LACP/ PagP)
• Отказоустойчивость супервизоров 1+1 для двух VSS-устройств
Эффективное и автоматическое восстановление
• Увеличение сетевой пропускной способности с VSS Quad Sup SSO
• Отказоустойчивость супервизоров 1:1 (active/standby) в рамках одного устройства и для двух VSS-устройств
SSO SyncSSO Sync SSO SyncSSO Sync
SS
O S
ync
SS
O S
ync
SS
O S
ync
SS
O S
ync
© 2012 Cisco and/or its affiliates. All rights reserved. 82
Cisco Expo 2012
VSL
SSO Sync
VSS ActiveVSS Hot StandbyVSS Active
VSS In-chassisHot Standby
VSS In-chassisHot Standby
SSOSync
SSOSync
VSS Hot Standby
Эффективное и автоматическое Sub-second восстановление
Доступность в релизе 1H2013
© 2012 Cisco and/or its affiliates. All rights reserved. 83
Cisco Expo 2012
РаспределениеРаспределение / / ядроядро
• eFSU обеспечивает апгрейд ПО для двух шасси в режиме реального времени
• Защита сетевых сервисов и доступность с резервированием маршрутов на уровне доступа
• Влияние на сеть ~1 сек для всего процесса апгрейда
VSL
ДоступДоступ
• Dual-Supervisor требует устройчивости ПО
• ISSU обеспечивает апгрейд ПО в рамках одного шасси в режиме реального времени
• Защита сетевых сервисов и ресурсов, доступность для проводных и беспроводных оконечных устройств
eFSU
Mismatch IOSVersion During
Software Upgrade
ISSU
4500E 6500E
© 2012 Cisco and/or its affiliates. All rights reserved. 84
Cisco Expo 2012
• Масштабируемость и / или конвергенция ядра сети может быть не столь эффективна с использованием только OSPF или EIGRP
• Большое кол-во крупных предприятий используют BGP (& MPLS) для обычной маршрутизации иtraffic engineering
• Правила BGP для определения “лучшего маршрута” и его изменений! PIC позволяет предопределить “резервный маршрут” для BGP!
Convergence withBGP PIC & BFD
50-150 milliseconds
Convergence w/oBGP PIC & BFD30-90 seconds
BFD provides sub-second BGPlink state updates
BGP relies on >1 second hello’s & then updates each prefix
OSPF 1
AS65202
10-20K Routes
OSPF 1
AS65203
10-20K Routes
OSPF 1
AS65201
10-20K Routes
AS65100
Best Path
Back Up
Best Path Back Up
AS65100
OSPF 1
AS65204
10-20K Routes
© 2012 Cisco and/or its affiliates. All rights reserved.
Построение архитектуры унифицированного доступа кампусной сети -ЗАКЛЮЧЕНИЕ
© 2012 Cisco and/or its affiliates. All rights reserved. 86
Cisco Expo 2012
Dis
tribu
tion
Dis
tribu
tion
Acc
ess
Acc
ess
Cor
eC
ore
Security Group Security Group AccessAccess
Simple, smart Simple, smart segmentationsegmentation
Device SensorDevice SensorInsight into what is on Insight into what is on
the networkthe network
EVNEVNSimplify network Simplify network
virtualizationvirtualization
What You What You Need to Need to DeployDeploy
Flexible NetFlow Flexible NetFlow Unprecedented Unprecedented
network Visibilitynetwork Visibility
MedianetMedianetMakes high quality Makes high quality
Coll5aboration / Video Coll5aboration / Video plug ‘plug ‘nn play easyplay easy
Smart Install Smart Install ZeroZero--touch touch
deploymentsdeployments
Auto Auto SmartportsSmartportsAutomate BYOD and Automate BYOD and
CollaborationCollaboration
EEMEEMAutomate your networkAutomate your network
Quad Sup VSS Quad Sup VSS SSO SSO
99.999% uptime99.999% uptime
StackWiseStackWise+ / + / StackPowerStackPower
Unparalleled stackable Unparalleled stackable uptimeuptime
ISSU / EFSUISSU / EFSUGuarantees Guarantees availability availability
ResilienceResilience TrustSecTrustSec
SmartSmartOperationsOperations
Application Visibility Application Visibility and Controland Control
87© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Expo 2012
© 2012 Cisco and/or its affiliates. All rights reserved. 88
Cisco Expo 2012
40 Gbps with Two Level Shaping
SupportHD Video
40 Gbps with Two Level Shaping
SupportHD Video
DC BlockBorderless Campus
WiSM2 as MC/MTEWiSM2 as MC/MTE
Firewall: ASA. Per VLAN, VRF PoliciesFirewall: ASA. Per
VLAN, VRF Policies
802.1x EAP User
Authentication
Campus Backbone
Profiling to Identify Device
Posture of the Device
VLAN 10 VLAN 20
Internet Only
PolicyDecision
TroubleshootData, Voice and Video with FnF, NAM, Egress
NetFlow
TroubleshootData, Voice and Video with FnF, NAM, Egress
NetFlowPolicy
Decision
Full or Partial Access Granted
Corporate Servers
VDI Infra
Guest Servers
VLAN 30
SXP Session
SGT SGT SGT SGT
EVN Per VLAN/VRF Policies:Path Isolation
EVN Per VLAN/VRF Policies:Path Isolation
L3VPN over mGRE VRFs Across Sites
L3VPN over mGRE VRFs Across Sites
BGP PICFast
Convergence
BGP PICFast
Convergence
SGACL Enforcement
Monitor SGACL Dropped Traffic
SGACL Enforcement
Monitor SGACL Dropped Traffic
NAM-315+Gbps
Traffic Monitoring
NAM-315+Gbps
Traffic Monitoring
Medianet 2.2 Performance Monitoring Mediatrace
Medianet 2.2 Performance Monitoring Mediatrace
SmartInstallDirector
SmartInstallDirector
Employee Personal
Asset
Company Asset
Guest Personal
Asset
WiSM2 as Mobility Coordinator
Identity Service Engine
1
32
4
4
5
© 2012 Cisco and/or its affiliates. All rights reserved. 89
Cisco Expo 2012
Операционная система для сетевых устройствОперационная система для сетевых устройств: : IOS 15.0IOS 15.0Рекомендованные дизайны Рекомендованные дизайны Cisco Cisco для внедрений в корпоративных сетяхдля внедрений в корпоративных сетях
ISE
Cisco Prime NCS
Cisco Catalyst 4500E, Cisco Catalyst 3750-X
End-to-End
IOS 15.0 ASR1000
Cloud ISR
WISM2ASA-SM
NAM-3
Cisco Catalyst 6500 VSS 4T
• Flexible NetFlow• Medianet 2.2
Services
• Microflow policing• NBAR2 with NAM-3• AVC with WISM-2
Application Application Visibility and Visibility and ControlControl
• SGT / SGACL• MACsec• NDAC
• CoPP• EVN / VRF-Lite• VPLS / A-VPLSTrustsecTrustsec
• Smart Install• Virtual Switching
System
• Embedded Event Manager (EEM)
• GOLD• Cisco Prime
Smart Smart OperationsOperations
• Quad Sup VSS SSO
• EFSU
• NSF / SSO• Multicast HA• BGP PICResiliencyResiliency
© 2012 Cisco and/or its affiliates. All rights reserved. 90
Cisco Expo 2012
Портфолио 2Tобеспечивает 4-кратное
увеличение соотношения производительность /
стоимость и дальнейшее развитие платформы до
2020 года
Портфолио SUP 2T на базе IOS обеспечивает
интегрированные сервисы для внедрения
в сетях без границ и ЦОД
SUP 2T оптимизирует производительность с
увеличением количества сервисов, обеспечивая
пути миграции на 10G/40Gи 100G
Инновации SUP 2Tнаправлены на ключевые
тренды корпоративных сетей следующего
поколения с сохранением инвестиций
СнижениеСнижение TCOTCO
ОсобенностиОсобенности
МиграцияМиграция
ИнновацииИнновации
Cisco Catalyst 6500 E-Series
© 2012 Cisco and/or its affiliates. All rights reserved. 91
Cisco Expo 2012
Представляем новое Мобильное приложение i6KНовое приложение, доступное для iPad и iPhone, предоставляет возможности для быстрой конфигурирации и составления спецификаций Catalyst 6500.
Скачайте Мобильное приложение i6K прямо сейчас!
Посетите http://ciscosell.fonemine.com для инсталляции приложения непосредственно на ваше устройство iOS или Android.
Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!
Спасибо за внимание!