close

Вход

Забыли?

вход по аккаунту

- Cisco Connect

код для вставкиСкачать
Новое поколение DPI решений для задач
контентной фильтрации и виртуализации
сетевых функций
Денис Коденцев
Системный инженер-консультант
[email protected]
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
О чем пойдет речь?

Развитие решения Cisco Service Control

Применение SCE для задачи URL-фильтрации (blacklisting)

Автоматизация URL-фильтрации

Применение SCE для контент-фильтрации

DPI и виртуализация сетевых функций (NFV)
Что такое DPI?
Интеллектуальный анализ и управление IP трафиком
Классификация по приложениям; определение семантики
Привязка к индивидуальному абоненту, политике и состоянию
Выбор действия в зависимости от условий – время суток, наличие перегрузки,
потребленный объем и др.
Выполнение действия и генерация статистики
Установка QoS
Статистика
Маркировка
Блокирование
Перенаправление
Service Control
Развитие решения Cisco Service Control
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
4
Экосистема Cisco Service Control
Абоненты
SCE 10000
Разнообразие DPI решений
Аппаратное, виртуализированное и интегрированное
4M
Сегодня
2M
500K
Абоненты
1M
SCE10K
Сегодня
Сегодня
Virtual SCE
 Программное
решение
 Запуск на KVM
гипервизоре
5 Gbps
SCE8000
 1G/10G порты
 30G/240G (Кластер)
 До 1М абонентов
 8x10G порты
 60 G и 480G (Кластер)
 До 20М сетевых
потоков (flow)
 До 2М абонентов и
2500TPS
Q1 CY15
Интегрированный SCE
(iSCE)
 Запуск на сервисном
модуле для ASR9K
10 Gbps
Производительность
30 Gbps
60 Gbps
Масштабируемость
Scale
SCE10000 ключевые моменты
Производительность – 60G
Больше
абонентов– 2M
Быстрая интеграция
Уменьшение
Capex вложений
Уменьшение
TTM сервисов
SCE10000
vSCE
NG Cluster
Архитектура нового
поколения
Быстрый выпуск новых
продуктов и решений
Infra
Единая платформа
Меньше
места в
стойке – 2RU
Меньше
потребление
– 1200W
Платформа SCE10000
Платформа SCE10K
Cisco SCE10K
9
Архитектура


SCE10000 использует архитектуру SCE8000

Результат: Уменьшение TTM до 12 месяцев в
сравнении с 18-24 месяцами средними для
индустрии
Программная архитектура SCE10000 использует
аппаратную архитектуру SCE8000

Приоритезация трафика

Эффективность при большой пропускной
способности и сложности политик

Минимизация задержки

Эффективный пропуск трафика в случае
congestion
Совместимость с SCE8000



70% CLI SCE10000 аналогичны SCE8000. Только 30%
CLI созданы дополнительно
Обратная совместимость с SM/ CM/ SCA BB и QPS/ 3rd
party Policy Servers/ OSS системами с минимальными
затратами
Унифицированные SM/CM для всей линейки SCE
SCE10000 и SCE8000
Сравнение платформ
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
12
Масштабируемость
SCE8000
SCE10000
2 or 4 - 10G
8 or 16 – 1GBE
8 x 10G
2 x 10/ 100/ 1000
4 x 10/ 100/ 1000
Хранилище
4 GB
2x200 GB SSD or
2x300 GB HDD
Шасси
5 RU
2 RU
Потребление
1600 W
1200 W
Производительность
30 Gbps
60 Gbps
Макс.абонентов
1,000,000
2,000,000 #
Интерфейсы
Интерфейсы управления
Масштабируемость
SCE8000
SCE10000
16 M
20 M
TPS (Gx & SM)
850
3000#
Gx + Gy
850
1400#
Quota TPS - QM
1000
1400#
20K for v4/ 5K for
v6
32K for v4/ 8K for
v6
Subscriber/ Global Counters
48/ 192
64/ 256
RDR Rate
35K/sec
70K/sec
Макс. Flows (Bi-Directional)
Зоны
Абоненты, Flows и масштабируемость
• Одновременная поддержка максимального числа абонентов и flow
SCE8000
250k Subs
16 M
500k Subs
15 M
750k Subs
14 M
1M Subs
13 M
SCE10000
2M Subs
20 M
Размеры пакетов (в %) у крупных операторов
Регион
Тип SP
Европа
512- 1024- 1519 and Средний
1023 1518 above
размер
пакета
SIMBA 64status 127
128- 256256 511
Cable
Single
SIMBA
30.80
5.59
2.05
2.32
59.22
Not present
988.09
Япония
Broadband
Dual
SIMBA
36.61
6.27
2.83
2.70
51.56
0.027
835.92
Средний
восток
Broadband
Dual
SIMBA
41.75
5.62
2.47
2.83
32.37
15.05
824.60
Европа
Broadband
Single
SIMBA
43.77
4.78
2.51
2.90
44.32
1.69
782.75
Япония
Mobile
provider
Single
SIMBA
46.44
4.80
3.34
3.13
42.27
Not present
693.88
The data is picked from support files for 36 hour interval to
eliminate discrepancies due to peak-hour and off-peak-hour
Размер пакета в Интернет
Тенденция к
увеличению
среднего
размера
пакета
Source: Amsterdam Internet Exchange
(https://www.ams-ix.net/technical/statistics/sflow-stats/frame-size-distribution)
SCE10000 – есть ли узкое место?
Средний размер пакета
Bandwidth
512
60 Gbps
576 (IPv4 Min MTU)
65 Gbps
620
70 Gbps
60G Производительность
SCE10000 отлично
сбалансирован
для реальных
применений
Virtual SCE
Обзор решения
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
19
Предпосылки для виртуализированного решения
NFV/ SDN
Generic HW
• SDN/NFV способствуют развитию
виртуализированных решений
• Предпочтение стандартным
аппаратным решениям
• С целью уменьшения Capex и энергопотребления
• Уменьшение требований к персоналу по обслуживанию оборудования
Скорость внедрения
• Упрощение и ускорение внедрения
Масштабируемость
• Возможность оперативного
масштабирования решения в
зависимости от потребностей бизнеса
vSCE позиционирование
Одиночный DPI
NFV
vSCE запускается на
стандартном серверном
оборудовании
vSCE действует как DPI
NFV
Отлично подходит для
сценариев «try-and-buy»
vSCE официально
предлагается Cisco для
Service-chaining
Помогает заказчикам
тестировать новые
сервисы
Нет привязки к
оборудованию
Функциональность
 ПО запускается над гиперпизором KVM на любой x86
платформе
 Полное функциональное соответствие с SCE10000
 Network Function Virtualization (NFV) ready
 Возможность опробовать решение до приобретения
больших платформ – SCE8K, SCE10K
Сценарии для виртуализации DPI (NFV)
Cloud Datacenter
Service Controller
Virtual Private Cloud
NfV Services
FW
NAM
IPS
DPI
CPE
WAAS
GI-LAN | Consumer
Evolved Programmable Network
SP
Data Center
FW
CDN
IPS
DPI
CGN
WWW
vSCE масштабируемость
5G
10G*
8x1G
2x10G
Абоненты
225,000
450,000
Ядра CPU#
10
16
TPS (Login/ Logout)
300
500
VLinks
2048
2048
195,000
flows/sec
390,000
flows/sec
Интерфейсы
Flow Introduction/ Acquisition
Rate
vSCE – аппаратная конфигурация для 5Gbps
• Ядра: 10 @ 2.9 Ghz
• Память: 32 GB
• Сетевые карты: 8x1G
Пример конфигурации UCS (UCS C220)#
UCSC-C220-M3L=
UCS C220 M3 LFF w/o CPU, mem, HDD, PCIe, PSU, rail kit
1 Unit
UCS-CPU-E5-2667=
2.90 GHz E5-2667/130W 6C/15MB Cache/DDR3
1600MHz/NoHeatSink
2 Units
UCSC-PCIE-IRJ45=
Intel Quad GbE adapter
2 Units
UCS-MR-1X162RZ-A=
16GB DDR3-1866-MHz RDIMM/PC3-14900/dual rank/x4/1.5v
2 Units
UCSC-PSU-450W=
450W power supply for C-series rack servers
1 Unit
# The above configuration only lists essential components
Cisco Service Control
Планы по ближайшему развитию решения
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
26
NG Clustering – новый подход кластеризации SCE
S to N
SCE 1
Cluster
interface
Cluster
interface
BRAS
Internet
Gateway
SCE 2
Cluster
interface
N to S
SCE 3
Распределение интерфейсов
• 6 портов данных и 12 кластерных порта
в каждом SCE10000
•
•
•
•
•
•
•
•
•
3 NIC с двойными портами для данных
3 NIC с четырьмя портами каждый для кластера
До 7 SCE в кластере
Все SCE соединены в MESH топологию
В первом релизе NG Cluster ожидается
производительность ~300 Гбит/с
6 data port  3 S:N pair
Каждый SCE10000 сможет обработать до 45
Гбит/с
2x10G соединение между любой парой SCE в
кластере
И самое главное – ВНЕШНИЙ ДИСПЕТЧЕР НЕ
ТРЕБУЕТСЯ!
500K
Абоненты
iSCE – новое приложение для VSM (5.3.0)
Интегрированный SCE (iSCE)
 vSCE запускается на VSM для ASR9k
 Основные сценарии
 URL и контент фильтрация
 Управление трафиком на
глобальном уровне
 Аналитика
 Производительность до 25 Гбит/с
5 Gbps
Производительность
10 Gbps
30 Gbps
URL-фильтрация на базе SCE
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
30
Зачем это нужно?

Выполнение 139-ФЗ


http://78.rkn.gov.ru/directions/p4592/p11530/
Монетизация DPI
Родительский контроль
 Таргетированная реклама

URL-фильтрация на базе SCE
Cisco SCE
– Обработка только исходящего HTTP трафика (ассиметричный режим)
– Контроль на основе статических URL/Domain/IP списков
– Высокая масштабируемость – до 500 000 URL
DROP
Cisco SCE
HTTP GET
Разрешенный URL
HTTP GET
Разрешенный URL
Запрещенный URL
Сеть
Абоненты
Интернет
URL-фильтрация на базе SCE

Предполагает, что список фильтруемых ресурсов статический либо
обновляется редко и не требует мгновенного применения
оператором

Метод применим для выполнения ФЗ-139
Список обновляется 2 раза в сутки
 ФЗ требует применить ограничение к ресурсу в течение суток с момента
появления ресурса в списке


Описание базового процесса настройки:

http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel
41x/scabbug/scabbug/07_SCA_BB_UG.html#wp1175199
URL-фильтрация на базе SCE
Процесс настройки

Шаг 1. Получение списка запрещенных ресурсов

Шаг 2. Создание Flavor в GUI
URL-фильтрация на базе SCE
Процесс настройки

Шаг 3. Запуск скрипта на обновление базы URL в SCE:
Добавление URL:
 vSCE# configure terminal
 vSCE# interface Linecard 0


vSCE# sce-url-database add-entry url-wildcard *BLOCKED_URL.com flavor-id 210
Удаление URL:
 vSCE# configure terminal
 vSCE# interface Linecard 0


vSCE# sce-url-database delete-entry url-wildcard *BLOCKED_URL.com flavor-id 210
URL-фильтрация на базе SCE
О чем надо помнить

HTTPS трафик – URL, как правило, не видны для анализа

Глубина поиска HTTP GET в одном TCP потоке – влияет на точность
блокировки и производительность DPI

ClickStream – что делает сам абонент, а не web страница?
URL-фильтрация на базе SCE
Выводы

Простой процесс настройки

Высокая масштабируемость

Требуется адаптация списка Роскомнадзора в формат «понятный»
SCE


Возможно реализовать с помощью различного рода скриптов-парсеров
для текстовых/csv файлов
При изменении списка НЕ требует повторного применения сервисной
политики на SCE
Использование DPI для контент-фильтрации
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
38
Контент-фильтрация на базе SCE
Динамическая URL-фильтрация
Cisco SCE



Управление абонентскими контекстами
экспорт URL для анализа с
использованием специального вида
RDR
контроль HTTP трафика абонентов в
соответствии с заданной сервисной
политикой и текущим состоянием URL
кэша
Внешняя система категоризации


Определение категории URL,
полученных от Cisco SCE
Обновление URL кэша на Cisco SCE
через API
Контент-фильтрация на базе SCE
Динамическая URL-фильтрация. Выводы.
 Внешняя система может быть
реализована оператором
самостоятельно или
использовать готовые решения
 Необходимо реализовать всего
2 функции при взаимодействии
с SCE:
— Интерпретировать URL RDR
— По окончании процесса
категоризации запустить API
функцию
Заключение и выводы
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
41
Заключение и выводы

Линейка Cisco SCE получила долгожданное развитие

SCE10K и vSCE, которые дополняют, а НЕ замещают существующее
решение SCE8K!

Богатые планы по дальнейшему развитию линейки
iSCE на ASR9K VSM
 Увеличение производительности vSCE


Реализация контентной и URL фильтрации
статической или динамической
 самостоятельно или с помощью партнеров Cisco

Ждем ваших сообщений с хештегом
#CiscoConnectRu
Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Денис Коденцев
Системный инженер-консультант
[email protected]
CiscoRu
24.11.2014
Cisco
© 2014 Cisco and/or its affiliates. All rights reserved.
CiscoRussia
Ждем ваших сообщений с хештегом
#CiscoConnectRu
Спасибо за внимание!
Пожалуйста, используйте код для
оценки доклада
8317
Ваше мнение очень важно для нас
CiscoRu
24.11.2014
Cisco
© 2014 Cisco and/or its affiliates. All rights reserved.
CiscoRussia
1/--страниц
Пожаловаться на содержимое документа