4. Терминология -II
Архитектура сети, в которой разделены уровни управления и передачи
данных и при этом интеллект сети и контроль ее состояния
централизованы
Реализация возможности абстрагирования нижележащей сети от
использующих сеть приложений
[сетевая виртуализация]
Концепция использования программных интерфейсов для участия
внешних систем в управлении сетевыми сервисами и мониторинге
состояния сети 4
5. О чем спрашивают заказчикиCisco Customer Focus Group, SDN Survey, Dec ‘13
Основные проблемы
Что имеет значение?
В чем помогает
SDN?
0%
100%
Уровень важности
0%
100%
0%
100%
Вся ценность SDN –в решении практических задач
Сложность IT
Безопасность
BYOD
Cloud
Мобильность
Big Data
Visibility & Control,
End-to-End
Real-time
Automation
Agility
Efficiency
Уровень важности
Уровень важности
9. Но использует
контроллер
для маскирования
сложности
Сеть
Поведение сети определяет сетевой администратор…
10. WWW
СЕТЬ
Web
Admin
Network
Admin
Сравнение подходов Оба админа имеют прямой доступ к управлению одновременно
11. Web Dev GUI
WWW
Network
WWW
Admin
Network
Admin
Controller
Абстрагирование от сложностиПример для сетевого управления -Web -разработка
Фокус на Что?
И не на
Как?
2005 Power Technologist
2013 Non Technical Users
2010 Application Developers
2014 Intent Networking
2018Self Healing
2015
Partial Automation
12. Что такое политика (Policy)?
ЧТО?
КАК?
Policy способ упрощения за счет абстракции
13. Абстрагирование на примере обычной политики безопасности
Обычная модель
ЧТО?
«Политика безопасности для филиала А»
КАК?
«Изменить списки доступа на указанных элементах…»”
ЧТО?
«Политика безопасности для филиала А»
КАК?
Политика ACI
Задача
админа
Задача админа
Northbound API
APIC EM
]Политика ACI
ACI абстрагирует системное управление и использует программирование
на уровне политик
«Изменить списки доступа на указанных элементах…»”
14. Инфра-
структура
Контроллер
Бизнес
приложения
Новая модель абстракции сетевой среды от приложений
Есть выбор протоколовl/APIдля взаимодействия уровней
Интеллект сети и управление сетью централизованы
Архитектура сети, близкая к другим системам ИТ
SDN –архитектура управленияГибкие «программируемые» интерфейсы
•
CLI
•
SNMP
•
Web UI
•
NETCONF
•
XML
•
onePK
•
Openstack
•
Web UI
•
YANG
•
REST API
15. Intent Policies
High Level Constructs
Translation
Network Control Functions
QoS
ACL
Configuration
Трансляция высокоуровневых конструкций в сетевые функции –как способ сократить пробелы во взаимодействии между средой бизнес-приложений и сетевой средой
Cisco Intent Policy Management
16. Задачи для SDN
Автоматизацияуправления сетью, объединение доменов управления
Классика
SDN
Пользовательская обработка трафика (аналитика, шифрование)
Маршрутизация по произвольным критериям (SLA, стоимость, задержка, и т.д.)
Внедрение последовательных сетевых политик, политик безопасности и методик предотвращения вторжений
Объединение различных точек управления инфраструктурой(DC-WAN-LAN, Virtual-Physical, Layer-1-3, IaaS+VPN)
Сетевая виртуализация
Виртуализация сетевых сервисов (NfV)
Результат –создание быстро адаптируемой ИТ инфраструктуры.
Автоматизация сетевого управления и настройки физических и виртуальных устройств
16
17. Разные функции для разных потребителей
Пользовательская обработка трафика
(аналитика, шифрование)
Маршрутизация по произвольным критериям (SLA, стоимость, задержка…)
Внедрение последовательных сетевых политик, политик безопасности и методик предотвращения вторжений
Объединение различных точек управления инфраструктурой(DC-WAN-LAN, Virtual-Physical, Layer-1-3, IaaS+VPN)
Сетевая виртуализация
Виртуализация сетевых сервисов (NfV)
Результат –создание быстро адаптируемой ИТ инфраструктуры.
Автоматизация сетевого управления и настройки физических и виртуальных устройств
Разработчик
сетевых сервисов
Разработчик Приложений, Системный Администратор,
Оператор Сетевой Инфраструктуры
Создание новых и модификация существующих сетевых функций
Использованиеновой функциональности сети и интеграция с новыми или существующими программными системами (прикладное ПО и ПО для управления)
17
19. Управление на основе политик: Application Centric Infrastructure (ACI)
Появилась в ноябре2013в продукте Application Policy Infrastructure Controller (APIC)
Первоначально разработана для ЦОД
Сейчас –развитие политики ACIдля использования в корпоративных сетях
Недостающий элемент –контроллер, который может управлять политиками применительно к разным доменам управления
20. Архитектура APIC
APIC
APIC
EM
Data Center
WAN
Access
Controllers
Infrastructure
Network Aware
Applications
Endpoints
SECURITY
COLLABORATION
ORCHESTRATION
SERVICES
IoE
21. API
API
DC -Controller
Policy
ENT -Controller
Policy
DC = CAMPUS/WAN?
22. DC = ENTСтратегическое направление –единые политики
DC -Controller
ENT -Controller
API
API
Policy
Policy
Application Intent
User Intent
Common Policy
24. Базовые приложения для OF контроллеров
Сегментирование сети
Высокая степень гранулярности, физическая или виртуальная среда
Составление маршрута
по произвольным критериям
Статическое или динамическое задание маршрутов для потоков трафика по различным критериям
Зеркалирование(на основе политик) полезного трафика на произвольные устройства для последующего анализа, записи и т.д.
Network Tapping
(замена матричных коммутаторов)
26. Southbound APIs
Physical and Logical
Topology Manager
Device Manager
Host Tracker
ARP Handler
Forwarding Rules Manager
DijkstraSPF
L3Interface
Infrastructure (Core)
Java Bundle
H/A
NETWORK DEVICES
OF 1.x
OnePK
Troubleshooting
Production Network Requirements
Abstraction for Future SB Protocols
Java Provides Dynamic Component Linking
Advanced Feature Set vs.
Opensource
Published APIs Are Expandable
Service Abstraction Layer (SAL)
Dynamic Protocol Plugins
Import Topology from Inventory or other sources
Authentication
Monitor Manager
Topology Independent Forwarding (TIF)
Controller Applications
Slice Manager
Advanced Components
Cisco GUI
Cisco XNC Controller
Northbound APIs
OSGI
RESTful
Cisco Sourced
Customers
3rdParties
Network Applications
Cisco XNC Controller -архитектура
Flow Manager
27. Решение Nexus Data Broker
Network Tapping
•
Область применения –ЦОДы, корпоративные сети
•
Платформы –Cisco Nexus
•
Режим работы с платформой –гибридный
•
Размещение контроллера и приложения –внешнее или встроенное (в виде Linux-контейнера прямо на коммутаторе)
29. APIC –EM Постановка задачи
Автоматизацияручных процедур эксплуатации сети
Визуализация сети, объектно-ориентированный интерфейс
Поддержка существующей инсталлированной базы–
без необходимости замены оборудования и ПО
Ключевые приложения–для управления QoS, ACL, реализация Zero Touch Deployment, поддержкаIWAN,измеримый эффект от внедрения (OPEX, ROI)
Эластичность сервиснойинфраструктуры –
возможность наращивания мощности по мере внедрения
Автоматическаятрансляция с высокоуровневого языка бизнес-задач в сетевые инструкции
Расширенная аналитика –для быстрого реагирования на изменения в реальномвремени
30. Архитектура APIC-EM
Эластичные
Сервисы
APIC EM
Service AbstarctionLayer (SAL)
REST APIs
Сервисы
APIC EM
Inventory and
Topology
Identity and
Location
Application
Awareness
Policy Translation
QoS
Visualizer
Policy
Management
ZTD
Visualizer
ACL
Visualizer
Controller Infrastructure
CLI
Advanced Topology Visualizer
Automated
Provisioning
ПриложенияAPIC EM
Analysis and Compliance
Network Infrastructure Management
Для горизонтального масштабирования
Сервисы для приложений
Day 0/ Day 1
Приложения
Day0 /Day 1
Меньше программированиятиповых задач
IWAN
APIC-EM Controller
31. NIB
DAS
REST API
Pxgrid Client + LDAP client
AD Client + LDAP client
Radius Proxy + LDAP client
Inventory
Topology
QoS Compliance
ACL Analysis
Statistics Manager
NetFlow Collector
ZTD
Application Visibility
User Identity Helper Services
Application Identity Helper Services
Basic Services
Policy Creation Services
Policy Helper Services
Network Information Base
Legacy Support Services
Inventory Visualizer
APIC-EM Services
APIC-EM Apps
Topology Visualizer
Application Visualizer
Discovery
NETWORK -Catalyst, ASR, ISR, WLC
Easy QoS Visualizer
Network Discovery
Network Programmer
Policy Programmer (QoS, ACL)
Network Tapping
Easy QoS
Network Events
Compliance Check
ACL Visualizer
ZTD
Network Tapping Visualizer
Policy Engine
Conflict Detection and Resolution
(BI and NI)
Business Intent to Network Intent Conversion
Policy Manager
Policy Analysis Services
APIC-EM
Сервисы и приложения
IWAN
(PfR, WaaS)
IWAN Services
35. Easy QoS
Controller
Cognitive
Identity Services
Security
MSE
CUCM
Surveillane
FTP
Gold
Silver
Platinum
Best Effort
Приоритетная обработка трафика –настройка сети, а не отдельных устройствПростое внедрение политик качества обслуживания (Easy QoS)
Cisco Validated Design {CVD}
•
Корпоративные приложения автоматически классифицируются, им назначаются соответствующие классы обслуживания –с использованием рекомендаций CVD.
•Политики QoSприменяются к системе (а не к отдельному устройству) –проще, быстрее, надежнее и все по нажатию кнопки в интерфейсе управления приложения к APIC EM
36. Гранулярное управление доступом По пользователям, по приложениям,…
APIC-EM
Block
Bit-Torrent
ISE
Block
Bit-Torrent
AD/Radius Server
•Администратор создает правило по требованию бизнеса –блокировать определенные приложения для пользователей или групп.
•Контроллер использует информацию о пользователе для настройки пользовательской политики на границе сети.
•Управление в реальном времени –при перемещении пользователя контроллер переместит политику вслед за ним
User moves to a branch site. Policy moves with it
37. MPLS
Internet
Data Center
Branch
SP
ISP
Video
50
Delay = 70
Delay = 90
Delay = 200
ENC
TP -Video
TP -Video
Deteriorating Video Quality
ISR-G2
ASR
ASR
•
Трафик TP передается через MPLS, трафик YoutubeчерезInternet
•Задержка в сети MPLS повышается, качество видео страдает
•Специальное приложение для контроля производительности приложения инструктирует контроллер перенаправить TP трафик через лучший путь
•Применяется соответствующая политика QoSдля видео на этом маршруте
Smart Routing Автоматизированный выбор путей для трафика различных приложений
38. Profile Creation
-Policies for IOS version, Security
-Rules for Matching config to devices
TFTP Server
Customer branch
DHCP Server (Option 150)
Device Type
Serial Number
Connected to Device
Connected to Port
Connectedto Device Location
Connectedto Device Tag
3
ENG Controller
DHCP Server (Option 150)
TFTP Server Info
Config and Image
1
2
3
5
Bootstrap Config
4
SNMP Trap or CDP
Zero Touch Deployment (ZTD) Автоматизированная настройка и развертывание
•
Настройка и включение в работу сети новых устройств, обнаруженных контроллером в сети
•Профили устройств, включающие желаемые блоки конфигурации, версии ПО, критерии отбора ((PID, Serial No, Connected to Device, Connected to port) используются для классификации
•Поддержка локального TFTPдля начальной загрузки устройств
•CDP для быстрой локализации устройств
•Контроллер взаимодействует с обнаруженными устройствами по SSH и доставляет конфигурацию и образ ПО, доводя устройство до принятых в компании стандартов
39. Заключение
SDN подход дает возможность сфокусироваться на целевой задаче ИТ для бизнеса –задание политик, бизнес-цели (ЧТО?)
Контроллеры SDN транслируют требования в сетевые настройки(КАК?)
Контроллер –единая точка создания политик
Согласованность, предотвращение дубликатов и конфликтов правил
API дляпоказавозможностей сети:
Метод создания новых сетевых функций,
Комбинирование существующих возможностей без создания функции с нуля,
APIC EM–маскирует сложность сетевой инфраструктуры
APIC EM создан для работы с существующими сетями
на основе Cisco ASR/ISR/Catalyst