Session: Cisco Intelligent WAN: Ou comment améliorer l’expérience en succursale
Presenter: Martin Langlois, Architecte de solutions technologiques
Date: October 27, 2015
Cisco Intelligent WAN: Ou comment améliorer l’expérience en succursale
1. Martin Langlois
Architecte de solutions technologiques
Octobre 2015 – Cisco Connect Montréal
Ou comment améliorer l’expérience en succursale
Cisco Intelligent WAN
3. WAN Intelligent : utiliser l’Internet ?
Transport sécuritaire et accès local à l’internet
Transport
optimisé et
sécurisé
Succursale
Accès direct
aux
applications
sur internet
Infonuagique
privée
Infonuagique
virtuelle privée
Services
infonuagiques
1. IWAN transport sécursé pour l’accès aux
données et aux applications de l’entreprise
2. Utilisation de Internet à partir de la succursale
pour rejoindre les services directement
Augmenter la performance du WAN tout en
assurant la rentabilité
Améliorer la performance des applications
par une diversification efficace des flux
MPLS (IP-VPN)
Internet
4. Intelligent WAN (IWAN) Architecture
MPLS
Succursale
3G/4G-LTE
Internet
Centre de
données
Infonuagique
Services
Internet
Application
Optimization
Visibilité sur les applications
pour permettre un transport
optimal
Secure
Connectivity
Offre de sécurité intégrée
Intelligent
Path Control
Routage par application
Transport
Indépendent
Simple et performant
Hybrid WAN
Gestion et automatisation
4
5. Modes de déploiement proposés
Dual MPLS Hybride Dual Internet
Niveaux de services (SLA, QoS))
x Ajout de nouveaux services
x Dispendieux
En utilisant une méthode de connexion sécurisée cohérente pour tous
les modes de déploiements
Permet SaaS et/ou +BW
Niveaux de services (SLA, QoS)
Jusqu’à 99.999%
Coût prix / performance (BW)
Gestion interne pour SLA
Jusqu’à 99.999%
Public Public Entreprise
Internet MPLS Internet Internet
Internet
MPLSMPLS
6. IWAN: une approche architecturale
• IWAN est une “Solution”
• Résous un problème
• Demandé par nos clients
• Approche systémique de développement
• Définie. Testée. Interopérable.
• Portée et complexité contenues
• Permets automatisation et améliorations
• Offres des résultats tangibles
• Simplifie l’opération du réseau
• Coûts moindres pour plus de bande
passante
• Améliore la performance des applications
• Accès direct vers l’infonuagique
• Accès visiteur distribué
IWAN
8. Design simplifié Connexions dynamiques Sécurité robuste éprouvée
Connexions flexibles et sécurisées sur les différents
types de transports
SécuriséFlexible
• Multi-homing avec plusieurs
fournisseurs simplifié
• Protocol de routage unique
• Solution répliquée sur les
différents médias
• Topologies « hub-and-spoke »
et de maillage complet
évolutives
• Élements de la solution certifiés
par les plus hautes normes de
l’industries
• Chiffrement en matériel
ISR
WAN
Internet
MPLS
ASR 1000
ASR 1000
Transport indépendant
HQsuccursale
8
9. IWAN – Design - Transport Indépendant
avec “Dynamic Multipoint VPN” (DMVPN)
• Technologie IPSec éprouvée
• Largement déployée et évolutive
• Utilise des procédés standards
• QOS: par tunnel, hiérarchique, adaptative
• Flexible & résilient
• Sur n’importe quel transport: MPLS, Ethernet, Internet, 3G/4G,..
• Hub-n-Spoke avec maillage dynamique (optionnel)
• Plusieurs options de redondance: matérielle, hub, transports
• Sécurité
• IPsec et pare-feu certifiés
• Chiffrement: AES-GCM-256 (Suite B)
• IKE Version 2
• IEEE 802.1AR Secure unique device identifier
• Déploiements simplifiés
• Cisco – guide de design et configuration pour IWAN
• Provisionnement automatisé – Prime, IWAN-App, Glue
Succursales
Internet MPLS
DMVPN
mauve
DMVPN
vert
IWAN HYBRIDE
Data Center
ISP A SP B
15. R84 R85
E0/2 E0/2
10.8.45.0/24
E0/2 E0/2
E1/0
10.9.45.0/24R94 R95
E1/0
DCI - 10.89.22.0/24
DMVPN1
(MPLS)
DMVPN2
(INET)
Tu100
10.0.100.13/24
Tu200
10.0.200.13/24
Tu100
10.0.100.84/24
Tu100
10.0.100.94/24
Tu200
10.0.200.85/24
Tu200
10.0.200.95/24
DC1
10.8.0.0/16
DC2
10.9.0.0/16
DMVPN
R12 R13
E0/0 E0/0
10.2.12.12/32 10.2.13.13/32
R11
R21
E0/0
10.1.11.254/24
10.2.11.11/32
R22
R83 R93R82 R9210.8.23.0/24 10.9.23.0/24
R11#show ip route !(Pas de VRF ici)
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
Gateway of last resort is 10.0.100.94 to network 0.0.0.0
D*EX 0.0.0.0/0 [170/13663573] via 10.0.100.94, 01:20:17, Tunnel100
p 10.0.0.0/8 is variably subnetted, 33 subnets, 4 masks
C p 10.0.100.0/24 is directly connected, Tunnel100
L p 10.0.100.11/32 is directly connected, Tunnel100
C p 10.0.200.0/24 is directly connected, Tunnel200
L p 10.0.200.11/32 is directly connected, Tunnel200
D p 10.8.0.0/16 [90/13653973] via 10.0.100.84, 01:20:17, Tunnel100
D p 10.9.0.0/16 [90/13653973] via 10.0.100.94, 01:20:21, Tunnel100
18. Acheminement contrôlé avec PfR
Exemple Voix et Vidéo
Succursale
MPLS
Internet
Services internet
• PfR surveille la performance du réseau et achemine le trafic
applicatif en fonction des politiques
• PfR balance le trafic sur tous les liens actifs pour permettre
une meilleure utilisation de la bande passante
Le reste du trafic est
en balancement de
charge
Voice/Vidéo sont
détournés si les seuils sont
dépassés
Voix/Vidéo utilisent le
meilleur chemin: délai,
gigue, perte de
paquets sont analysés
18
19. Performance Routing (PfR)?
MPLS Internet
Branch
BR BR
Data Center
MC
“Performance Routing (PfR) fournit des
renseignements supplémentaires au
routage classique afin de suivre et de
vérifier la qualité d'un chemin sur un
réseau étendu (WAN) pour déterminer la
meilleure voie pour le trafic applicatif "
MC+BR
19
20. SP1 (MPLS) ISP (FTTH)
• Préserver la qualité de la voix
et de la vidéo
Latence < 150 ms
Jitter < 20 ms
• Protège le courriel
perte < 5%
• Voix et vidéo utilisent le lient
SP1 de préférence
• Courriel utilise l’internet
• Bande passante utilisée plus
efficacement.
Politique pour le multimédia
Critique
Trafic Best-Effort
Haute latence
détectée
SP1 (MPLS) ISP (DSL)
Voix et Vidéo
Niveau de jitter
trop elevé
Courriel
Trafic Best-Effort
Bande passante pour les applications d’entreprise en premier
• Protection contre une trop
grande latence pour les
applications critiques < 250ms
• Chemin préféré SP1 (MPLS)
• Meilleure utilisation de la
bande passante en utilisant
tous les liens disponibles.
Applications prioritaires et balancement du trafic
20
21. Balancement du trafic
Pour maximiser l’utilisation de la bande passante
• Distribution du trafic sur tous les liens
• Balancement basé sur la vitesse du lien
• Les liens peuvent avoir des vitesses différentes
MPLS = 1.5Mbps
Internet = 15Mbps
ISR
WAN
Internet
MPLS
ASR 1000
ASR 1000
Data Center
50% T1 = 750kbps
50% 15Mbps = 7.5Mbps
21
30. Succursale
Proliferation
of Devices
Utilisateurs/
Machines
Private
Cloud
Permettre à IWAN de reconnaitre les applications
Application Visibility and Control (AVC)
DC/Headquarters
Public
Cloud
Cisco AVC
Application Performance
Visibility
• Application inspection à partir
des routeurs
• Collecte d’information à partir
de NetFlow v9/IPFIX
• Intégration dans plusieurs
outils de gestion
Smart Capacity
Planning
• Meilleure utilisation de la bande
passante
• Information disponible par
succursale
Business Objective
Enforcement
• Surveillance des niveaux de
services par application
• Améliore la possibilité de
respecter les niveaux de
services par application
30
AVC
31. Private
Cloud
Accélération avec WAAS + Akamai
Succursale DC/POP
Application
Optimization
• Améliore la performance des
applications
• Deux fois plus d’utilisateurs Citrix
sur le même WAN
• Retour sur l’investissement rapide
Content Caching
& Prepositioning
Simple and Scalable
• Intégré dans les routeurs
• Évolution avec AppNav
• Redondance intégrée dans la
solution
vWAAS
Proliferation
of Devices
Utilisateurs/
Machines
AppNav-XE
Controller
CSR
WAVE,
vWAAS
WAN
Amélioration de la performance des applications
31
• Diminue l’utilisation de la bande
passante tout en accélérant les
applications
• Mise en cache intelligente du
contenu interne et Internet
• Prépositionnement de données
et de médias avant qu’ils ne
soient nécessaires
32. Supports
Akamai Cloud | Single-sided Optimization | Secure Direct Cloud Access
Application Accélération + Prépositionnement
Améliore l’expérience utilisateur en diminuant la charge sur le WAN
AKAMAI CACHING
Transparent HTTP
Caching
Dynamic URL OTT
HTTP Caching
Akamai
Connected Cache
Content
Pre-positioning
CISCO WAAS Optimization
LZ
Compression
TCP
Optimization
Data
De-duplication
Application Specific
Acceleration
34. IWAN: connexions chiffrées
Transport MPLS
Succursale
MPLS (IP-VPN)
Internet
Lien Internet
Private
Cloud
Virtual
Private
Cloud
Public
Cloud
Deux sujets de préoccupations
1. Protéger le réseau des menaces externes tout en conservant la confidentialité
2. Protéger les usagers lors de l’utilisation des services infonuagique publique
34
35. IWAN Transport Sécurisé
IPSec VPN et Contrôle d’accès
• 1: Authentifié matériel et logiciel
Trust Anchor vérification
• Step 2: Secure Transport
IPsec VPN sur tous les liens
Chiffrement: IKEv2 + AES-GCM 256
F-VRF pour isoler les réseaux fournisseurs
• Step 3: Controler l’accès
IOS Zone-based Firewall où ACL
Accès par rôle avec journalisation
Minimiser la présence (exposition)
Utiliser les adresses fournisseurs dans les succursales
Ne pas publier dans le DNS les adresses des succursales
MPLS Internet
Branch
ASR 1000 ASR 1000
ISP A ISP C
Data Center
35
36. * RFC 6379 ** Not supported on older RP1 based ASR 1000s
Cisco Routeur: Certifications
FIPS Common Criteria Suite B*
140-2, Level 2 EAL4 Hardware Assist
Cisco ISR 890 Series P P
Cisco ISR 1900 Series P P
Cisco ISR 2900 Series P P
Cisco ISR 3900 Series P P P
Cisco ISR 4400 Series P P P
Cisco ASR 1000 Series P P**
36
37. IWAN – Accès direct à l’infonuagique publique
Branch
MPLS (IP-VPN)
Internet
DIA
(Direct Internet
Access)
Private
Cloud
Virtual
Private
Cloud
Public
Cloud
• Accès directe à l’infonuagique et à l’Internet
• Améliorer la performance (chemin le plus cours pour les flux)
Solutions
Sur Site – Zone Based Firewall
Infonuagique – Cloud Web Security
CWS
ISR-AX
ZBFW
37
40. • Customer wants advanced
provisioning, life cycle
management, and
customized policies
• System-wide network
consistency assurance
• Lean IT OR IT Network team
Cisco
Prime
Infrastructure
• Customer needs
customizable IWAN with
end-to-end monitoring
• One Assurance across
Cisco portfolio from Branch
to Datacenter
• IT Network team
Enterprise Network
Mgmt and Monitoring
Ecosystem Partners
IWAN App
• Customer wants
considerable automation
and operational simplicity
• Requirements consistent
with prescriptive IWAN
Validated Design
• Lean IT organization
Prescriptive
Policy Automation
• Customer looking for
advanced monitoring and
visualization
• QoS/ PfR/ AVC configuration,
Real-time analytics and
network troubleshooting
• IT Network team
Application Aware
Performance Mgmt
Advanced
Orchestration
Cisco IWAN - Portfolio de Gestion
49. Prime Infrastructure pour IWAN
• IWAN workflow avec PnP
• Template IWAN configurations
• PfRv3 Domain, MC and BR
• AVC One-Click
• QoS configurations
• Simple ou double Routeurs
• Basé sur les CVD
• Vérification prêt pour AVC
• Utilise APIC EM
51