Уровни ядра и распределения ЛВС следующего поколения....

Cisco Confidential© 2012 Cisco and/or its affiliates. All rights reserved. 1

Cisco Expo 2012

Уровни ядра и распределения ЛВС следующего поколения. Обзор линейки коммутаторов Cisco Catalyst для построения уровней ядра и распределения.

Scott Hodgdon

Technical Marketing Engineer

© 2012 Cisco and/or its affiliates. All rights reserved. 2

Cisco Expo 2012

Расп

реде

лРа

спре

дел

ение

ение

Дос

туп

Дос

туп

Ядр

оЯ

дро Как Как

управлять управлять этим на этим на уровне уровне

предприятияпредприятия??

Как Как обеспечить обеспечить

мониторинг на мониторинг на уровне уровне

предприятияпредприятия??


эффективную эффективную работу работу

приложений приложений для для

пользователейпользователей??

Вопросы и задачи


безопасность безопасность на уровне на уровне

устройствустройств??

Как построить Как построить масштабируемую масштабируемую и безопасную сеть и безопасную сеть для проводных и для проводных и

беспроводных беспроводных устройствустройств и и обеспечить обеспечить поддержку поддержку трендовтрендов??

Как обеспечить Как обеспечить использование использование корпоративных корпоративных

и личных и личных устройств устройств

сотрудников в сотрудников в сетисети??

Какие сервисы Какие сервисы необходимы для необходимы для

поддержки поддержки инфраструктурыинфраструктуры

??

3© 2011 Cisco and/or its affiliates. All rights reserved.

Cisco Expo 2012


Cisco Expo 2012

Catalyst 6500 Sup2T

Ядро

Catalyst 6500 Sup 2T

Распределение

Catalyst 4K / 3K

Доступ

Корпоративная Корпоративная сетьсеть

Инвестиции в платформы и их развитие будут соответствовать их позиционированию

Инвестиции в платформы и их развитие будут соответствовать их позиционированию

ЦОДЦОД

Nexus 7000

Ядро

Nexus 7000

Распределение

Nexus 5000/2000

Доступ

Cisco Catalyst Cisco Catalyst илиили NexusNexus??

Mobility/BYOD

Security

Video Workload Mobility VMVM

10G/Virtualizatio

n

EnergyEfficiency


Cisco Expo 2012

Корпоративная сетьКорпоративная сетьСемейство Catalyst - IOS

Контроль доступа / Сегментация802.1X / Easy Virtual Networks (EVN)

Интеллектуальное видеоMedianet

Конвергенция сетей wired и wirelessWireless Controller Integration

Идентификация приложенийFlexible NetFlow, NAM-3 (NBAR2)

Питание через EthernetUPOE, EnergyWise

ЦОД ЦОД / / ОблакоОблакоСемейство Nexus – NX-OS

Облачная безопасность и VMNexus 1000v, VSG, ASA, 1000v

Мобильность VM (виртуальных машин)LISP, VXLAN, OTV

Конвергенция сетей LAN / SANUnified Ports, FCoE

Масштабируемость и гибкость FabricFabricPath, vPC, Wire Speed 10/40/100G

Консолидация ЦОДVDC, FEX, DCNM

Требования и пожелания заказчиков диктуют выбор платформы

Требования и пожелания заказчиков диктуют выбор платформы


Cisco Expo 2012

ФункциональностьФункциональностьФункциональностьФункциональность

Мас

шта

биру

емос

тьМ

асш

таби

руем

ость

Мас

шта

биру

емос

тьМ

асш

таби

руем

ость

Компактные 1 RUустройства для

агрегации 1/10GE

Фиксированные коммутаторы

агрегации 10G

Cisco Catalyst Cisco Catalyst 45004500--XX

Базовый функционал при более низкой цене

Базовый набор функций для

ядра/распределения

Collapsed Access

Cisco Catalyst Cisco Catalyst 45004500--EE

Ведущая в отрасли платформа для ядра/распределения кампусной сети

Полный набор функций для сетей без границ

Высокая производительность и масштабируемость

Снижение TCO

Ведущая платформа для Ведущая платформа для VideoVideo, , CloudCloud ии BYODBYOD

Ведущая платформа для Ведущая платформа для VideoVideo, , CloudCloud ии BYODBYOD

Cisco Catalyst 6500Cisco Catalyst 6500 ссSUP2TSUP2T


Cisco Expo 2012

Цена /Производительность

Виртуализация, Smart Operations и Change

Management

Платформа ссетевыми сервисами

для Унифицированного

доступа

Next-Gen Ethernet в корпоративных сетях

1G » 10G » 40G » 100G

Инновации с сохранением инвестиций

СнижениеСнижение TCOTCO

ОсобенностиОсобенности

МиграцияМиграция

ИнновацииИнновации

Cisco Catalyst 6500 E-Series


Cisco Expo 2012

Инвестиции в развитие Sup2TСравните с инвестициями ($150M) Tesla Motor для

создания первого спортивного автомобиля на электричестве

$200+ Million

$200+ MillionИнвестиции в ближайшие 3 года

Богатые сетевые сервисы, эволюция Ethernet, снижение TCO, сохранение инвестиций

750 000+ поставленных шасси1,2 млн поставленных супервизоров110 млн портов45 000+ заказчиков Catalyst 6500

Сов

окуп

ный

дохо

д ($

B)

0

5

10

15

20

25

30

35

40

45

Cisco Catalyst 6500

Brocade HP (A7500 and

A9500)

Juniper (EX8200)

Лидирующая платформа в Лидирующая платформа в индустрии (модульные индустрии (модульные

коммутаторы)коммутаторы)


Cisco Expo 2012

Sup2T

Сервисные модулиСервисные модули ––Sup2TSup2T ии Sup720Sup720--10G10G

WiSM2

NAM-3

ASA-SM

Медь и Оптика Медь и Оптика 1GbE1GbE –– Sup2TSup2T

Fiber

High-Perf. Access

6824

6848

6848

614845AT

Copper Access

Оптика Оптика 40 40 GbEGbE –– Sup2TSup2T

6904FourX LR4SR4

Медь и Оптика Медь и Оптика 10GbE10GbE –– Sup2TSup2T

40G/слот

80G/слот

6816 6816

69086904

Sup720-10G

6716 6716

6704 6708

Медь и Оптика Медь и Оптика 10 10 GbEGbE 40G40G//слотслотдля для Sup720Sup720--10G10G

Fiber6724

6748

High-PerfAccess. 6748

614845AT

Copper Access

Медь и Оптика Медь и Оптика 1 1 GbEGbE длядля Sup720Sup720--10G10G


Cisco Expo 2012

Инсталлированная база Sup2T

1616 000 000 поставленных поставленных Supervisor Supervisor 2T2T1616 000 000 поставленных поставленных Supervisor Supervisor 2T2T

22 300300+ + заказчиков заказчиков Supervisor Supervisor 2T2T22 300300+ + заказчиков заказчиков Supervisor Supervisor 2T2T

150150 000000+ + 10G10G портовпортов150150 000000+ + 10G10G портовпортов

Первый модульный коммутатор с Первый модульный коммутатор с поддержкойподдержкой 40G40G

Первый модульный коммутатор с Первый модульный коммутатор с поддержкойподдержкой 40G40G

Backbone Backbone для внедрений и сетейдля внедрений и сетей Cisco Cisco ((InteropInterop, Cisco Live, Olympics, DNC / RNC), Cisco Live, Olympics, DNC / RNC)

Backbone Backbone для внедрений и сетейдля внедрений и сетей Cisco Cisco ((InteropInterop, Cisco Live, Olympics, DNC / RNC), Cisco Live, Olympics, DNC / RNC)


Cisco Expo 2012

ВЫДЕЛЕНЫ основные функции для поддержки BYOD, Collaboration и Video

SUP720SUP720 SUP2TSUP2TL2 MAC Table 96K 128K

Bridge Domains 4K 16K

SGT / SGACL – Yes

VNET Trunk (EVN) – Yes

40G Interfaces – Yes

System Bandwidth 720 Gbps 2 Tbps

L3 Interfaces 4K 128K

NetFlow Table 128K/256K 512K/1M

Flexible NetFlow – Yes

Hitless ACL Updates 32K Yes

Medianet 2.2 – Yes

VPLS / A-VPLS Requires WAN Module

Yes (no WANmodule)

VSS Quad Sup SSO – Yes

Новые возможности Новые возможности Sup2TSup2T

4Xмасштабируемость

3Xпроизводительность

Cisco Prime

Новая PFC4 с увеличенной производительностью и масштабируемостью, новыми аппаратными функциями

USB-BasedConsole Support

Connectivity Management Processor(CMP)

Новая MSFC5 с поддержкой Dual Core CPU и единого IOS Image

Улучшенная Switch Fabric, обеспечивающая 80G/слот


Cisco Expo 2012

Серия Серия 6900 6900 сс DFC4DFC4 Серия Серия 6800 6800 сс DFC4DFC4

• 40G/слот с интегрированной DFC4• 24 и 48 оптических портов 1GbE• 48 медных портов 10/100/1000• 16 портов 10GbE (оптика) и 10GBASE-T • Доступны стандартные и XL модели

• Неблокируемая коммутация 80G/слот• MACsec на скорости работы порта• Virtual switching link (VSL)• Большие пакетные буферы (256

MB/port)• X2 трансиверы или SFP+ с адаптером• Доступны стандартные и XL модели• Готовность к использованию LISP

Производительность системы с распределенной коммутацией,

сравнимая по цене с централизованной коммутацией

Удвоенная производительность системы с распределенной

коммутацией

CFP-40G-SR4FourX

CFP-40G-LR4


Cisco Expo 2012

Сни

жен

а С

ниж

ена

цена

цена

WSWS--X6816X6816--10G10G--2T2T

Дос

тупн

ыД

осту

пны

WSWS--X6904X6904--40G40G--2T2TWSWS--X6908X6908--10G10G--2T2T

Плотность портов 88 10GE

Трансиверы: X2, SFP+

Пропускная способность: 80 Gbps

Функциональность:

Полный набор функций L2/L3с поддержкой MPLS, VPLS.

возможностей IPv4/IPv6, 1M+ IPv4 маршрутов, 1M NetFlow

Дополнительная аппаратная функциональность:

Большие буферы, SGT, MACsec, LISP*

Идеальны для: Уровни распределения и ядра корпоративной сети

176 10GE

X2, SFP+

40 Gbps



Уровень ядра корпоративной сети

170 10GE/44 40GE

CFP, SFP+

80 Gbps



Гибкость 10G, SGT, MACsec, LISP*, Campus

FEX*, TRILL*

Уровни распределения и ядра корпоративной сети


Cisco Expo 2012

Sup2TSup2T

Поддерживаются

Специальная программа TMP для апгрейда

WS-F6K-DFC4-E

WS-F6K-DFC4-A

6148E, 6148A, 6148-SFP, 6196

NAM/-1/2/3, ACE20/30, WiSM-1/2FWSM, ASA-SM

Не поддерживаются (Используйте Sup720-10G или ASR для WAN)

Не поддерживаются(Используйте ASA-SM для IPSEC VPN)

Sup720Sup720

6704, 6724, 6748 с CFC

Оптика 6708-10G

6716-10G/10T с DFC3

6704, 6724, 6748 с DFC3

Серия 61xx

Сервисные модули

Модули WAN

VPN SPA


Cisco Expo 2012

WiSM следующего поколения : WiSM-2

NAM следующего поколения: NAM-3

Межсетевой экранследующего поколения: ASA-SM

Производительность мониторинга До 15 Gbps

Capture на внешнее устройство До 5 Gbps

Глубокий анализ пакетов Поддержка NBAR-2

HW Filters/Packet Captures Быстрый поиск неисправностей

64 Gbps Производительность системы16 Gbps Производительность одного модуля

10000000 Кол-во одновременных сессий300000 Кол-во соединений в секунду

250 Security-контекстов1000 VLAN’ов

NE

WN

EW

Интегрированное управление сетями Интегрированное управление сетями Wired Wired и и WirelessWireless

Производительность 20 GbpsКол-во точек доступа 500–1000

Кол-во клиентов 15000Мобильность, размер домена До 18000 точек доступа

Глубокий анализ пакетов AVC

NE

WN

EW

NE

WN

EW

РасширенныйРасширенный мониторинг приложениймониторинг приложений

Надежная интегрированная безопасностьНадежная интегрированная безопасность

OS и функциональный

паритет с ASA

OS и функциональный

паритет с ASA


Cisco Expo 2012

Вы

сока

я В

ысо

кая

плот

ност

ьпл

отно

сть

Низ

кая

Низ

кая

плот

ност

ьпл

отно

сть

1G 10G

4503-E

4507R+E

4510R+E

4506-E

WS-X4624-SFP-E Supervisor Engine 7-E• Пропускная способность

848 Gbps• 4 x SFP+/SFP uplinks• 100 10G SFP+

WS-X4612-SFP-E WS-X4606-X2-E

Supervisor Engine 7L-E• Пропускная способность

520 Gbps• 2 x 10G SFP+/SFP uplink • 62 10G SFP+

WS-X4712-SFP+E

• SFP+/SFP

Оптические линейные карты

БазоваяБазовая BackboneBackbone--функциональность ифункциональность и Collapsed AccessCollapsed Access


Cisco Expo 2012

Cisco Catalyst 4500Cisco Catalyst 4500--X: X: 10G10G--агрегацияагрегация

32 и 40 10/1 GbE портов

16 и 24 10/1 GbE портов

Cisco Catalyst 3750X: Cisco Catalyst 3750X: 1G1G--агрегацияагрегация

12 и 24 портов 1GbE Uplink-модули

Ключевые особенностиКлючевые особенности

• 1RU с отказоустойчивыми ИП/вентиляторами

• Стекируемые с моделями 3750-X с медными портами

• Сервисные модули с 2 портами 10G дляuplink и flexible NetFlow

• Шифрование MACsec

Ключевые особенностиКлючевые особенности• 1RU с отказоустойчивыми ИП/вентиляторами• Большие пакетные буферы и размеры таблиц• Готовность в поддержке VSS: W1 CY13• Поддержка расширенной функциональности

безопасности и QoS• Полная поддержка IPV4/IPV6 unicast/multicast• Оптимизация для поддержки video/medianet• Упрощенное управление и эксплуатация• Готовность к поддержке TrustSec


Cisco Expo 2012

WS-C4500X-32SFP+ WS-C4500X-F-32SFP+WS-C4500X-40X-ES

IP BaseВентиляция Front to Back

Enterprise Services с 8-портовым Uplink Вентиляция Front to Back IP Base

Вентиляция Back to Front

8-портовый 10GEUplink-модуль

C4KX-NM-8SFP+$8,000

Вентилятор с возможностью горячей замены

$250(Front-to-Back: Red,Back-to-Front: Blue)

750 Вт модульный источник питания DC

$3,000

750 Вт модульный источник питания AC

$2,000

WS-C4500X-16SFP+ WS-C4500X-F-16SFP+WS-C4500X-24X-ES


Cisco Expo 2012

Серия Cisco ASR-1000

Серия Cisco Catalyst 6500

Серия Cisco Catalyst 4500

Серия Cisco Catalyst 3x00

Серия Cisco ISR

IOS Feature SetsIOS Feature SetsMulticast

VPN

IP SLA

IPv6

SW License

Ethernet Services

Routing

Broadband

MPLS

Switching

Web Services

AAA

Mobile Transport

NBAR

HA

802.1X

QoS

SNMP

Embedded Mgmt.

Policy

Использование единого кода

Улучшенное управление Расширенная функциональность для

всех платформ

Стандартизированные релизы для всех

платформ


Cisco Expo 2012

Bundle Description List Price Bundle List Price Savings

VS-C6503E-SUP2T 6503E Chassis, Sup2T, Fan Tray, IP Services Image


VS-C6506E-SUP2T 6506EChassis,Sup2T, Fan Tray, IP Services Image


VS-C6509VE-SUP2T6509VE Chassis, Sup2T, Fan Tray, Cable Chassis Management, IP Services Image


СНИЖЕНИЕ ЦЕНЫ ДО 24%


Cisco Expo 2012


Cisco Expo 2012

Упрощенное управлениеУпрощенное управление

• Управляется как единая сущность с интеграцией backplane

• Интегрированные возможности по работе с приложениями, анализом трафика и устранением проблем с производительностью

• Удаленный мониторинг с RSPAN/ERSPAN

Увеличенная масштабируемостьУвеличенная масштабируемость

• Виртуальные контексты для поддержки виртуализации BYOD

• Сервисные модули соответствуют последним спецификациям и версиям ПО их аналогов на отдельных шасси (appliance)

Снижение совокупной стоимости Снижение совокупной стоимости владения (владения (TCOTCO))

• Снижение кол-ва управляемых устройств в сети

• Не требуются внешние коннекторы

• Улучшенное управление питанием

• Снижение занимаемого места в стойке


Cisco Expo 2012

• Идентификация и мониторинг приложений

От филиалов до ЦОДовПолный жизненный цикл доставки приложений – мониторинг, поиск и устранение несправностей, контроль и оптимизация

• Может выполнять роль коллектора для Flexible NetFlow

• Сервисный анализ сетевых потоков и потоков приложений

• Анализ пакетов на уровне приложений (L7) с использованием NBAR-2*

• Wireless CAPWAP Decode

• Управление при помощи Cisco Prime


Cisco Expo 2012

Единое устройство для поддержки проводных и беспроводных

сервисов

Status LEDsSerial & USB Console Ports

Dedicated 12-Core Control Processor

20 Gb Backplane Channel

Dedicated 12-Core Data Processor

Снижение операционных расходов

• Масштабируемость1000 точек доступа15 000 клиентов

• Централизованная поддержкаОдновременный Upgrade точек доступаПоиск и устранение несправностей

• Мобильность36,000 точек доступа в Mobility DomainFast Roaming

• ПроизводительностьПропускная способность 10 Gbps

• Новая функциональностьApplication Visibility and Control (AVC)NetFlow v9Поддержка BonjourNMSP Location ServicesStateful AP failover в режиме VSS

ISEISE

PRIMEPRIME


Cisco Expo 2012

Room 203

printer-203

atv-203

Room 201

printer-201

atv-201

ID: JohnRole: StudentLocation: room201

Какие сервисы я могу использовать?

printer-201atv-201

What services can I use?

printer-201

Bonjour

Catalyst 6500w/WiSM-2

Catalyst 6500w/WiSM-2

Catalyst 6500w/WISM-2

AccessSwitch 1

AccessSwitch 2

AccessSwitch 3

AccessSwitch 4

CoreSwitch

AP

*Q4 CY2012

ID: AdamRole: FacultyLocation: room201


Cisco Expo 2012

Security Service Processors• Multi-services capable• Dedicated 64-bit multicore processors• Future-proof hardware

Multigigabit Fabriс• Chassis backplane• Virtualized interfaces• Module-to-module

communications

Dual-Crypto Accelerators• Hardware processing• Accelerated Virtual Private

Networking and Unified Communications encryption

Multiple Contexts (250)• High capacity• Memory for handling high

session counts• 24 GB of memory

NAT64, VPN Site-to-Site Services*

*Roadmap


Cisco Expo 2012

ПОТРЕБНОСТИ БИЗНЕСАПОТРЕБНОСТИ БИЗНЕСА•• ОбразованиеОбразование•• 13 600 13 600 преподавателей и сотрудниковпреподавателей и сотрудников, 50 000 , 50 000 студентовстудентов

ПРОБЛЕМАТИКАПРОБЛЕМАТИКА•• Недостаток ресурсов сетиНедостаток ресурсов сети•• Увеличение колУвеличение кол--ва межсетевых экранов в подразделенияхва межсетевых экранов в подразделениях•• Разделение видео и остальной сетиРазделение видео и остальной сети

РЕШЕНИЕ РЕШЕНИЕ CISCOCISCO•• Виртуализированное решение с использованиемВиртуализированное решение с использованием MPLSMPLS на базена базе

Cisco Catalyst Cisco Catalyst 6500, 6500, FWSMFWSM, WISM, WISM--22

ПРЕИМУЩЕСТВАПРЕИМУЩЕСТВА•• Улучшена безопасность с централизированным межсетевым Улучшена безопасность с централизированным межсетевым

экраномэкраном•• 150 150 межсетевых экранов замененымежсетевых экранов заменены однимодним FWSMFWSM•• Расширение сети с использованиемРасширение сети с использованием VRF multicastVRF multicast•• Гибкая доставка приложений независимо от местоположенияГибкая доставка приложений независимо от местоположения

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/case_study_c36-609342.htmlNetwork World WISM http://www.networkworld.com/newsletters/wireless/2006/0327wireless2.html


Cisco Expo 2012

ДОДО ПОСЛЕПОСЛЕ

FacultyVirtual Firewall

Большому колБольшому кол--вуву факультетовфакультетов//подразделенийподразделений UBCUBC требоваласьтребоваласьЕдиная и полностью Единая и полностью оотказоустойчивая тказоустойчивая система межсетевого система межсетевого

экранированияэкранирования для подсетейдля подсетей и и VLANVLAN’’овов


Cisco Expo 2012

Protected Corporate resources

Campus Block

Internet

Visitor Conference

room

Employee Telepresence

room

Access

Catalyst 6500w/ASA-SM

Campus Core

Network Edge Authentication Topology

Как расширить безопасность за

пределами сети ?

ACL Atomic Commit

Как избежать потерь трафика во время

модификации ACLs ?

Integrated Firewall Module

Как реализовать возможности DPI и

stateful connections ?

Control Plane Policing (CoPP) / HWRL

Как отделить CPU от трафика “тяжелых”

приложений?

Access

Catalyst 6500w/ASA-SM

ASA ClusteringКак масштабировать межсетевой экран в

сети ?


Cisco Expo 2012

Доверенные устройства

КОНТРОЛЬ ДОСТУПА ИЗОЛЯЦИЯ МАРШРУТА

Недоверенные устройства

ASA-SM Firewall IPS Services in

Backbone

SSID → Identity → Device Sensor → VLAN X → VRF X → Firewall Context X

Устройствам BYOD нужен такой же доступ, как и

корпоративным устройствамНеобходим более глубокий

анализ для устройств BYOD

Устройства BYOD не получают обязательных

обновлений безопасности и антивирусов

Изоляция маршрута в сети для IPS или ASA-SM для соответствия политикам

HIPAA, PCI, FISMA

WISM2 ASA-SMNAM-3

Cisco Catalyst 6500 VSS 4T

SSID → Identity → Device Sensor → VLAN Y → VRF Y → Firewall Context Y

© 2012 Cisco and/or its affiliates. All rights reserved.

Построение архитектуры унифицированного доступа кампусной сети


Cisco Expo 2012

Расп

реде

лРа

спре

дел

ение

ение

Дос

туп

Дос

туп

Ядр

оЯ

дро

TRUSTSECTRUSTSECЧто мне Что мне

необходимонеобходимо??

APPLICATION APPLICATION VISIBILITY VISIBILITY

AND AND CONTROLCONTROL

SMART SMART OPERATIONSOPERATIONS

((в рамках в рамках другой другой

презентациипрезентации))

RESILIENCERESILIENCE


Безопасность инфраструктуры BYODкампусной сети


Cisco Expo 2012

Dis

tribu

tion

Dis

tribu

tion

Acc

ess

Acc

ess

Cor

eC

ore

ContextContext--Based Based ControlControl

MACsecMACsecMACsecMACsec

Routed ACLRouted ACLRouted ACLRouted ACL

Security Group ACL Security Group ACL (SGACL)(SGACL)

Security Group ACL Security Group ACL (SGACL)(SGACL)

MACsecMACsecMACsecMACsec

Routed and VLAN ACLRouted and VLAN ACLRouted and VLAN ACLRouted and VLAN ACL

Security Group Tag Security Group Tag Security Group ACLSecurity Group ACLSecurity Group Tag Security Group Tag Security Group ACLSecurity Group ACL

Device SensorDevice SensorDevice SensorDevice Sensor

Port and VLAN ACLPort and VLAN ACLPort and VLAN ACLPort and VLAN ACL

Security Group Tag Security Group Tag Security Group ACLSecurity Group ACLSecurity Group Tag Security Group Tag Security Group ACLSecurity Group ACL

802.1X 802.1X Innovations:Innovations:Low Impact: Monitor Mode Low Impact: Monitor Mode

Flexible AuthenticationFlexible Authentication

802.1X 802.1X Innovations:Innovations:Low Impact: Monitor Mode Low Impact: Monitor Mode

Flexible AuthenticationFlexible Authentication

SegmentationSegmentation

Easy Virtual Network Easy Virtual Network (EVN)(EVN)


VRFVRF--LiteLiteVRFVRF--LiteLite

MPLS VPNMPLS VPNMPLS VPNMPLS VPN

Easy Virtual Easy Virtual Network Network (EVN(EVN))

Easy Virtual Easy Virtual Network Network (EVN(EVN))


MPLS VPNMPLS VPNMPLS VPNMPLS VPN

ASAASA--SM ContextsSM ContextsASAASA--SM ContextsSM Contexts




Secure Group Secure Group Access/SGTAccess/SGT

Secure Group Secure Group Access/SGTAccess/SGT

Protect Network Protect Network InfrastructureInfrastructure

TrustSec NDACTrustSec NDACTrustSec NDACTrustSec NDAC

Hardware CoPPHardware CoPPHardware CoPPHardware CoPP

Flexible NetFlowFlexible NetFlowFlexible NetFlowFlexible NetFlow

CISTCISTCISTCIST

IPv6 IPv6 FirstFirst--Hop Hop SecuritySecurityIPv6 IPv6 FirstFirst--Hop Hop SecuritySecurity





IPv6 IPv6 FirstFirst--Hop Hop SecuritySecurityIPv6 IPv6 FirstFirst--Hop Hop SecuritySecurity



ASAASA--SM, NAMSM, NAM--33ASAASA--SM, NAMSM, NAM--33


Cisco Expo 2012

СегментацияСегментация((Compliance)Compliance)

Сегментация независимо от Сегментация независимо от топологии с топологии с Secure Secure Group Group

Access Access (SGA)(SGA)

Сегментация независимо от Сегментация независимо от топологии с топологии с Secure Secure Group Group

Access Access (SGA)(SGA)

Layer 3 Layer 3 сегментация с сегментация с VRFVRF--LiteLite/Easy /Easy Virtual Networks Virtual Networks

(EVN(EVN)/)/MPLS MPLS VPNVPN

Layer 3 Layer 3 сегментация с сегментация с VRFVRF--LiteLite/Easy /Easy Virtual Networks Virtual Networks

(EVN(EVN)/)/MPLS MPLS VPNVPN

Layer 2 Layer 2 ии Layer Layer 3 3 сегментация сегментация с использованиемс использованием

сервисных модулейсервисных модулей

Layer 2 Layer 2 ии Layer Layer 3 3 сегментация сегментация с использованиемс использованием

сервисных модулейсервисных модулей

Контроль со знанием Контроль со знанием контекстовконтекстов

Контроль доступа на базе Контроль доступа на базе ролейролей сс Security Group Security Group

Tagging Tagging (SGT)(SGT)

Контроль доступа на базе Контроль доступа на базе ролейролей сс Security Group Security Group

Tagging Tagging (SGT)(SGT)

Идентификация, Идентификация, профилирование устройств спрофилирование устройств с

Device SensorDevice Sensor

Идентификация, Идентификация, профилирование устройств спрофилирование устройств с

Device SensorDevice Sensor

Гостевой доступГостевой доступ с с dACLdACL, , назначением назначением VLANVLAN

Гостевой доступГостевой доступ с с dACLdACL, , назначением назначением VLANVLAN

Аутентификация Аутентификация 802.1X802.1XАутентификация Аутентификация 802.1X802.1X

What

Where

HowWho

IDENTITY

When

Защита сетевой Защита сетевой инфраструктурыинфраструктуры

Шифрование Шифрование MACsecMACsecШифрование Шифрование MACsecMACsec

Network Device Network Device Authentication Authentication (NDAC)(NDAC)

Network Device Network Device Authentication Authentication (NDAC)(NDAC)

IPv6IPv6 FirstFirst--Hop Hop SecuritySecurityIPv6IPv6 FirstFirst--Hop Hop SecuritySecurity

Control Plane Policing Control Plane Policing (CoPP)(CoPP)Control Plane Policing Control Plane Policing (CoPP)(CoPP)

Cisco Catalyst Cisco Catalyst Integrated Integrated Security Toolkit Security Toolkit (CIST)(CIST)

Cisco Catalyst Cisco Catalyst Integrated Integrated Security Toolkit Security Toolkit (CIST)(CIST)


Cisco Expo 2012

Trusted Wi-Fi

Аутентификация

пользователя

Fingerprint-устройство

Применение

корпоративной

конфигурации

Enterprise-приложения

Автоматические политики

?

Безопасность инфраструктуры Безопасность инфраструктуры BYODBYOD кампусной сети кампусной сети Контроль со знанием контекстов и сегментацияКонтроль со знанием контекстов и сегментация


Cisco Expo 2012

Trusted Wi-Fi

Authenticate user Fingerprint device Apply corporate config Enterprise apps Automatic policies

?Trusted Wi-Fi

Применение определенных политик на базе: Типа устройства Пользователя Местоположения Приложения

What

Where

HowWho

IDENTITY

When



Cisco Expo 2012

Trusted Wi-Fi


?Trusted Wi-Fi

Apply Defined Policy Profiles Based On: Device type User Location Application

What

Where

HowWho

IDENTITY

When

Trusted Wi-Fi

Electronic Medical Records

Mobile TelePresence

Email

Instant Messenger

No Yes

Доступ: ПОЛНЫЙ

What

Where

HowWho

IDENTITY

When



Cisco Expo 2012

Trusted Wi-Fi


?Trusted Wi-Fi

Apply Defined Policy Profiles Based On: Device type User Location Application

What

Where

HowWho

IDENTITY

When

Trusted Wi-Fi


Mobile TelePresence

Email

Instant Messenger

No Yes

Access: FULL

What

Where

HowWho

IDENTITY

When

Untrusted Wi-Fi


Mobile TelePresence

Email

Instant Messenger

No Yes

Access: LIMITED

What

Where

HowWho

IDENTITY

When



Cisco Expo 2012

Функциональность Функциональность аутентификацииаутентификации

Cisco Catalyst Switch

Network Device

IP PhonesAuthorized Users

GuestsTablets

802.1X802.1X MABMAB WebAuthWebAuth

Особенности идентификацииОсобенности идентификации

Monitor Mode• Беспрепятственный доступ• Нет влияния на продуктивность• Мониторинг и получение информацииГибкая последовательность аутентификации• Единая конфигурация для всех случаев• Гибкие механизмы изменений и политик

Расширенные функцииРасширенные функции 802.1X 802.1X

Поддержка IP-телефонии и виртуальных десктопов• Single host mode• Multihost mode• Multiauth mode• Multidomain authenticationКритическая аутентификация Data/Voice• Отсутствие влияния на бизнес в случае отказа


Cisco Expo 2012

Device Sensor собирает информацию для классификации конечных устройств, на базе типа устройства, данных пользователя и его местоположения

CDPCDPLLDPLLDPDHCPDHCPMACMAC

1

2

1

2 11

DeviceDevice--AwareAware

IdentityIdentity--AwareAware

LocationLocation--AwareAware

Corp PC Doctor Office

Personal Laptop Doctor Office

Personal Laptop Patient Hotspot

Smartphone Admin Office

IP Phone N/A Office

TelePresence N/A Conf. Room


Cisco Expo 2012

Radius accounting

Radius Probe

ISE

11

11 Устройство подключается к сети

22

22 Коммутатор получает информацию с использованием CDP, LLDP, DHCP, MAC OUI

33

33 Коммутатор передаёт ISE информацию об устройстве с использованием сообщенийRADIUS Accounting

Уведомление посылается только в случае обнаружения изменения информации об устройстве

44

44 ISE анализирует данные и идентифицирует устройство с использованием библиотек

55

55

Политика (ACL, VLAN, SGT и т.д.) с ISE применяется на коммутаторе

CDPLLDP

MAC OUIDHCP


Cisco Expo 2012

All the info collected are sent via RADIUS Vendor-Specific Attribute TLV (e.g. DHCP options)

Address TypeCapabilities TypeCOS TypeDevice NameDuplex TypeExternal Port Id TypeIP Prefix TypeManagement Address TypeMTU TypeNative VLAN TypePlatform TypePort Id type…….Version TypeVTP Management Domain TypeVVID Type

Address TypeCapabilities TypeCOS TypeDevice NameDuplex TypeExternal Port Id TypeIP Prefix TypeManagement Address TypeMTU TypeNative VLAN TypePlatform TypePort Id type…….Version TypeVTP Management Domain TypeVVID Type

CDPCDPCDPCDP

All Subnets LocalARP Cache TimeoutAuthenticationAutoconfiguration…….Client Identifier…….Vendor Identifying Vendor ClassVendor Identifying Vendor-Specific OptionsVendor Encapsulated Options

All Subnets LocalARP Cache TimeoutAuthenticationAutoconfiguration…….Client Identifier…….Vendor Identifying Vendor ClassVendor Identifying Vendor-Specific OptionsVendor Encapsulated Options

DHCPDHCPDHCPDHCP

Chassis IdEnd Of LLDPManagement AddressPort DescriptionPort IdSystem CapabilitiesSystem DescriptionSystem NameTime To Live

Chassis IdEnd Of LLDPManagement AddressPort DescriptionPort IdSystem CapabilitiesSystem DescriptionSystem NameTime To Live

LLDPLLDPLLDPLLDP


Cisco Expo 2012

aaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radiusaaa accounting dot1x default start-stop group radius aaa session-id commondot1x system-auth-control!device-sensor accountingradius-server vsa send accountingradius-server vsa send authentication!radius server iseaddress ipv4 <ip address> auth-port 1812 acct-port 1813pac key cisco123

aaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radiusaaa accounting dot1x default start-stop group radius aaa session-id commondot1x system-auth-control!device-sensor accountingradius-server vsa send accountingradius-server vsa send authentication!radius server iseaddress ipv4 <ip address> auth-port 1812 acct-port 1813pac key cisco123

Configuring Device SensorConfiguring Device SensorConfiguring Device SensorConfiguring Device Sensor

device-sensor filter-list {cdp | lldp | dhcp} list <list-name> tlv {name <tlv-name> | number <number>}device-sensor filter-spec {cdp | lldp | dhcp} {include list <list-name> | exclude {all | list <list-name>}}

Switch(config)#device-sensor filter-list cdp list cdp-excSwitch(config-sensor-cdplist)#tlv name device-nameSwitch(config-sensor-cdplist)#tlv name platform-typeSwitch(config)#device-sensor filter-spec cdp exclude list cdp-exc

device-sensor filter-list {cdp | lldp | dhcp} list <list-name> tlv {name <tlv-name> | number <number>}device-sensor filter-spec {cdp | lldp | dhcp} {include list <list-name> | exclude {all | list <list-name>}}

Switch(config)#device-sensor filter-list cdp list cdp-excSwitch(config-sensor-cdplist)#tlv name device-nameSwitch(config-sensor-cdplist)#tlv name platform-typeSwitch(config)#device-sensor filter-spec cdp exclude list cdp-exc

Customizing the RADIUS TLV InformationCustomizing the RADIUS TLV InformationCustomizing the RADIUS TLV InformationCustomizing the RADIUS TLV Information


Cisco Expo 2012

CDPCDPLLDPLLDPDHCPDHCPMACMAC

1

2

1

2 11








IP Phone N/A Office


Предопределенные правила Предопределенные правила / / профилипрофили

Auto Smartports Config MacroAuto Smartports Config Macrointerface $INTERFACE interface $INTERFACE macro description $TRIGGER macro description $TRIGGER switchport access vlan 10 switchport access vlan 10 switchport mode access switchport mode access switchport portswitchport port--security security switchport portswitchport port--security maximum 1 security maximum 1 switchport portswitchport port--security violation restrict security violation restrict switchport portswitchport port--security aging time 2 security aging time 2 switchport portswitchport port--security aging type inactivity security aging type inactivity spanningspanning--tree portfast tree portfast spanningspanning--tree bpduguard enable tree bpduguard enable

Auto Smartports Config MacroAuto Smartports Config Macrointerface $INTERFACE interface $INTERFACE macro description $TRIGGER macro description $TRIGGER switchport access vlan 10 switchport access vlan 10 switchport mode access switchport mode access switchport portswitchport port--security security switchport portswitchport port--security maximum 1 security maximum 1 switchport portswitchport port--security violation restrict security violation restrict switchport portswitchport port--security aging time 2 security aging time 2 switchport portswitchport port--security aging type inactivity security aging type inactivity spanningspanning--tree portfast tree portfast spanningspanning--tree bpduguard enable tree bpduguard enable

VLAN10VLAN10

Как только устройство профилировано, коммутатор применяет конфигурацию на порту на базе предопределенных правил


Cisco Expo 2012

1

2

1

2 11








IP Phone N/A Office


PolicyPolicy

VLAN100VLAN100

VLAN200VLAN200

VLAN300VLAN300

VLAN100VLAN100

ACL 500ACL 500

VLAN10VLAN10

Назначение Назначение VLANVLAN

• Не требуется управления ACL на порту коммутатора

• Требуется изменения в дизайне топологии(меняется IP-адрес)

Downloadable ACLDownloadable ACL

• Меньше воздействие на конечные устройства (нет изменений IP-адресов)

• Требуется больший объем поддеживаемыхACL и TCAM-таблиц

VLAN300VLAN300

VLAN10VLAN10

VLAN100 Routed InterfaceVLAN100 Routed Interface


CDPLLDPDHCPMAC

VLAN100VLAN100 VLAN100VLAN100VLAN200VLAN200

ACL 500permit tcp <src> <dst> eq sipPermit udp <src> <dst>eq domainPermit udp <src> <dst> eq tftpPermit udp <ssrc> <dst> eq 8080….

ACL 500permit tcp <src> <dst> eq sipPermit udp <src> <dst>eq domainPermit udp <src> <dst> eq tftpPermit udp <ssrc> <dst> eq 8080….


ISE централизованно сохраняет информацию об устройствах и назначенных политиках


Cisco Expo 2012

Контроль доступа с Контроль доступа с использованием списков использованием списков

доступа доступа IPIP (ACL)(ACL)

• На базе топологии• Ручная конфигурация• Вероятность ошибок• Нет масштабируемости• Сложное управление

IT3.1.1.1

Finance2.1.1.1

Doctor1.1.1.1

permit tcp any 200.1.1.1 eq httpspermit tcp any 200.1.1.1 eq 8081deny ip all

permit tcp any 200.1.1.1 eq httpspermit tcp any 200.1.1.1 eq 8081deny ip all

permit tcp any 150.1.1.1 eq httpspermit tcp any 150.1.1.1 eq 8081permit tcp any 150.1.1.1 eq 445deny ip all

permit tcp any 150.1.1.1 eq httpspermit tcp any 150.1.1.1 eq 8081permit tcp any 150.1.1.1 eq 445deny ip all

permit tcp any 100.1.1.1 eq httpsdeny ip allpermit tcp any 100.1.1.1 eq httpsdeny ip all

permit tcp 3.1.1.1 100.1.1.1 eq httpspermit tcp 3.1.1.1 100.1.1.1 eq 8081deny ip 3.1.1.1 200.1.1.2


permit tcp 2.1.1.1 150.1.1.1 eq httpspermit tcp 2.1.1.1 150.1.1.1 eq 8081permit tcp 2.1.1.1 150.1.1.1 eq 445deny ip 2.1.1.1 150.1.1.1 permit tcp 2.1.1.1 200.1.1.2 eq httpsdeny ip 2.1.1.1 200.1.1.2






permit tcp 1.1.1.1 100.1.1.1 eq httpspermit tcp 1.1.1.1 100.1.1.1 eq 8081permit tcp 1.1.1.1 100.1.1.1 eq 445deny ip 1.1.1.1 100.1.1.2permit tcp 1.1.1.1 100.1.1.2 eq httpsdeny ip 1.1.1.1 100.1.1.2 permit tcp 1.1.1.1 150.1.1.2 eq httpsdeny ip 1.1.1.1 150.1.1.2 permit tcp 1.1.1.1 200.1.1.1 eq httpsdeny ip 1.1.1.1 200.1.1.1





Cisco Expo 2012

IT3.1.1.1

Finance2.1.1.1

Doctor1.1.1.1

Контроль доступа с Контроль доступа с использованием использованием

Secure Group AccessSecure Group Access

• На базе ролей• Независим от

топологии• Масштабируемость• Простота

администрирования• Единая политика

Email Email ServerServer

Financial Financial ServersServers

Patient Patient RecordsRecords

Doctors IMAP No Access File Share

IT Allow All SQL SQL

Finance IMAP Web No Access


Cisco Expo 2012

1

2

1

2 11








IP Phone N/A Office


Secure Secure GroupGroup

DoctorDoctor

PatientPatient

AdminAdmin

DoctorDoctor

VideoVideo

VoiceVoice

Security Group AccessSecurity Group Access

• Упрощает управление ACL• Применяет политики независимо от топологии или

протокола• Гранулирует контроль доступа

CDPLLDPDHCPMAC

SGACLSGACL применяет применяет политики на уровнях политики на уровнях

доступадоступа, , границы сети границы сети или ЦОДили ЦОД

SGACLSGACL применяет применяет политики на уровнях политики на уровнях

доступадоступа, , границы сети границы сети или ЦОДили ЦОД

SG Tag SG Tag маркируетмаркируетвходящий трафиквходящий трафикSG Tag SG Tag маркируетмаркируетвходящий трафиквходящий трафик

Patient Record Internet Facility

Doctor Permit Permit Permit

Patient Deny Permit Deny

Voice Deny ACL_v Deny

ISE централизованно сохраняет информацию об устройствах и назначенных политиках


Cisco Expo 2012

CiscoTrustSec Domain

SGTSGT SGTSGT SGTSGT SGTSGT SGTSGT

cts role-based permissions from 1110 to 3200 permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 22permit tcp dst eq 3389permit tcp dst eq 135permit tcp dst eq 136permit tcp dst eq 138permit tcp des eq 139deny ip

cts role-based permissions from 1110 to 3200 permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 22permit tcp dst eq 3389permit tcp dst eq 135permit tcp dst eq 136permit tcp dst eq 138permit tcp des eq 139deny ip

Применение политик Применение политик SGACLSGACLПрименение политик Применение политик SGACLSGACL

Manual or Dynamic VLAN Mapping

VLAN 110 VLAN 120 VLAN 130

cts role-based sgt-map VLAN-list 110 sgt 1110cts role-based sgt-map VLAN-list 120 sgt 1120cts role-based sgt-map VLAN-list 130 sgt 1130

cts role-based sgt-map 192.168.10.0/24 sgt 10cts role-based sgt-map 192.168.20.0/24 sgt 20cts role-based sgt-map 192.168.30.0/24 sgt 30

cts role-based sgt-map VLAN-list 110 sgt 1110cts role-based sgt-map VLAN-list 120 sgt 1120cts role-based sgt-map VLAN-list 130 sgt 1130

cts role-based sgt-map 192.168.10.0/24 sgt 10cts role-based sgt-map 192.168.20.0/24 sgt 20cts role-based sgt-map 192.168.30.0/24 sgt 30

ФормированиеФормирование значений значений SGTSGT на базе на базе VLANVLAN или или IPIP--

подсетиподсети

ФормированиеФормирование значений значений SGTSGT на базе на базе VLANVLAN или или IPIP--

подсетиподсети

Can Forward Existing SGT Traffic or Map

SGTs Manually

Identity Service Engine


Cisco Expo 2012

192.168.10.1 192.168.20.1 192.168.30.1 192.168.200.1Server

192.168.10.0/24192.168.10.0/24

192.168.20.0/24192.168.20.0/24

192.168.30.0/24192.168.30.0/24

SGT10SGT10

SGT20SGT20

SGT30SGT30

192.168.200.0/24192.168.200.0/24SGT30SGT30

SGACL Enforcement

SGACL Enforcement

Monitor SGACL Packet Drops with Flexible NetFlow

Monitor SGACL Packet Drops with Flexible NetFlow

Non-TrustSec Domain

L3 SGTTransport

Manual or Dynamic Subnet Mapping


Пакеты в режиме “transport mode” ESP передают SGT без шифрования или аутентификации данных

Overhead пакета (42-45 байт) влияет на IP MTU/Fragmentation

Изменение заголовкаИзменение заголовка


Cisco Expo 2012

•• IPv6 NDP inspectionIPv6 NDP inspection•• Предотвращение атак Предотвращение атак

neighbor neighbor discovery discovery spoofingspoofing

•• IPv6 RA GuardIPv6 RA Guard•• Остановка Остановка false false router router

advertisement threatsadvertisement threats

•• IPv6 PACLIPv6 PACL•• Фильтрация трафика наФильтрация трафика на Layer Layer

2 2 портахпортах

•• IPv6 IPv6 device trackingdevice tracking•• Аннуляция сетевого доступа Аннуляция сетевого доступа

для неактивных устройствдля неактивных устройств

L2 Access

IPv6/IPv4 Dual Stack Hosts

Access Layer

Distribution Layer

Core Layer

IPv6WAN

L3

WLC

•• IPv6 uRPF IPv6 uRPF •• Аппаратная блокировка Аппаратная блокировка

spoofedspoofed--трафикатрафика ((16 16 путейпутей))


Cisco Expo 2012

Упрощенный сетевой дизайн с использованием MPLS, EVN и VRF-Lite

Расширенная безопасность, разделение групп и общих сервисов с использованиемвиртуализированных межсетевых экранов

Эффективный мониторинг и эксплуатация с использованием VRF-Aware сервисов

40GE

VRF A–F Персональные устройства

Корпоративный голос

Корпоративные компьютеры

Гостевые ноутбуки

TelePresence

Видеонаблюдение

Единая физическая сетьЕдиная физическая сетьЕдиная физическая сетьЕдиная физическая сеть


Cisco Expo 2012

ДОДО EVNEVNДОДО EVNEVN

T1/1T1/1VRF 1001

VRF 1003

VRF 1002

VRF 1003

VRF 1002

VRF 1001

interface TenGigabitEthernet1/1.101description 10GE to SW1encapsulation dot1Q 101ip vrf forwarding Redip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.102description 10GE to SW1encapsulation dot1Q 102ip vrf forwarding Greenip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.103description 10GE to SW1encapsulation dot1Q 103ip vrf forwarding Blueip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.101description 10GE to SW1encapsulation dot1Q 101ip vrf forwarding Redip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.102description 10GE to SW1encapsulation dot1Q 102ip vrf forwarding Greenip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.103description 10GE to SW1encapsulation dot1Q 103ip vrf forwarding Blueip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.101description 10GE to SW 2encapsulation dot1Q 101ip vrf forwarding Redip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.102description 10GE to SW 2encapsulation dot1Q 102ip vrf forwarding Greenip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.103description 10GE to SW 2encapsulation dot1Q 103ip vrf forwarding Blueip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.101description 10GE to SW 2encapsulation dot1Q 101ip vrf forwarding Redip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.102description 10GE to SW 2encapsulation dot1Q 102ip vrf forwarding Greenip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode

interface TenGigabitEthernet1/1.103description 10GE to SW 2encapsulation dot1Q 103ip vrf forwarding Blueip address 10.122.5.33 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode


Cisco Expo 2012

ПОСЛЕПОСЛЕ EVNEVNПОСЛЕПОСЛЕ EVNEVN

vrf definition bluevnet tag 101

interface TenGigabitEthernet1/1description 10GE to SW 1vnet trunkip address 10.122.5.34 255.255.255.252ip pim query-interval 333 msecip pim sparse-mode







T1/1

VNET TrunkT1/1VRF 101

VRF 103

VRF 102

VRF 103

VRF 102

VRF 101


Cisco Expo 2012

ДДОО

EEVVNN

ДДОО

EEVVNN

ip vrf SHAREDrd 3:3route-target export 3:3route-target import 1:1route-target import 2:2

!ip vrf REDrd 1:1route-target export 1:1route-target import 3:3

!ip vrf GREENrd 2:2route-target export 2:2route-target import 3:3

!router bgp 65001bgp log-neighbor-changes!address-family ipv4 vrf SHAREDredistribute ospf 3no auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf REDredistribute ospf 1no auto-summaryno synchronizationexit-address-family!address-family ipv4 vrf GREENredistribute ospf 2no auto-summaryno synchronizationexit-address-family

vrf definition SHAREDaddress-family ipv4routeroute--replicate from replicate from vrfvrf RED unicast RED unicast

all routeall route--map redmap red--mapmaprouteroute--replicate from replicate from vrfvrf GREEN unicast GREEN unicast

all routeall route--map map grngrn--mapmap

vrf definition REDaddress-family ipv4routeroute--replicate from replicate from vrfvrf SHARED SHARED

unicast allunicast all

vrf definition GREENaddress-family ipv4routeroute--replicate from replicate from vrfvrf SHARED SHARED

unicast allunicast all

ППООССЛЛЕЕ

EEVVNN

ППООССЛЛЕЕ

EEVVNN

Преимущества настройки Преимущества настройки общих сервисов собщих сервисов с EVNEVN

• Не требуется BGP• Не требуется Route

Distinguisher• Не требуются Route Targets• Не требуется Import/Export• Простое внедрение• Поддержка Unicast и Multicast


Cisco Expo 2012

Switch# show ip route vrf greenRouting table output for green

Switch# ping vrf green 10.1.1.1 Ping result using VRF green

Switch# telnet 10.1.1.1 /vrf greenTelnet to 10.1.1.1 in VRF green

Switch# traceroute vrf green 10.1.1.1 Traceroute output in VRF green

ДОДО EVNEVNДОДО EVNEVN ПОСЛЕПОСЛЕ EVNEVNПОСЛЕПОСЛЕ EVNEVN

Switch# routingrouting--context context vrfvrf greengreenSwitch%green#

Switch%green# show show ipip routerouteRouting table output for green

Switch%green# ping 10.1.1.1ping 10.1.1.1Ping result using VRF green

Switch%green# telnet 10.1.1.1telnet 10.1.1.1Telnet to 10.1.1.1 in VRF green

Switch%green# traceroutetraceroute 10.1.1.110.1.1.1Traceroute output in VRF green

УпрощенныеУпрощенные contextcontext--aware aware операцииоперации


Идентификация и контроль приложений

Application Visibility and Control (AVC)


Cisco Expo 2012

Dis

tribu

tion

Dis

tribu

tion

Acc

ess

Acc

ess

Cor

eC

ore

Сбор Сбор информацииинформации

Enhanced Object TrackingEnhanced Object TrackingEnhanced Object TrackingEnhanced Object Tracking

IP SLAIP SLAIP SLAIP SLA

Enhanced Object TrackingEnhanced Object TrackingEnhanced Object TrackingEnhanced Object Tracking

IP SLAIP SLAIP SLAIP SLA

Clean AirClean AirClean AirClean Air

BuiltBuilt--in Traffic Simulatorin Traffic SimulatorBuiltBuilt--in Traffic Simulatorin Traffic Simulator

Идентификация и Идентификация и контроль контроль

приложенийприложений


MicroflowMicroflow PolicingPolicingMicroflowMicroflow PolicingPolicing

QoSQoSQoSQoS


MicroflowMicroflow PolicingPolicingMicroflowMicroflow PolicingPolicing

AVC in WiSMAVC in WiSM--22AVC in WiSMAVC in WiSM--22

QoSQoSQoSQoS


Media Service ProxyMedia Service ProxyMedia Service ProxyMedia Service Proxy


Мониторинг и Мониторинг и устранение устранение

неисправностейнеисправностей

Performance MonitorPerformance MonitorPerformance MonitorPerformance Monitor

MediatraceMediatraceMediatraceMediatrace

MiniMini--Protocol AnalyzerProtocol AnalyzerMiniMini--Protocol AnalyzerProtocol Analyzer



WiresharkWiresharkWiresharkWireshark


SPAN / RSPAN / SPAN / RSPAN / ERSPANERSPAN




MiniMini--Protocol AnalyzerProtocol AnalyzerMiniMini--Protocol AnalyzerProtocol Analyzer

NAMNAM--33NAMNAM--33



Wireless Controller AVCWireless Controller AVCWireless Controller AVCWireless Controller AVC


Cisco Expo 2012

Проблемы Проблемы IT IT

High Availability High Availability L2/L3L2/L3Multicast: HAMulticast: HA, Call Admission Control (CAC), Multipath, Video Stream , Call Admission Control (CAC), Multipath, Video Stream

• Готова ли сеть для внедрения видео?• Как обеспечить качественную работу бизнес-приложений?• Как обеспечить эффективный мониторинг и поиск неисправностей?

Анализ и сбор Анализ и сбор информацииинформации

• Enhanced Object Tracking

• IP SLA• Built-in Traffic

Simulator• Cisco CleanAir

Идентификация и Идентификация и контроль приложенийконтроль приложений

• Media Services Proxy (MSP)

• Metadata• Flexible NetFlow• Device sensor• Secure group tagging• Quality of Service (QoS)• AVC in Wireless

Controller• Mediastream

Мониторинг и Мониторинг и устранение устранение

неисправностейнеисправностей• Performance Monitor• Mediatrace• Flexible NetFlow• Wireshark / Mini-

Protocol Analyzer• Device sensor


Cisco Expo 2012

ERPERPERPERP

Контроль приложенийКонтроль приложений

Использует ли ктоИспользует ли кто--тото BitTorrentBitTorrent, который мешает работе бизнес, который мешает работе бизнес--приложенийприложений??Какие пользователи являются наиболее Какие пользователи являются наиболее ““активнымиактивными”” в сетив сети? ?

Какие приложения чаще всего используются в сетиКакие приложения чаще всего используются в сети??Как получить детальный отчёт по соответствию политикамКак получить детальный отчёт по соответствию политикам??


Cisco Expo 2012

Основные причины низкой производительности приложений :“Узкое место” с низкой пропускной способностью в сетиНеавторизованное использование сетевых ресурсовМониторинг безопасностиМониторинг “гостевых” устройств

Campus Building A

1

2

3

2

3

4

Internet

Campus Building B

Campus Building C

1

1

2

2

3

4

Campus Core

2

Мониторинг трафика сМониторинг трафика с Flexible NetFlowFlexible NetFlowМониторинг трафика сМониторинг трафика с Flexible NetFlowFlexible NetFlow

Flexible NetFlow обеспечивает мониторинг приложений в сети и помогает ответить на вопросы“кто, что, когда, где, как” использует сетевые ресурсыдля:

Для более быстрой и точной идентификации проблемы в сети

Определения источника проблемы и назначения ответственного за её решение

Увеличения операционной эффективности Снижения совокупной стоимости владения TCO

NOC

3

4


Cisco Expo 2012

NetFlow – процесс сбора информации о потоках трафика, проходящих через коммутатор.Сбор информации NetFlow – аппаратный процесс, экспорт Netflow-информации на внешний коллектор – процесс control plane …

NetFlow-коллектор

IT3.1.1.1

Finance2.1.1.1

Doctor1.1.1.1

Поток данных

Экспортированные записи Netflow


Cisco Expo 2012

Template RecordTemplate ID #1

(Specific Field Types and Lengths)

Template RecordTemplate ID #2

(Specific Field Types and Lengths)

Template FlowSet

Template 1

Data Record

(Field Values)

Data Record

(Field Values)

Data FlowSetFlowSet ID #1H

EADER

FlowSet ID #1

Template 2

Data Record

(Field Values)

FlowSet ID #2Data FlowSet


Cisco Expo 2012

• Каждый flow monitor может экспортироватьинформацию на несколько коллекторов (flow export)

• Каждый flow monitor может быть проассоциирован с одним набором записейNetflow (flow record)

• Применение flow monitor наинтерфейсе однонаправленно (для мониторинга двунаправленного трафика необходимо применять flow monitor на интерфейсе для каждого направления (‘in’ и‘out’)

Interface

Monitor 1(Dir = ‘in’)

Record Set A

Exporter 1

Exporter 2

Monitor 2(Direction =

‘out’)

Record Set B

Exporter 1

Exporter 1IP = 10.0.0.1

Exporter 2IP = 192.168.0.1

Record Set A Record Set B

Exporter

Record


Cisco Expo 2012

How do I want to cache information

Which interface do I want to monitor?

What data do I want to track?

Where do I want my data sent?Switch(config)# flow exporter my-exporterSwitch(config-flow-exporter)# destination 1.1.1.1

Switch(config)# flow monitor my-monitorSwitch(config-flow-monitor)# exporter my-exporterSwitch(config-flow-monitor)# record my-record

Switch(config)# interface Gig 3/1

Switch(config-if)# ip flow monitor my-monitor input

Настройка Exporter

Настройка Flow Record

Настройка Flow Monitor

Применение на интерфейсе

Switch(config)# flow record my-recordSwitch(config-flow-record)# match ipv4 destination addressSwitch(config-flow-record)# match ipv4 source addressSwitch(config-flow-record)# collect counter bytes


Cisco Expo 2012

FlexibleNetflow

Возможность гибкого выбора полей для мониторинга IPv4 и IPv6

CPU FriendlyExport

Оптимальное использование ресурсов CPU, прямой экспорт на модуле

Up to 13MFlows/System

Большие таблицы обеспечивают большее кол-во записей для системы (до 13 млн записей для 13-слотового шасси), обеспечивая более эффективный мониторинг приложений

SampledNetflow in Hardware

Для оптимизации использования таблиц Netflow и уменьшения нагрузки на анализаторы

EgressNetflow

Возможность использования Netflowпосле ingress lookup(NetFlow на CoPP)

Возможность сбора статистики multicast-трафика по направлению, а не по группе

Sup2TNetflow

Cisco Confidential© 2012 Cisco and/or its affiliates. All rights reserved. 69

Cisco Expo 2012

NDEувеличиваетexport rate до достижения порогового значения

Пауза 5 секунд и снова увеличение export rate

Когда пороговое значение достигнуто, NDEбыстро снижаетexport rate

CPU

30%

70%

Пороговое значение NDEЗагрузка CPU до NDE

Защита ресурсов CPU Масштабируемость NetFlow с распределенным экспортом

NetFlow Collector

EOBC

Direct Export поддерживается Supervisor 2T и :

WS-X6716-10x с апгрейдом доDFC4-E / DFC4-EXL

WS-X6816-10x-2T/2TXLWS-X6908-10G-2T/2TXLWS-X6904-40G-2T/2TXL

WS-X6848-TX-2T\2TXL

NetFlowData

WS-X6908-10G-2T\2TXL

NetFlowData

Supervisor

NetFlowData

NetFlowExport

NetFlowExport


Cisco Expo 2012

Streaming VideoStreaming Video Desktop Desktop ConferencingConferencing TelePresenceTelePresenceBYOD / BYOD / WebWeb--

ConferencingConferencing

Проблема

• Может ли ОДНА сеть идентифицировать все эти приложения ?

• Может ли ОДНА сеть приоритезировать все эти приложения?

• Может ли ОДНА сеть обеспечивать качественную работу бизнес-приложений?

256Kb – 2Mbps video conferencing

2-4 Mbps ( SD TV )

6-10 Mbps ( HD TV )

2.5-10 Mbps at 1080p 15 Mbps at 1080p Spatial wideband audio

256-512 byte packets 700-1350 bytes <1260 bytes 700 – 1350 bytes

Delay / Drop Sensitivity : Low / Low

Delay / Drop Sensitivity : Med / Med

Delay / Drop Sensitivity : Hi / Med

Delay / Drop Sensitivity : Hi / Hi


Cisco Expo 2012

show performance monitor history

Match: ipv4 src addr = 1.1.1.1, ipv4 dst addr = 7.7.7.2, ipv4 prot = udp, trns src port = 20001, trns dst port = 10000, SSRC = 4294967291 Policy: RTP_POL, Class: RTP_CLASS, Interface: GigabitEthernet0/4, Direction: input start time 14:57:34 ============ *history bucket number : 1 *counter flow : 1 counter bytes : 0 application media bytes counter : 12009390 application media packets counter : 5694 application media bytes rate (Bps) : 50902 *application media bytes rate per flow (Bps) : 142*application media bytes rate per flow min (Bps) : 40 *application media bytes rate per flow max (Bps) : 300 application media packets rate (pps) : 0*transport rtp flow count : 0 transport rtp jitter mean (usec) : 955transport rtp jitter minimum (usec) : 0transport rtp jitter maximum (usec) : 5225*transport rtp payload type : 0

Flexible Netflow Quality Of ServiceSwitch(config)# flow exporter export-1Switch(config-flow-exporter)# destination 172.16.10.2 Switch(config-flow-exporter)# export-protocol netflow-v9

Switchr(config)# flow record type performance-monitor record-8Switch(config-flow-exporter)# match ipv4 destination addressSwitch(config-flow-record)# collect flow direction

Switchr(config)#flow monitor type performance-monitor FM-2Switch(config-flow-monitor)# exporter export-1Switch(config-flow-monitor)# record record-8

Switchr(config)# policy-maptype preformance-monitor FM-2Switch(config-pmap)# class class-4 Switch(config-pmap-c)#flow monitor FM-2Switch(config-pmap-c)#monitor metric rtpSwitch(config-pmap-c-react)# alarm severity critical

WAN

Всё нормально Обнаружен Jitter Потери пакетов


Cisco Expo 2012

WAN

Mediatrace Initiator A Mediatrace responder B Mediatrace responder C

Hdr Rsp B Hdr Rsp C

Hdr RQ

Jitter

Packet Loss

CPU Usage

Memory Usage

Queue Length

Internal Delay

Per-hop Latency

One-way Latency

DSCP Tag

Packet Drop Count

Detailed Collection Summary (HOP):

Number of Mediatrace hops in the path: 3

Mediatrace Hop Number: 0 (host=VXR-AA0310, ttl=255)Reachability Address: 10.10.3.10Ingress Interface: NoneEgress Interface: Gi0/3

Mediatrace Hop Number: 1 (host=3845-AA0216, ttl=250)Reachability Address: 10.1.162.2Ingress Interface: Fa0/0/0Egress Interface: Fa0/0/1

Mediatrace Hop Number: 2 (host=1861-AA0213, ttl=249)Reachability Address: 10.1.3.130Ingress Interface: Fa0/0Egress Interface: Vl1000

Detailed Collection Summary (SYSTEM):

Number of Mediatrace hops in the path: 3

Mediatrace Hop Number: 1 (host=3845-AA0216, ttl=250)

Metrics Collection Status: SuccessReachability Address: 10.1.162.2Ingress Interface: Fa0/0/0Egress Interface: Fa0/0/1Metrics Collected:Collection timestamp: 01:26:36.114 EST Wed Mar 2 2011Octet input at Ingress (MB): 2725.193495Octet output at Egress (MB): 2330.624295Pkts rcvd with err at Ingress (pkts): 0Pkts errored at Egress (pkts): 0Pkts discarded at Ingress (pkts): 0Pkts discarded at Egress (pkts): 0Ingress i/f speed (kbps): 100000.000Egress i/f speed (mbps): 1000.000000

Hdr RQ


Cisco Expo 2012

Контроллеры WLANКоммутаторы ядра/распределения

CiscoPrime

Infrastructure

NAM-3

ИННОВАЦИЯ

Коммутаторы доступа


Гибкая сетевая архитектура кампусной сети


Cisco Expo 2012

Расп

реде

лен

Расп

реде

лен

иеиеД

осту

пД

осту

пЯ

дро

Ядр

о

Гибкость на операГибкость на опера--ционном уровнеционном уровне

Гибкость на Гибкость на сетевом уровнесетевом уровне

Equal Cost MultiEqual Cost Multi--PathPathEqual Cost MultiEqual Cost Multi--PathPath

UniDirectionalUniDirectional Link Link Detection Detection


BiBi--directionldirectionl Forwarding Forwarding DetectionDetection










IP Event DampeningIP Event DampeningIP Event DampeningIP Event Dampening

Гибкость на Гибкость на системном уровнесистемном уровне

Power Supply / Fan Power Supply / Fan RedundancyRedundancy

Power Supply / Fan Power Supply / Fan RedundancyRedundancy

GOLDGOLDGOLDGOLD

Smart Call HomeSmart Call HomeSmart Call HomeSmart Call Home

EEMEEMEEMEEM

OnOn--Board Failure LoggingBoard Failure LoggingOnOn--Board Failure LoggingBoard Failure Logging

GOLDGOLDGOLDGOLD


EEMEEMEEMEEM


GOLDGOLDGOLDGOLD


EEMEEMEEMEEM


MultMult--chassis chassis EtherChannelEtherChannelMultMult--chassis chassis

EtherChannelEtherChannel

NSF / SSONSF / SSONSF / SSONSF / SSO

Dual / Quad Sup Virtual Dual / Quad Sup Virtual Switching System (VSS)Switching System (VSS)Dual / Quad Sup Virtual Dual / Quad Sup Virtual Switching System (VSS)Switching System (VSS)

EFSUEFSUEFSUEFSU

EFSUEFSUEFSUEFSU

ISSUISSUISSUISSU


EtherChannelEtherChannel


EtherChannelEtherChannelNSF /SSONSF /SSONSF /SSONSF /SSO

StackWiseStackWise++StackWiseStackWise++

StackPowerStackPowerStackPowerStackPower

Wireless Controller HAWireless Controller HAWireless Controller HAWireless Controller HA

Supervisor RedundancySupervisor RedundancySupervisor RedundancySupervisor Redundancy

NSF / SSONSF / SSONSF / SSONSF / SSO

Power Supply / Fan Tray Power Supply / Fan Tray RedundancyRedundancy

Power Supply / Fan Tray Power Supply / Fan Tray RedundancyRedundancy

Supervisor Module Supervisor Module RedundancyRedundancy

Supervisor Module Supervisor Module RedundancyRedundancy

Dual / Quad Sup Virtual Dual / Quad Sup Virtual Switching System (VSS)Switching System (VSS)Dual / Quad Sup Virtual Dual / Quad Sup Virtual Switching System (VSS)Switching System (VSS)


Cisco Expo 2012

ГибкостьГибкостьУпрощение управленияУпрощение управленияМасштабируемостьМасштабируемость

• Расширение сетевого доступа в рамках одного логического устройства

• Высокопроизводительное двунаправленное кольцо в стеке 64 Gbps

• Одна логическая единица для управления 9 коммутаторами, 450 портами

• Архитектура с централизованным контролем и управлением

• Уменьшение кол-ваVLAN’ов/подсетей

• 9-ти кратное упрощение эксплуатации

• Гибкая и распределенная архитектура коммутации

• Единая сеть• Эксплуатация сети без

прерывания сервисов коммутации

VSLSiSi SiSi


Cisco Expo 2012

• Все источники питания в стеке формируют общий бюджет по питанию независимо от мощности, типа AC/DC и местоположения

• Режим резервирования обеспечивает1+n защиту от отказа наиболее мощного ИП в стеке, выделяя его мощность в специальный резервный бюджет

• Оставшийся бюджет распределяется между потребителями питания: коммутаторами и PoE-устройствами

• В случае отказа линии питания, выхода из строя или замены ИП, недостаток мощности компенсируется из резервного бюджета, обеспечивая непрерывность бизнес-процессов и коммуникаций

Общийбюджет

2865 Вт

Выделениебюджетапитания

Резерв1100 Вт

350 Вт

715W

350 Вт

1100 Вт

350 Вт

ОтказИП

ОтказИП

Более детальная информация: Calculating Power for Cisco StackPower


Cisco Expo 2012

VSSVSS--дизайндизайн

• Упрощенная эксплуатация системы

• Единое логическое сетевое устройство

• Упрощенная и отказоустойчивая сетевая топология

VSSVSS--дизайндизайн

• Оптимизированный сетевой дизайн

• Удвоение пропускной способности коммутации

• Оптимизированная производительность приложений и сети

Традиционный дизайнТрадиционный дизайн

• Комплексный сетевой дизайн и эксплуатация

• Неполное использование сетевых ресурсов

• Неоптимальная производительность приложений и сети

Оптимизация Оптимизация сетисети

Упрощение Упрощение эксплуатацииэксплуатации


Cisco Expo 2012

Проблемы отдельных устройствПроблемы отдельных устройств

STP LoopFHRPFHRP TuningsPIM DR PriorityPIM TuningsProtocol Dependent ScaleUnicast FloodingAsymmetric forwardingL2 HardeningNetwork/System Redundancy TradeoffProtocol Dependent RecoveryCAM/ARP TuningsOSPF LSA/SPF TuningControl/Mgmt/Forwarding Complexities

Решения при помощи Решения при помощи VSSVSS

Scale-independent RecoveryNetwork/System Level Redundancy

Hardware Dependent RecoveryIncrease Unicast CapacityIncrease Multicast CapacitySimplified Network TopologiesControl-plane SimplicityOperational SimplicityL2-L4 Load SharingFlat L2 NetworkNo Loss of Functionality

SPANInterface CountersQoSMPLS

6500E – Sup2T4500E – Sup7E / Sup7LE (Shipping Q1CY2013)4500X – (Shipping Q1CY2013)


Cisco Expo 2012

Коммутатор 1(Отдельная конфигурация)

! Enable 802.1d per VLAN spanning tree enhancements.spanning-tree mode pvstspanning-tree loopguard defaultno spanning-tree optimize bpdu transmissionspanning-tree extend system-idspanning-tree uplinkfastspanning-tree backbonefastspanning-tree vlan 2,4,6,8,10 priority 24576!

! Define the Layer 3 SVI for each voice and data VLANinterface Vlan4description Data VLANip address 10.120.4.3 255.255.255.0no ip redirectsno ip unreachables! Reduce PIM query interval to 250 msecip pim query-interval 250 msecip pim sparse-modeload-interval 30! Define HSRP default gateway with 250/800 msechello/holdstandby 1 ip 10.120.4.1standby 1 timers msec 250 msec 800! Set preempt delay large enough to allow network to stabilize before HSRP! switches back on power on or link recoverystandby 1 preempt delay minimum 180! Enable HSRP authenticationstandby 1 authentication cisco12

VSS (Единая упрощенная конфигурация)

! Enable 802.1d per VLAN spanning tree enhancements spanning-tree mode rapid-pvstno spanning-tree optimize bpdu transmission spanning-tree extend system-id spanning-tree vlan 2-11 priority 24576

! Define the Layer 3 SVI for each voice and data VLANinterface Vlan4description Data VLANip address 10.120.2.1 255.255.255.0 no ip redirects no ip unreachablesip pim sparse-mode load-interval 30

Коммутатор 2(Отдельная конфигурация)

! Enable 802.1d per VLAN spanning tree enhancements.spanning-tree mode pvstspanning-tree loopguard defaultno spanning-tree optimize bpdu transmissionspanning-tree extend system-idspanning-tree uplinkfastspanning-tree backbonefastspanning-tree vlan 3,5,7,9,11 priority 24576!

! Define the Layer 3 SVI for each voice and data VLANinterface Vlan4description Data VLANip address 10.120.4.3 255.255.255.0no ip redirectsno ip unreachables! Reduce PIM query interval to 250 msecip pim query-interval 250 msecip pim sparse-modeload-interval 30! Define HSRP default gateway with 250/800 msechello/holdstandby 1 ip 10.120.4.1standby 1 timers msec 250 msec 800! Set preempt delay large enough to allow network to stabilize before HSRP! switches back on power on or link recoverystandby 1 preempt delay minimum 180! Enable HSRP authenticationstandby 1 authentication cisco123

Конфигурация Spanning Tree

Конфигурация L3 SVI (пример для одного VLAN)


Cisco Expo 2012

VSS Quad SUP SSOVSS Quad SUP SSO

10GE

Si Si

LACP or PagP LACP

MonitoringServer

Access Switch orToR or Blades

ТрадиционныйТрадиционный VSSVSS

10GE

Si Si

LACP or PagP LACP

MonitoringServer

Access Switch orToR or Blades

Упрощенный сетевой дизайн• Исключение протоколов Spanning Tree и

First-Hop redundancy• Единая точка управления

Удвоение эффективной пропускной

способности• Active-Active

Multichassis EtherChannel (LACP/ PagP)

• Отказоустойчивость супервизоров 1+1 для двух VSS-устройств

Эффективное и автоматическое восстановление

• Увеличение сетевой пропускной способности с VSS Quad Sup SSO

• Отказоустойчивость супервизоров 1:1 (active/standby) в рамках одного устройства и для двух VSS-устройств

SSO SyncSSO Sync SSO SyncSSO Sync

SS

O S

ync

SS

O S

ync

SS

O S

ync

SS

O S

ync


Cisco Expo 2012

VSL

SSO Sync

VSS ActiveVSS Hot StandbyVSS Active

VSS In-chassisHot Standby

VSS In-chassisHot Standby

SSOSync

SSOSync

VSS Hot Standby

Эффективное и автоматическое Sub-second восстановление

Доступность в релизе 1H2013


Cisco Expo 2012

РаспределениеРаспределение / / ядроядро

• eFSU обеспечивает апгрейд ПО для двух шасси в режиме реального времени

• Защита сетевых сервисов и доступность с резервированием маршрутов на уровне доступа

• Влияние на сеть ~1 сек для всего процесса апгрейда

VSL

ДоступДоступ

• Dual-Supervisor требует устройчивости ПО

• ISSU обеспечивает апгрейд ПО в рамках одного шасси в режиме реального времени

• Защита сетевых сервисов и ресурсов, доступность для проводных и беспроводных оконечных устройств

eFSU

Mismatch IOSVersion During

Software Upgrade

ISSU

4500E 6500E


Cisco Expo 2012

• Масштабируемость и / или конвергенция ядра сети может быть не столь эффективна с использованием только OSPF или EIGRP

• Большое кол-во крупных предприятий используют BGP (& MPLS) для обычной маршрутизации иtraffic engineering

• Правила BGP для определения “лучшего маршрута” и его изменений! PIC позволяет предопределить “резервный маршрут” для BGP!

Convergence withBGP PIC & BFD

50-150 milliseconds

Convergence w/oBGP PIC & BFD30-90 seconds

BFD provides sub-second BGPlink state updates

BGP relies on >1 second hello’s & then updates each prefix

OSPF 1

AS65202

10-20K Routes

OSPF 1

AS65203

10-20K Routes

OSPF 1

AS65201

10-20K Routes

AS65100

Best Path

Back Up

Best Path Back Up

AS65100

OSPF 1

AS65204

10-20K Routes


Построение архитектуры унифицированного доступа кампусной сети -ЗАКЛЮЧЕНИЕ


Cisco Expo 2012

Dis

tribu

tion

Dis

tribu

tion

Acc

ess

Acc

ess

Cor

eC

ore

Security Group Security Group AccessAccess

Simple, smart Simple, smart segmentationsegmentation

Device SensorDevice SensorInsight into what is on Insight into what is on

the networkthe network

EVNEVNSimplify network Simplify network

virtualizationvirtualization

What You What You Need to Need to DeployDeploy

Flexible NetFlow Flexible NetFlow Unprecedented Unprecedented

network Visibilitynetwork Visibility

MedianetMedianetMakes high quality Makes high quality

Coll5aboration / Video Coll5aboration / Video plug ‘plug ‘nn play easyplay easy

Smart Install Smart Install ZeroZero--touch touch

deploymentsdeployments

Auto Auto SmartportsSmartportsAutomate BYOD and Automate BYOD and

CollaborationCollaboration

EEMEEMAutomate your networkAutomate your network

Quad Sup VSS Quad Sup VSS SSO SSO

99.999% uptime99.999% uptime

StackWiseStackWise+ / + / StackPowerStackPower

Unparalleled stackable Unparalleled stackable uptimeuptime

ISSU / EFSUISSU / EFSUGuarantees Guarantees availability availability

ResilienceResilience TrustSecTrustSec

SmartSmartOperationsOperations

Application Visibility Application Visibility and Controland Control


Cisco Expo 2012


Cisco Expo 2012

40 Gbps with Two Level Shaping

SupportHD Video

40 Gbps with Two Level Shaping

SupportHD Video

DC BlockBorderless Campus

WiSM2 as MC/MTEWiSM2 as MC/MTE

Firewall: ASA. Per VLAN, VRF PoliciesFirewall: ASA. Per

VLAN, VRF Policies

802.1x EAP User

Authentication

Campus Backbone

Profiling to Identify Device

Posture of the Device

VLAN 10 VLAN 20

Internet Only

PolicyDecision

TroubleshootData, Voice and Video with FnF, NAM, Egress

NetFlow

TroubleshootData, Voice and Video with FnF, NAM, Egress

NetFlowPolicy

Decision

Full or Partial Access Granted

Corporate Servers

VDI Infra

Guest Servers

VLAN 30

SXP Session

SGT SGT SGT SGT

EVN Per VLAN/VRF Policies:Path Isolation

EVN Per VLAN/VRF Policies:Path Isolation

L3VPN over mGRE VRFs Across Sites

L3VPN over mGRE VRFs Across Sites

BGP PICFast

Convergence

BGP PICFast

Convergence

SGACL Enforcement

Monitor SGACL Dropped Traffic

SGACL Enforcement

Monitor SGACL Dropped Traffic

NAM-315+Gbps

Traffic Monitoring

NAM-315+Gbps

Traffic Monitoring

Medianet 2.2 Performance Monitoring Mediatrace

Medianet 2.2 Performance Monitoring Mediatrace

SmartInstallDirector

SmartInstallDirector

Employee Personal

Asset

Company Asset

Guest Personal

Asset

WiSM2 as Mobility Coordinator


1

32

4

4

5


Cisco Expo 2012

Операционная система для сетевых устройствОперационная система для сетевых устройств: : IOS 15.0IOS 15.0Рекомендованные дизайны Рекомендованные дизайны Cisco Cisco для внедрений в корпоративных сетяхдля внедрений в корпоративных сетях

ISE

Cisco Prime NCS

Cisco Catalyst 4500E, Cisco Catalyst 3750-X

End-to-End

IOS 15.0 ASR1000

Cloud ISR

WISM2ASA-SM

NAM-3

Cisco Catalyst 6500 VSS 4T

• Flexible NetFlow• Medianet 2.2

Services

• Microflow policing• NBAR2 with NAM-3• AVC with WISM-2

Application Application Visibility and Visibility and ControlControl

• SGT / SGACL• MACsec• NDAC

• CoPP• EVN / VRF-Lite• VPLS / A-VPLSTrustsecTrustsec

• Smart Install• Virtual Switching

System

• Embedded Event Manager (EEM)

• GOLD• Cisco Prime

Smart Smart OperationsOperations

• Quad Sup VSS SSO

• EFSU

• NSF / SSO• Multicast HA• BGP PICResiliencyResiliency


Cisco Expo 2012

Портфолио 2Tобеспечивает 4-кратное

увеличение соотношения производительность /

стоимость и дальнейшее развитие платформы до

2020 года

Портфолио SUP 2T на базе IOS обеспечивает

интегрированные сервисы для внедрения

в сетях без границ и ЦОД

SUP 2T оптимизирует производительность с

увеличением количества сервисов, обеспечивая

пути миграции на 10G/40Gи 100G

Инновации SUP 2Tнаправлены на ключевые

тренды корпоративных сетей следующего

поколения с сохранением инвестиций

СнижениеСнижение TCOTCO

ОсобенностиОсобенности

МиграцияМиграция

ИнновацииИнновации

Cisco Catalyst 6500 E-Series


Cisco Expo 2012

Представляем новое Мобильное приложение i6KНовое приложение, доступное для iPad и iPhone, предоставляет возможности для быстрой конфигурирации и составления спецификаций Catalyst 6500.

Скачайте Мобильное приложение i6K прямо сейчас!

Посетите http://ciscosell.fonemine.com для инсталляции приложения непосредственно на ваше устройство iOS или Android.

Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/quest

Ваше мнение очень важно для нас!

Спасибо за внимание!

Уровни ядра и распределения ЛВС следующего поколения....

Technology

Transcript of Уровни ядра и распределения ЛВС следующего поколения....