SD-WAN とルータ実装例 Masahiko Suzuki Sr. Systems Engineer November 2016
Cisco SD-WAN ソリューション [1] Intelligent WAN [2] IWAN in DNA Arch. (CY2017) [3] Meraki ルータ機能 : 現 IOS 機能 (DMVPN, PfR, AVC 等 ) の組み合わせで SD-WAN を実現 マネジメント機能 :APIC-EM 3 rd Party 等 次世代エンタープライズ向けアーキテクチャ DNA (Digital Network Architecture) のフレームワークで SD-WAN を実現 Meraki に SD-WAN 機能を追加 管理 / 導入をシンプルに行うことが可能 対応プラットフォーム 対応プラットフォーム NEW!! MX シリーズ ASR1000 シリーズ ISR シリーズ * [1] は ISR4K のみ ENCS シリーズ CSR1000v ( 仮想ルータ )
[1] Intelligent WAN
IWAN SD-WAN を実現する IOS 機能 AVC MPLS Private Cloud ISR-AX ASR1000-AX Virtual Private Cloud WAAS Akamai PfRv3 Internet Public Cloud マネージメント & オーケストレーション トランスポートオーバーレイ インテリジェントなパスコントロール アプリケーション最適化 セキュアなインターネット接続 4 IPSec WAN オーバーレイ 4 全帯域の有効活用 4 アプリケーションの可視化 4 強力な暗号化 4 一貫した運用モデル 4 遅延 ジッタ 損失に基づいたアプリケーション最適パス 4 WAN 最適化 高速化 (Option) 4 Akamai Caching (Option) 4 IOS Firewall/IPS 包括的な脅威対策 DMVPN パフォーマンスルーティング AVC セキュアブランチ
1. IWAN オーバーレイ DMVPN (Dynamic Multipoint VPN) HUB&SPOKE 型のオンデマンドメッシュ型オーバーレイ HUB-SPOKE 間はスタティックトンネル SPOKE 間はダイナミックトンネルをオンデマンドで生成 セキュアオンデマンドメッシュトンネル HUB NHRP (Next-Hop Resolution Protocol) でアンダーレイとオーバーレイのアドレス解決を行う オーバーレイトンネルは Multipoint GRE であり 単一の GRE インターフェースで複数 GRE/IPSec トンネルを終端 VPN SPOKE-1 シンプルな設定で容易に SPOKE を追加することが可能 SPOKE-n SPOKE-2 スタティックトンネルスタティックな既知アドレスダイナミックトンネルダイナミックに解決するトンネル
1. IWAN オーバーレイ MPLS, INET アンダーレイネットワークイメージ図 Branch HUB DMVPN SPOKE PE PE MPLS PE DMVPN HUB Branch DMVPN SPOKE Internet DMVPN HUB
1. IWAN オーバーレイ DMVPN オーバーレイネットワークイメージ図 Branch DMVPN SPOKE PE DMVPN Group MPLS PE DMVPN HUB HUB Branch DMVPN SPOKE DMVPN Group INET INET DMVPN HUB
2. IWAN パスコントロール PfR (Performance Routing) 音声 / ビデオ / クリティカルデータは遅延, ジッタ, ロス無しの高品質な回線を経由 MPLS プライベートクラウド Branch その他のトラフィックは回線を最大限に活用するためにロードバランス インターネット 仮想プライベートクラウド 音声 / ビデオ / クリティカルデータは回線品質の劣化によってポリシー違反を起こすと 別の回線にリルートする PfR はアプリケーションや DSCP 単位のトラフィック毎のパフォーマンスの測定を行う 重要なトラフィックは高品質な回線へ それ以外のトラフィックはロードバランスを行う 等のポリシーを設定
IWAN パスコントロールルーティングレイヤの考え方 通常のルーティングプロトコルの上位から PfR でパスコントロールを実行! AVC/QoS パスセレクションポリシー パフォーマンスルーティング AVC/QoS オーバーレイ - ルーティングプロトコル (ibgp, EIGRP 等 ) オーバーレイトンネル (DMVPN) アンダーレイ - トランスポートレイヤ MPLS-VPN/ インターネットルーティング
2. IWAN パスコントロール PfR 動作概要 ISR ASR1K MC トラフィッククラスデータベース トラフィッククラス学習 MC トラフィックパフォーマンスの測定とレポート MC ベストパス BR BR BR BR BR BR MC+BR MC+BR MC+BR MC+BR MC+BR MC+BR MC+BR MC+BR MC+BR MC+BR BR MC+BR Step1: トラフィックポリシーの定義 Step2: トラフィッククラスの学習 Step3: パフォーマンス測定 Step4: パスエンフォースメント DSCP ベースまたはアプリケーションベースでトラフィッククラスを定義 求められるサービスレベルに応じてパスコントロールポリシーを定義 HUB Master Controller(HUB MC) から各 PfR Peer に分配される 現在 WAN を流れるトラフィックを DSCP またはアプリケーションベースのマッチングポリシーに基づき学習 HUB 及び Branch の Border Router で動作する BR においてトラフィッククラス毎のパフォーマンスを測定し その結果を MC にレポートする トラフィックポリシーとパフォーマンス測定結果に基づいて MC は BR へベストパスの指示を出す
2. IWAN パスコントロール Step1: トラフィックポリシーの定義 HUB MC におけるトラフィックポリシー定義 HUB HUB MC クラス Voice マッチングポリシー DSCP アプリケーション パス優先度 最優先 : MPLS 次優先 : INET 次々優先 : 4G パフォーマンス閾値 遅延閾値ロス閾値ジッタ閾値 HUB BR1 HUB BR2 ポリシー分配 Video Critical Data DSCP アプリケーション DSCP アプリケーション 最優先 : MPLS 次優先 : INET 最優先 : MPLS 次優先 : INET 遅延閾値ロス閾値ジッタ閾値 遅延閾値ロス閾値ジッタ閾値 MPLS INET Best Effort DSCP アプリケーション ロードバランス 遅延閾値ロス閾値ジッタ閾値 MC/BR MC/BR MC/BR BR Branch Branch Branch MC(Master Controller) の役割 ポリシーの定義 (HUB-MC のみ ) 各トラフィックのパフォーマンス評価とパスエンフォースメントの指示 マネジメントへの統計情報のレポーティング ( 可視化 ) BR(Border Router) の役割 WAN を流れるトラフィック種別の学習とパフォーマンス結果を MC へのレポート MC のパスエンフォースメントに従ったトラフィックフォワーディング
2. IWAN パスコントロール Step2: トラフィッククラスの学習 トラフィックの流れ MC MC へレポート MPLS MC/BR Site10 10.1.10.0/24 BR Performance Monitor 機能 WAN インターフェース Egress 方向で動作 トラフィッククラスを学習及び生成 INET MC/BR Site10 10.1.10.0/24 Prefix DSCP AppID Dst Site 10.1.10.0/24 EF N/A Site 10 10.1.10.0/24 AF31 N/A Site 10 10.1.10.0/24 0 N/A Site 10 10.1.11.0/24 AF31 Skype Site 11 l l トラフィッククラス : パスコントロールされる単位トラフィッククラスの要素 Ø 宛先プレフィクス Ø DSCP アプリケーション Ø 宛先サイト
2. IWAN パスコントロール Step3: パフォーマンス測定 Ch : DSCP=AF31 WAN1, WAN2 で Channel をあらかじめ生成 ( Channel は DSCP, サイト単位の論理パス ) MPLS Ch : DSCP=EF BR Ch : DSCP=EF BR Ch : DSCP=AF31 トラフィックの流れ INET Performance Monitor 機能 WAN インターフェース Ingress 方向で動作 トラフィッククラス毎の品質 ( 遅延 ジッタ ロス ) を測定 実トラフィック TCP, UDP, RTP のヘッダ情報から測定 実トラフィックで測定不可な場合はスマートプローブ (RTP) で測定
2. IWAN パスコントロール Step4: パスエンフォースメント Ch : DSCP=AF31 Ch : DSCP=EF MPLS WAN1, WAN2 で Channel をあらかじめ生成 ( Channel は DSCP, サイト単位の論理パス ) BR Ch : DSCP=EF BR Ch : DSCP=AF31 トラフィックの流れ トラフィッククラス評価 (MC) INET Performance Monitor 機能 WAN インターフェース Ingress で動作 トラフィッククラス毎の品質 ( 遅延 ジッタ ロス ) を測定 実トラフィック TCP, UDP, RTP のヘッダ情報から測定 実トラフィックで測定不可な場合はスマートプローブ (RTP) で測定 Prefix DSCP AppID Dst Site Present Channel Backup Channel 10.1.10.0/24 EF N/A Site 10 10.1.10.0/24 AF31 N/A Site 10 10.1.10.0/24 0 N/A Site 10 10.1.11.0/24 AF31 Skype Site 11 Channel の割り当て ( エンフォースメント ) 該当する Channel が無い場合 通常のルーティングに従う
PfR 参考資料 PfRv3 Technology Overview Wiki http://docwiki.cisco.com/wiki/pfrv3:technology_overview
3. IWAN アプリケーション最適化 AVC NBAR2 によるアプリケーション識別 IOS NBAR2 NBAR2: IOS が標準でサポートする DPI 機能でアプリケーション識別可能 IOS アップグレードなしでプロトコルライブラリをアップデート可能 http://www.cisco.com/en/us/prod/collateral/iosswrel/ps6537/ps6558/ ps6616/product_bulletin_c25-627831.html
3. IWAN アプリケーション最適化 AVC アプリケーションパフォーマンスモニタ アプリケーションフロー毎のパフォーマンスをトラック & レポート CSR AVC エンタープライズエッジ ブランチ AVC WAN NetFlow v9 AVC Private Cloud データセンター AVC NetFlow v9/ipfix のエクスポート エクスポーティング プロビジョニング コレクティング コレクティング コレクティング NetFlow/IPFIX のレコード トラフィックのスタッツレコード アプリケーションレスポンスタイムレコード メディアモニタリングレコード ( ジッタ, ロス等 ) Cisco マネジメントソフトウェア Prime, APIC-EM 3 rd パーティ LiveAction Living Objects
4. IWAN セキュアなインターネット接続セキュアブランチ * DIA: Direct Internet Access IOSセキュリティ機能 仮想アプライアンス機能 (vcpe) でセキュアなインターネット接続を実現セキュアブランチユースケースと利用機能の例ゲスト DIA クラウドアクセス DIA フル DIA 認証ベース DIA ゲスト l ZBFW(Zone based FW) l CWS(Cloud Web Security) l URL-Filtering l ZBFW(Zone based FW) l CWS(Cloud Web Security) l Snort IPS l FirePower l ZBFW(Zone based FW) l FirePower l TrustSec l ISE ゲストユーザのインターネットアクセス URL フィルタリングの適応 VLAN と ZBFW のセグメンテーション クラウドサービスへのインタネットアクセス 信頼されたクラウドのみアクセスを許可 全インターネットトラフィックを DIA HUB サイトと同レベルの Security をブランチに構築 TrustSec による認証ベースの DIA 信頼されるユーザのみインタネットへリダイレクト
IWAN SD-WAN を実現する IOS 機能 AVC MPLS Private Cloud ISR-AX ASR1000-AX Virtual Private Cloud WAAS Akamai PfRv3 Internet Public Cloud マネージメント & オーケストレーション トランスポートオーバーレイ インテリジェントなパスコントロール アプリケーション最適化 セキュアなインターネット接続 4 IPSec WAN オーバーレイ 4 全帯域の有効活用 4 アプリケーションの可視化 4 強力な暗号化 4 一貫した運用モデル 4 遅延 ジッタ 損失に基づいたアプリケーション最適パス 4 WAN 最適化 高速化 (Option) 4 Akamai Caching (Option) 4 IOS Firewall/IPS 包括的な脅威対策 DMVPN パフォーマンスルーティング AVC セキュアブランチ
IWAN マネジメントソフトウェア 企業向け ネットワーク事業者向け Prime Infrastructure IWAN APP APIC-EM 事業者向けに機能拡張中 NSO (Model Driven Provisioning) tail-f 社を買収 サードパーティ
[2] IWAN in DNA Arch. (CY2017)
Digital Network Architecture ビジョン サービスの定義付 & オーケストレーション エンタープライズコントローラ ( ポリシーの定義付 ) APIs Branch WAN / ブランチ WAN Agg キャンパス データセンタ Apps Branch SP Enterprise Fabric (Overlay) Apps インターネット Int. Acc クラウド Apps WAN VNFs Campus VNFs DC VNFs Cloud VNFs Network Function Virtualization
Digital Network Architecture ビジョン GUI 規定 サービスの定義付 & オーケストレーション モデル化 カスタマイズ サービス追加 トポロジ Easy QoS エンタープライズコントローラ ( ポリシーの定義付 ) プラグ & プレイ 分析 経路最適化 APIs Branch WAN / ブランチ WAN Agg キャンパス データセンタ Apps Branch SP Enterprise Fabric (Overlay) Apps インターネット セグメント1 セグメント2 セグメント3 Int. Acc クラウド Apps サービスチェイニング WAN VNFs Campus VNFs DC VNFs Cloud VNFs Network Function Virtualization
DNA Center End-to-End Enterprise Experience
DNA アーキテクチャにおける SD-WAN SD-Access の内容については当日のプレゼンテーションのみでのご提示となります 2017 年の CiscoLive 等で正式な発表がある予定です
Key Takeaway
Key Takeaway Web 掲載用 現 IWANソリューション Ø IOS 機能を駆使しSD-WANを実現する Ø 既存エンタープライズルーティングの延長線上の機能 (PfR, AVC 等 ) を用いておりカスタマイズ性が高い Ø ワールドワイドにおける導入実績が豊富であり 今後も継続的に開発投資を行う IWAN in DNA Arch. ソリューション (CY2017) Ø 次世代エンタープライズアーキテクチャ DNA のフレームワークとしてSD-WANを展開する Ø SD-Accessとの親和性が高く セグメンテーションをOverlayを超えて延伸可能 ニーズに合わせてSD-WANソリューションを選択可能