Cisco DNA ±интуитивная сеть для цифрового бизнеса ·...
Transcript of Cisco DNA ±интуитивная сеть для цифрового бизнеса ·...
Струнская Софья
Системный инженер Cisco
25 мая 2018
Cisco DNA – интуитивная сеть для цифрового бизнеса
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
$60BТратится на эксплуатацию сетевой инфраструктуры в год во всем мире (в том числе зарплата, инструментальные средства и прочее)
Почему компании тратят настолько много?
Необходимо подключать
множество разнообразных
устройств (клиентские, IoT)
ИТ службы вынуждены
поддерживать больше
сервисов
ИТ службы вынуждены
работать с большим
числом уязвимостей и
угроз безопасности
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Корпоративные сети сегодня – сложные …
VLAN 1 VLAN 2 VLAN 3
WAN
Branch A
VLAN A
Branch A
VLAN B
RemoteVLAN B
HQ
Сложность сетевой
изоляции
Негибкие политики
безопасности - LAN,
WLAN, WAN, ЦОД
Долгое внедрение
сервисов
Нет мобильности
пользователей
(«растягивание»
VLAN)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
… и имеют множество эксплуатационных проблем
95% 70% 75%
Операционных расходов приходится на поиск
неисправностей и диагностику
нарушений политик и правил из-за
человеческих ошибок
доля ручного труда при внесении изменений
Традиционные сети НЕ ГОТОВЫ к быстрым темпам развития потребностей бизнеса
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Инновационные решения и технологии Ciscoдля программно-определяемых корпоративных сетей
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сеть является
краеугольным камнем
процесса
цифровизации
Подключения Автоматизация Безопасность
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
К 2020 году
75%предприятий перейдут на цифровые
технологии или будут готовиться к этому, что произойдет с остальными …
Acce
ss W
AN
Assurance
Security
Как контролировать подключения к
сети?
Как минимизировать время простоя?
Как быстро находить источники
проблем?
Как управлять большим количеством
мобильных подключений??
Как разграничить права доступа?
Как управлять подключением к
нескольким облакам?
Как сокращать расходы на WAN?
Как защищаться от атак через
зашифрованный трафик?
Что приоритетно для Вас?
Цифровая интуитивная сеть - это ...
Cisco DNA
Постоянное
Обучение
Поддержка сотен новых устройств, приложений и пользователей
Постоянная
Защита
Прогнозирование проблемных событий и угроз
Постоянная
Адаптация
Немедленное реагирование на требования бизнеса
Cisco SD-AccessАрхитектура сетиДоступ пользователей и устройств к ресурсам
95%Всех изменений в сети производится вручную
WirelessRouters Switches
Единая сетевая фабрика
Автоматизированное
управление политиками
Программная
сегментация сети
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
DNA Center
AnalyticsPolicy Automation
Виртуальная сеть 1 Виртуальная сеть 2
C
B B
Клиентская граница
фабрики (Fabric Edge)
Контрольная
плоскость фабрики
(Control Plane Node)
Промежуточные
устройства (Underlay)
Точки
доступа
Fabric
Wireless
Контроллеры
Fabric Wireless
Внешняя граница
фабрики
(Fabric Border)Внешние сети
Архитектура Software Defined Access
Сегментация и встроенная защитаНадежное управление устройствами и пользователями
13
До внедрения
SD-Access
После внедрения
SD-Access
• Основано на VLAN и
IP адресах
• Создаются ACL для
разграничения
доступа
• Контроль в ручном
режиме
• Не зависит от VLAN
и подсети – единая
сегментация и
контроль доступа
• Определяйте
единую политику
доступа
• Политики следуют
за пользователем по
всей сети
Политики на основе групп
Доступ после идентификации
Полная автоматизация
Пользова-
тели
Устройства
Приложения
Удаленные пользователи
Устройства IoT
Гостевая сеть
Group 5
Group 3
Group 1
Group 6
Group 4
Group 2
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам
Что
Когда
Где
Как
Платформа Cisco Identity Services Engine (ISE)
ISE - это централизованное решение, которое позволяет автоматизировать управление доступом к сетевым
ресурсам с учетом контекста, «поделиться контекстом» с другими решениями и автоматизировать защиту
Дверь в
сеть
Физическая или
виртуальная машина
Контекстконтроллер
ISE pxGrid
15
Cisco SD-AccessМониторинг и управлениеДоступ пользователей и устройств к ресурсам
75%
Затрат приходится на постоянную модернизацию и перестройку сети
WirelessRouters Switches
Полный контроль за
сетью
Гарантированный QoE
Контроль за сервисами и
приложениями
Быстрое восстановление
сети
DNA Centerединый интерфейс
для автоматизации и
аналитики
APIC-EM Network Data PlatformIdentity Services Engine
Routers Switches Wireless APs
DNA Center
DESIGN PROVISION POLICY ASSURANCE
DNA Center
Simple Workflows
Wireless Controllers
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
DNA CenterDNA Center состоит из модулей автоматизации и аналитики
Automation
Design
• Глобальные
настройки
• Профили настроек
Provision
• Домен фабрики
• On-boarding устройств
• Инвентаризация
• On-boarding клиентов
Policy
• ISE, AAA, Radius
• Контроль доступа
• Контроль сервисов
Assurance
• Инциденты и тренды
• Производительность
• Проактивная
проверка
Планирование, развертывание, миграция
Проактивная оценка состояния сетевой инфраструктуры и сетевых сервисов
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Простота использования :Главная страница – какие главные проблемы наблюдаются в вашей сети?
Стартовая страница:
Где происходит
большинсво
инцидентов
Показатель
«здоровья» сети,
клиентов, сервисов
Топ 10 инцидентов и
трендов
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Поиск по пользователю и анализ проблем в контексте пользователя
Причина, по которой пользовали не могут подключиться определяется в 2-3 клика.
Поиск пользователя, который не может
получить доступ в сеть (пример поиска:
George Baker)
Убедиться в проблеме и просмотреть детали 1 2
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Успехи наших клиентовCisco DNA Center Assurance
“DNA Center Assurance
позволяет мне
проактивно находить
проблемы до того как
клиенты будут мне
звонить.”Manuel Ortiz III Senior Wireless
Engineer,
Houston Methodist Hospital
“Cisco DNA Center позволяет
моей сетевой команде
сфокусироваться на их
ключевых проектах и дать
больше ответственности
команде первой линии
поддержки.”Hans Vasters Senior Network Architect,
REWE Group
“Чем более интуитивно
понятен процесс поиска
неисправностей, тем
лучше для моей
команды.” Nicholas Yurkovich,
Chief Network Engineer, Scotiabank
Stanford UniversityResidential Department
MAJOR
LEAGUE
BASEBALL
Простота управления
21
Набор устройствВручную | Вероятность ошибок
Единая системаМасштабируемость | Простота
© 2018 Cisco and/or its affiliates. All rights reserved.
22
Cisco SD-Access —
встроенная безопасность
БезопасностьЗащита пользователей, устройств и ресурсов
41%
атак использует зашифрованный трафик, чтобы избежать обнаружения
WirelessRouters Switches
Network as a Sensor
Network as an Enforcer
Encrypted Traffic Analysis
Encrypted Traffic
Non-Encrypted
Traffic
Анализ зашифрованного трафикаАнализ метаданных без дешифрования потоков данных | Корреляция глобальных и локальных знаний
Автоматизация политик и сегментации по всей сети
99% точность обнаружения угроз
0,01% ложных срабатываний
Encrypted Traffic AnalyticsВидеть угрозы даже в зашифрованном трафике
Что поддерживается фабрикой SD-Access?
ASR-1000-X
ASR-1000-HX
ISR 4430
ISR 4450
WirelessRoutingSwitching
AIR-CT5520
AIR-CT8540
Wave 2 APs (1800, 2800,3800)
Wave 1 APs* (1700, 2700,3700)
Catalyst 9400
Catalyst 9300
Catalyst 9500
Catalyst 4500E Catalyst 6K Nexus 7700
Catalyst 3850 and 3650
AIR-CT3504
CSRv
*with Caveats
Subtended
CDB
3560-CX
NEW
NEW
NEWNEW
NEW
Представляем Catalyst 9KСоздан для SD-Access UADP 2.0 Open IOS-XE
x86
CPU
Single
Image
Converged
ASIC
Catalyst 9300
Lead Fixed Access
Catalyst 9400
Lead Modular
Access
Catalyst 9500
Lead Fixed
Core
Безопасность
Инновации
Encrypted Traffic Analytics
256bit MacSec / IPSec
Trustworthy Systems
Group based policy
Full Netflow for
StealthWatch
IoT
CoAP / IoT Device profiling
SD Bonjour
Perpetual PoE
IEEE 1588 / AVB
Emerging Standards (e.g MUD)
Облако
DevOps Toolkit
Netconf/Yang Models
Streaming telemetry
Patching/GIR
Application Hosting
Mобильность
Fabric Enabled Wireless
Embedded WLC
Distributed Wireless Scale
Unified Control & Policy
Wired & Wireless Guest
Catalyst 9300
Multigigabit
PoE+/UPoE
Data
Highest 2.5G & mGig Density in the Industry
4 x 1G 8 x 10G
4 x Multigigabit
2 x 40G
Stackwise-480
480Gbps
Stackpower
Zero Footprint
Power Red.
Larger Buffers
& Scale
UPoE on All
Ports
Catalyst 9400
4-Slot 7-Slot 10-Slot
Up to 9 Tbps System Capacity
Catalyst 9500
8 x 10G 2 x 40G
The only 40G Optimized Enterprise Class Switch
40 x 10G
12 x 40G
24 x 40G
Line rate on all ports
Up to 1.9 Tbps
© 2018 Cisco and/or its affiliates. All rights reserved.
29
SD-WANФилиальная сетьПростота и функциональность
WirelessRouters Switches
Простое развёртывание
и управление из облака
Прямой доступ в
Интернет и Облака
Поддержка гибридных
сетей
70% всех сотрудников находятся и 60% бизнеса создается в филиалах
SD-WAN
Четыре основных принципа Cisco SD-WAN
Обеспечение качества
работы приложений
Для облака
и в облаке
Возможности гибкой
эксплуатации
Cisco
SD-WAN
Обеспечение безопасной
и гибкой связности
Cisco DNAРезультаты уже сегодня
67%Экономия
времени при
создании сети
48%Уменьшение угроз
безопасности
61%Сокращение
эксплуатационных
расходов
80%Ускорение в
решении
возникающих
проблем
32
Решения Cisco для интеллектуальных сетей
Пользователи Устройства Приложения
Подключение проверенных пользователей к проверенным устройствам
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Преимущества:
• Простое и быстрое развертывание сервисов – централизованно с помощью контроллера
• Простая безопасная сегментация –изоляция групп пользователей и устройств
• Мобильность пользователей –разделение местоположения устройства и его IP адреса
• Политика – end-to-end на основе данных о пользователе, а не на базе IP адреса
Cisco SD-Access