4. Эволюция виртуализации рабочих
мест
Мэнфрейм Клиент/Сервер Интернет Виртуализация
1960-1980 1980-1995 1995-2010 2010+
Размещение Штаб-квартира Филиал/ Домашний
Где угодно
пользователя корпорации Отделение офис
Ограниченный
Роль сети Отсутствует Доступность Стратегическая
интеллект
Сложность IT Низкая Средняя Высокая Низкая
Интерфейс Только текст Windows (GUI) Web Любой
Мобильность Отсутствует Ограниченная Улучшенная Полная
5. Что такое виртуализация десктопа?
• Отделение физического устройства от логического десктопа
• Запуск (хостинг) логического десктопа в Центре Обработки
Данных (ЦОД)
• Возможность доступа к логическому десктопу при помощи
сети
• Физические устройства различных типов обеспечивают
непрерывный доступ к логическому десктопу, предоставляя
пользователю возможность продолжать работу с момента
его последнего подключения Виртуализированный
десктоп, работающий в ЦОД
ЦОД
6. Общие компоненты виртуализации
десктопов
Иденти- Запуск Подклю-
1 Подключе-
ние к брокеру
2 Запрос 3 4 целе- 5
Назначение
6 чение ВМ 7
Соединение
на фикация ВМ установлено
соединений политики целевой вой ВМ клиенту к клиенту
пользова ВМ
-теля
Тонкий клиент
Active Directory
Смартфон/iPad Connection Broker
Брокер соединений
Вирт. ннфра-ра
Управление
вирт.
Аутентификация инфра-ой
Толстый клиент
Терминальный протокол
7. Архитектура Cisco VXI Продукты Cisco
Виртуализированное рабочее
Виртуализированный ЦОД Сеть без границ место
Приложения/ОС
AnyConnect VXC 6215
MS
Collab Finesse CTIOS Office Тонкий
Identity клиент
Системы виртуализации рабочих мест
Services
Engine
VXC 4000
Гипервизоры
Программный
клиент
WAAS UC Mgr vWAAS UCS WAAS
ASA
VXC 22xx &
Contact Center
Routing 21xx Ноль
(ISR) клиенты
ACE Security Nexus PoE
Gateway 1000v
Tablets
Смартфоны
DCN Cloud Compute Лэптопы
Системы хранения Ультрабуки
Коммутаторы Jabber
Сквозное управление, оптимизация и сервис
8. Архитектура VXI – дополнительная
информация
• 3-й день CiscoExpo 2012: 22 ноября
• Поток: Центры Обработки Данных
• Время: 15-25 – 17-30
• Сессия: Архитектура Cisco VXI для виртуализации
рабочих мест пользователей и её внедрение
– Введение и базовые элементы 15-25 – 16-25
– Сервисные элементы, масштабирование и
управление 16-30 – 17-30
9. VDI Протоколы и их выбор
• Протокол отображения экрана (display protocol) определяет
пользовательские характеристки и используемые ресурсы
• Уровень поддержки мультимедиа может определять выбор протокола
– Голос: Использование USB гарнитур или аналоговый
• Перенаправление USB (Redirection)
• Видео
– потоковое, телефония и совместная работа, графика
• Печать
– учет местоположения и мобильность
RDPv7 ICA PCoIP Другие
TCP 2598 UDP 50002 X11 (X
Транспорт TCP 3389
TCP 1494 UDP 4172 Windows)
ALP (Sun)
Полоса 384 Кбит/сек 120 Кбит/сек 192 Кбит/сек ARD (Apple)
VNC
10. Протокол Citrix ICA
Надежность сессии обеспечивается при помощи
инкапсуляции ICA трафика в TCP 2598 (Citrix Common
Gateway Protocol)
при трассировке отображается порт 2598, а не 1494
Небольшой
размер пакета
Порт 2598 (CGP)
11. Протокол VMware View PCoIP
• PCoIP это высокопроизводительный терминальный протокол,
являющийся частью архитектуры Vmware View: лицензирован у
компании Teradici
• PCoIP адаптируется к увеличивающейся в сети задержке и
уменьшению полосы пропускания, обеспечивая конечных
пользователей подключением к их рабочим столам независимо
от состояния сети.
• PCoIP поддерживает следующие функции:
– Поддержка до 4 мониторов и разрешение до 2560 x 1600
– PCoIP поддерживает 32-битную глубину цвета
– PCoIP поддерживает 128-битное шифрование
– PCoIP поддерживает стандарт Advanced Encryption Standard (AES),
который включен по умолчанию
• PCoIP использует протокол User Datagram Protocol (UDP) для
передачи аудио и видео данных
1
12. Выбор VDI клиентов
Толстые клиенты Тонкие клиенты Ноль клиенты
• Существующие/
повторно
используемые ПК с • Встроенная локальная
установленными ОС • Минималистическая
клиентами VDI • Допустимы локальные ОС
приложения • Для передачи отлика
• На ПК могут быть • Локальная поддержка от сервера
установлены обработки используется сеть
локальные мультимедиа трафика • Ресурсов для
приложения (голос и видео) поддержки локальных
приложений нет
• Ограниченная
Гибридные клиенты поддержка обработки
Существующие/повторно используемые ПК мультимедиа
Загрузка ОС из сети
Приложения хранятся удаленно, а запускаются локально
13. Влияние требований пользователей...
Типичный Приоритеты/ Технология
пользователь Преимущества
Сотрудники call-центров, Низкая стоимость Терминальный сервис
секретари Безопасность & Ноль клиент
Ограниченный набор compliance
приложений, ограниченные Простота
требования к развертывания и
Task Worker производительности управления
Консультанты, юристы, Мобильность, Виртуализированный
продавцы, менеджеры offline доступ десктоп
Стандартный набор Хороший Стриминг приложения
приложений пользовательский опыт или десктопа целиком
Средние требования к Персонализация Тонкий клиент
Knowledge производительности
worker
Инженеры, финансовые Безопасность & Виртуализированный
трейдеры, графические compliance десктоп
дизайнеры Выделенные Стриминг приложения
вычислительные или десктопа целиком
Приложения использующие ресурсы Тонкий клиент
Power интенсивные вычисления Безкомпромисный Акселерация
user Высокие требования к пользовательский опыт мультимедиа
производительности
15. Особенности VDI трафика
Данные Видео Голос VDI
Равномерный Взрывной/
Взрывной/ Взрывной
Малый средний Равномерный
Равномерный Средний размер
размер пакета: Микс пакетов
IMIX среднее: пакета: 800-1500
480 байт или большого и малого
300 байт байт
меньше размера
Отсутствие Mostly Variable Bit
Чувствительность Чувствительность
чувствительности Rate
и к задержками и и к задержками и
к задержками и Чувствительность
потерям потерям
потерям и к задержками и
UDP приоритет TCP Retransmits
Механизм потерям
(RDP & ICA)
TCP Retransmits UDP приоритет
UDP приоритет
(PCoIP)
16. Традиционные ПК – потоки данных
ЦОД Интернет
Unified
Communications
Приложения
граница
Email
Web
Internet
Security
Si
Доступ
Internet
Si
Распределение ASA
КАМПУС
VoIP/Collaboration
Si
Распределение
Приложения
Internet
Si
Доступ
17. VDI – потоки данных
ЦОД Интернет
Unified
Communications
Приложения
граница
Email
VDI Web
Internet
Security
Si
Доступ
Internet
Si
Распределение ASA
VDI
Кампус
VoIP/Collaboration
Si
Распределение
Приложения
Internet
Si
Доступ
18. VDI + Традиционные ПК – потоки данных
ЦОД Интернет
Unified
Communications
Приложения
граница
Email
VDI Web
Internet
Security
Si
Доступ
Internet
Si
Распределение ASA
VDI
Кампус
VoIP/Collaboration
Si
Распределение
Приложения
Internet
Si
Доступ
19. Требования к кампусной сети
Влияние Проблемы
• Профиль трафика • Высокая доступность – для
изменяется передаваемых данных и питания
• Безопасность конечных клиентов
• Дисплей протоколы могут быть
• Идентификация и
«невидимы» для сетевых
обспечечение политик
сервисов (QoS, безопасность,
безопасности для акселерация)
пользователей, • Проблемы задержки критичны
переместившихся в ЦОД но более актуальны для
удаленных пользователей,
• Функциональность функций задержка более 200* мс не дает
кампуса необходима на возможности пользователям
устройствах ЦОД нормально работать
(виртуализированный
коммутатор для гипервизора)
* Источник: Тесты VMWare/Citrix/Gartner
21. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
• Обеспечение высокой доступности
• Обеспечение питания PoE
• Автоматическая настройка
– Безопасность
– Управление
• Заключение
22. Снижение стоимости владения
• Постоянная доступность! – Высокая
доступность – Снижение времени простоя
сети == $$
• Упрощенное управление питанием – UPOE,
EnergyWise
• Автоматическая настройка по шаблонам –
“Zero Touch installation”
2
23. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
• Обеспечение высокой доступности
• Обеспечение питания PoE
• Автоматическая настройка
– Безопасность
– Управление
• Заключение
24. Дизайн сети с высокой доступностью
• Структурированность, модульность и
иерархия – ключевые основы
дизайна сети с высокой
доступностью Si Si
• Структурированный дизайн
позволяет управлять
– Потоками данных Si Si
– Поведением сети в случае сбоев
• Модульный дизайн
– Более простое развитие и изменения в сети
Si Si
• Иерархический дизайн
– Обеспечивает предсказуемую масштабируемость
– Выделение сетевых сервисов в отдельный строительный
блок
25. Non-Stop Forwarding / Stateful
Switchover (NSF/SSO)
Stateful Switchover (SSO)
• Механизм SSO обеспечивает синхронизацию состояния IOS между Активным и
Резервным модулями Супервизоров для минизации перерыва в передаче
данных в момент переключения между Активным и Резервным супервизором
• Перерыв в передачи данных: <200 мсек
• IOS образы должны быть идентичны
Non Stop Forwarding (NSF)
• Механизм NSF дает возможность протоколам маршрутизации реформировать
соседские отношения (gracefully restart ) после события SSO
• Модуль супервизора ставший активным продолжает передавать данные на
основе синхронизированных до момента переключения TCAM таблиц и таблиц
маршрутизации
• Протокол маршрутизации с поддержкой NSF запрашивает у соседа graceful
neighbor start
• Соседские отношения протоколов маршрутизации реформируются (reform)
26. Stateful Switchover (SSO) – настройка
4507_Sup7E(config)#redundancy Настройка SSO
4507_Sup7E(config-red)#mode sso
4507_Sup7E(config-red)#^Z
4507_Sup7E#show module
Chassis Type : WS-C4507R+E
Power consumed by backplane : 40 Watts
Mod Ports Card Type Model Serial No.
---+-----+--------------------------------------+------------------+-----------
2 12 10GE SFP+ WS-X4712-SFP+E CAT1428L01D
3 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1436L05J
4 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1436L056
6 12 10GE SFP+ WS-X4712-SFP+E CAT1428L02W
M MAC addresses Hw Fw Sw Status
--+--------------------------------+---+------------+----------------+---------
2 0026.0b79.81f5 to 0026.0b79.8200 1.0 Ok
3 c84c.75b4.1240 to c84c.75b4.1243 1.0 15.0(1r)SG1 03.01.00.SG Ok
4 c84c.75b4.1244 to c84c.75b4.1247 1.0 15.0(1r)SG1 03.01.00.SG Ok
6 0026.0b79.8105 to 0026.0b79.8110 1.0 Ok
Mod Redundancy role Operating mode Redundancy status
----+-------------------+-------------------+----------------------------------настроен
Режим SSO
3 Active Supervisor SSO Active
4 Standby Supervisor SSO Standby hot
27. NSF настройка
4510_Sup7E(config)#router eigrp 100
4510_Sup7E(config-router)#nsf
4510_Sup7E(config-router)#timers nsf ? EIGRP
converge EIGRP time limit for convergence after switchover
signal EIGRP time limit for signaling NSF restart
4510_Sup7E(config-router)#router ospf 100
4510_Sup7E(config-router)#nsf
4510_Sup7E(config-router)#nsf cisco ?
enforce Cancel NSF restart when non-NSF-aware neighbors detected
helper helper support
<cr> OSPF
4510_Sup7E(config-router)#nsf ietf ?
helper helper support
restart-interval Graceful restart interval
<cr>
4510_Sup7E(config-router)#router bgp 100
4510_Sup7E(config-router)#bgp graceful-restart ?
restart-time Set the max time needed to restart and come back up BGP
stalepath-time Set the max time to hold onto restarting peer's stale paths
<cr>
28. In Service Software Upgrade (ISSU)
• Автоматизированная процедура обновления IOS
• Простой <200 мсек не влияет на обработку трафика и
подачу PoE питания VDI клиентам
• Возможность отката на предыдущую версию в случае
ошибки при обновлении
• На Catalyst 4500E Sup 7E IOS XE запускается одной
командой:
issu changeversion bootflash:<image> quick
• Функция eFSU доступна в Catalyst 6500
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/issu_efsu.pdf
• Функция Rolling Stack доступна в Catalyst 3750X
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750x_3560x/software/release/12.2_58_se/configuration/guide/swstack.html#wp1295104
29. Control Plane Policing (CoPP) – настройка
Switch(config)# macro global apply system-cpp
Switch(config)# policy-map system-cpp-policy CoPP настройка
Switch(config-pmap)# class system-cpp-cdp
Switch(config-pmap-c)# police 32000 1000 conform-action transmit exceed-action drop
Switch(config-pmap-c)# end
Switch # show policy-map control-plane
..<SNIP>..
Class-map: system-cpp-cdp (match-all) Вывод Show
21 packets комманд CoPP
Match: access-group name system-cpp-cdp
police:
cir 32000 bps, bc 1000 bytes
conformed 3120 bytes; actions:
transmit
exceeded 0 bytes; actions:
drop
conformed 0000 bps, exceed 0000 bps
..<SNIP>..
30. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
• Обеспечение высокой доступности
• Обеспечение питания PoE
• Автоматическая настройка
– Безопасность
– Управление
• Заключение
31. Почему PoE на уровне доступа?
• Простота развертывания
– Один и тот же кабель используется для данных и питания ИБП для Настенная
• Централизованное управление питанием резервирования розетка
– EnergyWise
• Высокая доступность
– Централизованное резервирование, непрерывность работы
Si
– В большинстве сетевых устройств отказоустойчивые
блоки питания
– Широко распространено резервирование при помощи
Генераторов/ИБП/Батарейных блоков
• Минимизация TCO
Эффективность системы питания
- Общий блок питания более эффективен, чем
индивидуальные
- Кривая эффективности общего блока питания
оптимизирована для средней загрузки
- Общий блок питания стоиот дешевле, чем
индивидуальные блоки для каждого устройства
32. Характеристики UPOE
IEEE 802.3at (PoE+) UPOE Универсальная
природа
Cat5e Cat5e • Стандартный RJ45
коннектор
• Никаких изменений в СКС
по сравнению с PoE+
Высокая
30Вт 30Вт
доступность
30Вт • Uptime for critical apps
(e911)
60Вт • Снижение TCO при
помощи консолидации
• Максимальная • Максимальная мощность=
ИБП
мощность = 30Вт 60Вт
• Поддержка всеми Green
кабельными стандартами
• На 10% эффективнее чем
• Совместим с PoE и PoE+ автономный источник
питания
• Управление при помощи
EnergyWise
34. Cisco EnergyWise
Приложения для управления
Prime LMS 4.2 Verdiem Surveyor Joulex JEM CA ecoMeter 1E
(ранее: Orchestrator)
EnergyWise Toolkit Management API
EnergyWise домен
(коммутаторы и маршрутизаторы)
Устройства с поддержкой
EnergyWise при помощи SDK
PC клиенты Не-Energywise,
IP телефоны Smart PDU
(Lenovo) PoE устройства VDI
IP Camera Wireless
35. Настройка Cisco EnergyWise
energywise domain Campus security shared-secret 0 cisco energywise importance 70
energywise name Switch_Access
energywise keywords 4507_Sup7E Глобальные
energywise role Switch_Access настройки
energywise management security shared-secret 0 cisco
interface GigabitEthernet2/3
energywise importance 60 Настройки на
energywise role vdi-client-1
energywise keywords Campus.switch2.port0/3 интерфейсе
energywise name vxc-client-1
Switch#energywise query importance 70 name Switch* collect usage
Мониторинг при
EnergyWise query, timeout is 6 seconds:
помощи CLI
Host Name Usage Level Imp
---- ---- ----- ----- ---
172.28.103.136 Switch_Access 735.0 (W) 10 70
172.28.103.235 Switch_Dist 840.0 (W) 10 70
Queried: 2 Responded: 2 Time: 5.263 seconds
36. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
• Обеспечение высокой доступности
• Обеспечение питания PoE
• Автоматическая настройка
– Безопасность
– Управление
• Заключение
37. Автоматическая настройка
Auto Smart Ports
• Технология дает возможность
автоматического применения
определяемых пользователем
макросов к интерфейсу на основе типа
подключаемого устройства, а так же
дополнительных тригеров событий
(MAB, 802.1x и т.д.)
• Конфигурация удаляется когда
устройство отключается от порта или
пользовательская сессия разрывается
• Например когда коммутатор
обнаруживает Cisco IP телефон к
этому порту применяется макрос,
который настраивает голосовой VLAN,
политики Port Security и QoS
38. Auto Smart Ports – упрощение
настройки
Switch#show run int gi 2/1
description IP 9971 VDI
switchport access vlan 30
switchport mode access
switchport voice vlan 50
switchport port-security maximum 3
switchport port-security maximum 2 vlan access
switchport port-security
switchport port-security aging time 1
switchport port-security violation restrict Switch#macro auto global processing
switchport port-security aging type inactivity fallback cdp
load-interval 30
auto qos voip cisco-phone Switch#macro auto execute
CISCO_PHONE_EVENT builtin
storm-control broadcast level pps 1k
CISCO_PHONE_AUTO_SMARTPORT ACCESS_VLAN=30
storm-control multicast level pps 2k VOICE_VLAN=50
storm-control action trap
spanning-tree portfast
spanning-tree bpduguard enable
ip dhcp snooping limit rate 15
39. Auto Smart Port – включение порта
4500_Sup7E#show shell functions CISCO_PHONE_AUTO_SMARTPORT
function CISCO_PHONE_AUTO_SMARTPORT () {
if [[ $LINKUP -eq YES ]]; then
conf t
interface $INTERFACE
no macro description $TRIGGER
switchport
switchport access vlan $ACCESS_VLAN
switchport mode access
if [[ $AUTH_ENABLED -eq NO ]]; then
switchport voice vlan $VOICE_VLAN
fi
auto qos voip Cisco-phone
switchport port-security
switchport port-security max 2
switchport port-security violation restrict
switchport port-security aging time 2
switchport port-security aging type inactivity
spanning-tree portfast
spanning-tree bpduguard enable
macro description $TRIGGER
exit
end
fi
40. Auto Smart Port – отключение порта
if [[ $LINKUP -eq NO ]]; then
conf t
interface $INTERFACE
no auto qos voip Cisco-phone
no switchport port-security
no switchport access vlan $ACCESS_VLAN
no switchport port-security max 2
no switchport port-security violation restrict
no switchport port-security aging time 2
no switchport port-security aging type inactivity
no spanning-tree portfast
no spanning-tree bpduguard enable
if [[ $AUTH_ENABLED -eq NO ]]; then
no switchport mode access
no switchport voice vlan $VOICE_VLAN
fi
no macro description $TRIGGER
exit
end
fi
}
41. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
– Безопасность
• Аутентификация, Авторизация и
Местоположение
• Доступ на основе политик: TrustSec
• Изоляция
– Управление
• Заключение
42. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
– Безопасность
• Аутентификация, Авторизация и
Местоположение
• Доступ на основе политик: TrustSec
• Изоляция
– Управление
• Заключение
43. 802.1x сценарии внедрения
• Несколько способов реализовать сетевую аутентификацию
• Аутентификация устройств доступа к виртуализированным
столам при помощи IEEE 802.1X
– Стандартный и широко распространенный подход
– Использование Extensible Authentication Protocol (EAP)
• Резервный механизм при помощи MAC Authentication Bypass
(MAB)
– Реализуется в случае, если устройство не поддерживает
802.1X. Производится сверка с БД корпоративных MAC
адресов. Кампус
802.1X Кампусная
Supplicant сеть
MAB Radius Сервис
Cisco® Catalyst® Сервер каталога
Терминальные Switch
кампусные
устройства
44. 802.1x – настройка
802.1X
Порт неавторизован
Interface Config
Interface GigabitEthernet0/1
switchport mode access
Global Config switchport access vlan 2908
switchport port-security maximum 3
aaa new-model authentication control-direction in
aaa authentication dot1x default group radius authentication host-mode multi-host
aaa authorization network default group radius authentication event fail action authorize vlan 2909
authentication event server dead action authorize vlan 2909
radius-server host 10.100.100.100 authentication event no-response action authorize vlan 2909
radius-server key cisco123 authentication event server alive action reinitialize
authentication port-control auto
dot1x system-auth-control
authentication periodic
interface GigabitEthernet1/0/1 authentication timer reauthenticate 300
authentication port-control auto authentication timer inactivity 60
dot1x pae authenticator mab eap
dot1x pae authenticator
dot1x timeout tx-period 30
45. 802.1x – проверка конфигурации
Switch#show authentication session interface gi 1/1
Interface: GigabitEthernet1/1
MAC Address: 58bc.2775.a728
IP Address: 10.2.1.2
User-Name: CP-9951-SEP58BC2775A728
Status: Authz Success
Domain: VOICE
Oper host mode: multi-auth
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A0201010000000B404A3684
Acct Session ID: 0x00000016
Handle: 0x8900000C
Runnable methods list:
Method State
dot1x Authc Success
mab Not run
46. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
– Безопасность
• Аутентификация, Авторизация и
Местоположение
• Доступ на основе политик: TrustSec
• Изоляция
– Управление
• Заключение
47. Доступ на базе политик: TrustSec
Могу ли я Полный доступ к корпоративной сети
подключить мой • Низкая стоимость поддержки
собственный iPad • Высокий риск
к сети?
Централизованная
Система
Дифференци- управления
ированный доступ политикой доступа
• VXI сервис
Управление
• Internet
унифицированным
доступом
Доступ к корпоративной сети
отсутствует
Сотрудник
• Низкая стоимость поддержки
• Низкий риск
• Конвергентный мониторинг и устранение неисправностей
• Простые, масштабируемые политики доступа
• Корпоративное устройство с AD credential и сертификатом (EAP-TLS)
получает доступ к корпоративным ресурсам
• Персональное устройство (BYOD) получит ограниченный доступ
48. Доступ на базе политик: TrustSec
ISE
ISE
1 EAP аутентификация
4 Accept -> VLAN 30
2 Accept -> VLAN 20 Корпоративные
Сотрудник ресурсы
VLAN 20
CAPWAP
Один и тот же SSID
802.1Q Транк VLAN 30
3 EAP аутентификация Internet
Сотрудник
• Конвергентный мониторинг и устранение неисправностей
• Простые, масштабируемые политики доступа
• Корпоративное устройство с AD credential и сертификатом (EAP-TLS)
получает доступ к корпоративным ресурсам
• Персональное устройство (BYOD) получит ограниченный доступ
49. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
– Безопасность
• Аутентификация, Авторизация и
Местоположение
• Доступ на основе политик: TrustSec
• Изоляция
– Управление
• Заключение
50. Изоляция WAN Internet
• Посредством VDI пользователи
становятся ближе к внутренней
доверенной сети. Традиционные
десктопы изолируются при помощи
VLAN и МСЭ. Для VDI среды должны
быть выделены VLAN и МСЭ, хотя Кампус
фактически VDI «контейнер» будет Si Si
находится внутри ЦОД
• Необходимо изолировать трафик Si Si
зоны, в которой находятся web
сервера и сервера приложений от
зоны в которой находятся
виртуальные десктопы и наоборот Si Si Si Si
• VRF-lite, EVN -> для
маршрутизируемого уровня доступа
или уровня распределения
Здание 1 Здание 2
• На базе VLAN -> для L2 доступа Распределительные блоки
51. Использование EVN для изоляции VDI
vrf definition VDI
vnet tag 101
Ядро vrf definition VoIP
vnet tag 102
кампуса vrf definition Data
g1/0 vnet tag 103
interface g1/0
Уровнь 3 vnet trunk
Si Si
Уровнь 2
g1/1
interface vlan 21
vrf forwarding VDI
interface vlan 22
vrf forwarding VoIP
L2 interface vlan 23
транки vrf forwarding Data
interface vlan 31
VLAN 21 VDI VLAN 31 VDI vrf forwarding VDI
VLAN 22 VoIP VLAN 32 VoIP interface vlan 32
VLAN 23 Data VLAN 33 Data vrf forwarding VoIP
interface vlan 33
vrf forwarding Data
52. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
– Безопасность
– Управление
• QoS
• Мониторинг
• Заключение
53. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
– Безопасность
– Управление
• QoS
• Мониторинг
• Заключение
54. Quality of Service (QoS)
Качество обслуживания
• VDI трафик зашифрован и протоколы
являются частными (закрытыми)
• Недостаточная прозрачность приложений
внутри дисплей протокола
• Как следствие, весь VDI трафик нуждается в
приоритезации, поскольку по своей природе
чувствителен к потерям/задержкам
55. QoS - классификаторы
ip access-list RDP ip access-list MMR
permit tcp any eq 3389 any permit tcp any eq 9427 any
ip access-list PCoIP-UDP !
permit udp any eq 50002 any ip access-list NetworkPrinter
ip access-list PCoIP-TCP permit ip any host 10.1.128.10
permit tcp any eq 50002 any permit ip any host 10.1.2.201
ip access-list PCoIP-UDP-new !
permit udp any eq 4172 any ip access-list CUPCDesktopControl
ip access-list PCoIP-TCP-new permit tcp any host 10.0.128.125 eq 2748
permit tcp any eq 4172 any permit tcp any host 10.0.128.123 eq 2748
ip access-list ICA
permit tcp any eq 1494 any
!
ip access-list View-USB
permit tcp any eq 32111 any
56. QoS – Class Maps и Policy Maps
Class-maps Policy-map
class-map type qos match-any CALL-SIGNALING policy-map type qos pmap-HVDPort
match access-group name CUPCDesktopControl class CALL-SIGNALING
set cos 3
class-map type qos match-any MMR-STREAMING set dscp cs3
match access-group name MMR ! dscp = 24
class MMR-STREAMING
class-map type qos match-any TRANS-DATA set cos 4
match access-group name RDP set dscp af31
match access-group name PCoIP-UDP ! dscp = 26
match access-group name PCoIP-TCP class TRANS-DATA
match access-group name PCoIP-UDP-new set cos 2
match access-group name PCoIP-TCP-new set dscp af21
! dscp = 18
class-map type qos match-any BULK-DATA class BULK-DATA
match access-group name View-USB set cos 1
match access-group name NetworkPrinter set dscp af11
! dscp = 10
57. QoS – вывод show команд
• Просмотр статистики использования политик QoS
DC-WAN#show policy-map interface Serial0/0/0:0
Service-policy output: WAN-EDGE
GigabitEthernet0/0
Service-policy input: HQ-LAN-EDGE-IN Class-map: MMR-STREAMING (match-any)
5456 packets, 8052828 bytes
Class-map: MMR-STREAMING (match-any) 30 second offered rate 393000 bps, drop
3532 packets, 5249960 bytes Match: dscp af31 (26) af32 (28) af33 (30)
30 second offered rate 9000 bps, drop rate 0 5456 packets, 8052828 bytes
Match: dscp af31 (26) af32 (28) af33 (30) 30 second rate 393000 bps
0 packets, 0 bytes
30 second rate 0 bps Match: access-group name MMR
Match: access-group name MMR 0 packets, 0 bytes
3532 packets, 5249960 bytes 30 second rate 0 bps
30 second rate 9000 bps Queueing
QoS Set queue limit 64 packets
dscp af31 (queue depth/total drops/no-buffer drops) 0/0/0
Packets marked 3532 (pkts output/bytes output) 5456/8052828
bandwidth 5% (76 kbps)
Exp-weight-constant: 9 (1/512)
Mean queue depth: 25 packets
58. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения
– Безопасность
– Управление
• QoS
• Мониторинг
• Заключение
59. Мониторинг при помощи Mediatrace
• Mediatrace обнаруживает и initiator#show mediatrace session stats 1
Session Index: 1
опрашивает L2 и L3 узлы сети по …
направлению передачи потока Mediatrace Hop: 2 (host=responder2, ttl=253)
Metrics Collection Status: Success
• Mediatrace преимущественно Reachability Address: 10.10.34.3
Ingress Interface: Gi0/1
используется для видео Egress Interface: Gi0/2
Metrics Collected:
трафика,но может быть Flow Sampling Start Timestamp: 23:45:56
использован для сбора статистки, Loss of measurement confidence: FALSE
Media Stop Event Occurred: FALSE
которая аутальна и для VDI IP Packet Drop Count (pkts): 0
IP Byte Count (Bytes): 6240
IP Packet Count (pkts): 60
IP Byte Rate (Bps): 208
Packet Drop Reason: 0
IP DSCP: 0
IP TTL: 57
IP Protocol: 17
Media Byte Rate Average (Bps): 168
Media Byte Count (Bytes): 5040
Media Packet Count (pkts): 60
RTP Jitter Average (usec): 3911
RTP Packets Lost (pkts): 0
RTP Packets Expected (pkts): 60
RTP Packet Lost Event Count: 0
RTP Loss Percent (%): 0.00
60. Использование встроенного в IP SLA
симулятора трафика
• IP SLA признанное индустрией средство для измерения
джиттера, характеристк ICMP и т.д. и т.п.
• Используется для фоновых замеров и не влияет на трафик
реальных данных
• Рекомендуется использовать IP SLA Video Operation (VO)
пробник, профиль которого напоминает VDI трафик
• Возможность удаленного мониторинга и планирования
• IP SLA CLI и MIB интерфейсы обеспечивают простую
интеграцию продуктами NMS
Готова ли
моя сеть к
развертыванию
VDI? Si
Коммутатор D
Маршрутизатор C Маршрутизатор B Si
Коммутатор A
61. Содержание
• Традиционные ПК и виртуализация десктопов
• Требования к сети
• Принципы построения кампусных сетей для VDI
• Заключение
62. Заключение
• Идентифицировать группы пользователей VDI
• Определить клиентское оборудование для конечных пользователей
– Task Worker: Тонкий/Ноль клиент
– Knowledge Worker: Тонкий/Толстый клиент
– Power User: Толстый клиент
• Ресурсы ЦОД
– Увеличивается число серверных портов
– Функции уровня доступа «переезжают» в ЦОД
– Задачи сегментации трафика
• Вьбор протокола (RDP/ICA/PCoIP)
• Запланировать пилот для группы пользователей
• Спроектировать кампусную сеть
– Высокая доступность и Power over Ethernet (PoE)
– Безопасность 802.1x и TrustSec для BYOD
– Высокая производительность при помощи QoS и поиск и
устранение неисправностей при помощи функций MediaNet
63. Архитектура VXI – дополнительная
информация
• 3-й день CiscoExpo 2012: 22 ноября
• Поток: Центры Обработки Данных
• Время: 15-25 – 17-30
• Сессия: Архитектура Cisco VXI для виртуализации
рабочих мест пользователей и её внедрение
– Введение и базовые элементы 15-25 – 16-25
– Сервисные элементы, масштабирование и
управление 16-30 – 17-30
64. Спасибо!
Заполняйте анкеты он-лайн и получайте подарки в
Cisco Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!