Архитектура Cisco DNA · архитектура Контроль маршрута...
Transcript of Архитектура Cisco DNA · архитектура Контроль маршрута...
DIGITIZATIONЭра «цифровизации»
“Цифровизация” задает бизнес-приоритеты и ставит новые задачи для ИТ
Преобразование процессов и бизнес-
моделей
Инновации
Ускорение достижения
результата
Поддержка эффективной работы и инноваций
Повышение
эффективности
Сохранение кадров
Персонализация обслуживания
Повышение лояльности
Повышение
информированности
IoTМобильность Аналитика ОблакаК 2017 г. объем мобильного трафика
превысит объем проводного
К 2020 г. число IoT-
устройств утроится
75% планируют (или уже
инвестируют) в big data
К 2018 г. 80% организаций будут
активно использовать SaaS
«Беспроводка» IP-освещениеМашинное
обучение
Коллективная
безопасность
Архитектура цифровых сетей CiscoСеть для развития вашего цифрового бизнеса
Что всех объединяет?
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросовИсточники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
8
Network
Cеть – связующее звено инноваций
Множестов
технологий
Сложности текущих сетей на пути цифровизации
Слабая гибкость в
ответ на новые
требования
Ограниченое
понимание
приложений
Управление
коробками
На пути к цифровизации
95% 70% 75%
Цифровизация требует трансформации сети
Source: 2016 Cisco Study
OpEx сетевых
подразделений
Troubleshooting/
Monitoring
Сетевых изменений проводятся
вручную
Нарушений политик -«человеческий
фактор»
Абстракция
Zero touch deployment
Day 0 to Day N
Lower TCO
Published NB API’s
Cisco and Partner Apps
Openness
Преимущества от Enterprise SDN
Автоматизация
Brownfield and Greenfield
Embedded best practices
Massive Simplicity
Программируемость
Контроль
Centralized policy
Network wide deployment
Dynamic Network Agility
Cisco Digital Network Architecture
Автоматизация
Абстракция сети
и сквозные политики
контроля
Управление сервисами как из облака
Политики | Оркестрация
Виртуализация
Физическая и виртуальная инфрастуктура | Хостинг приложений
Аналитика
Сетевые данные,
Контекстный анализ
Возможность
заглянуть изнутри
и почерпнуть знания
для инноваций
Авоматизация и
набюдаемость
Безопасность и
соответсвие
требованиям
регуляторов
Принципы
Интегрированная безопасность
NW Sec | TrustSec | NaaS | NaaE | ISE
Сетевые приложения
Netconf/YANG | CLI | Netflow | Телеметрия
REST API | developer.cisco.com
Требования к ИТ
Автоматизация
Скорость разворачивания
отделений
Стоимость рабочего места
Сокращение ИТ
трудозатрат
Возможность быстрой
реакции на инновации
Скорость и качество
решения инцидентов
Безопасность
Скорость решения
последствий инцидентов ИБ
Готовность к аудитам
Снижение рисков потерь
Наблюдаемость состояния
Простота добавления
«из конца в конец»
Работа с
клиентами
Customer experience
Remote Expert
Таргетированный
маркетинг
Продуктивность своих
сотрудников
Гостевой Wi-Fi
Инновации для трансформации бизнеса
Design and
Deploy
Application
Experience
Next-Gen
Fabric
Analytics and
Assurance
Self-
Optimizing
C U S T O M E R O U T C O M E S
T E C H N O L O G Y E N A B L E R S14BRKNMS-2406
Digital Network Architecture (DNA)Enable Automation and Security at Scale
DNA – Solution Components
Bespoke Management and
Monitoring
Policy intent based Control and
Assurance
Secure Fabric based extension
of Policy and Assurance
Cisco Prime Infrastructure
APIC-EM
ISE
Отличия DNA подхода от традиционного управления сетью
Controller Abstraction
Best Practices Based
Integrated Security
Common Orchestration
Big Data Analytics
IT Process Integration
Политики – новый язык сетей
Лучший дизайн встроен в софт
Не только политики / настройки
Физические и виртуальные функции
Инсайты, не только информация
Фокус на экосистеме интеграции
Fabric Превращаем сеть в «фабрику»
Предусловия для трансформации IT
на встречу цифровизации
HW DNA
IOS-XE Everywhere
Fabric ready
Upgrade the
Infrastructure
APIC-EM Deployment
ISE Everywhere
SDN
Строительные блоки DNA
PROVISION MONITOR TROUBLESHOOT
DNA
Identity and
Security Policy
Network
Analytics
Network
Provisioning
PROVISION MONITOR
Enterprise Fabric
LAN WAN Cloud Remote AccessWireless
политики vs. конфигурации
С момента анонса Prime Infrastructure позиционировался как …
Платформа управления всей сетью: LAN, WLAN и WAN
TECNMS-2900 20
Недавно стал доступным APIC-EM
SDN-rонтроллер автоматизации всей сети : LAN, WLAN and WAN
TECNMS-2900 21
Software Defined Network Led Management
Management
(NMS)
NE NE NE NE
Customer developed
provisioning tools, manual CLI
changes, and run book
automation for IT Operations
support
Controller
(Policy and Control)
Management
(Provisioning and Assurance)
Automation
(Workflow / Orchestration)
NE NE NE NE
Customer input on business /
service intent
Traditional Management SDN Led Management
Network
Automation via
Feature
Configuration
Policy
Automation
Network vs. Policy Automation
Policy based Automation:
• Executed by APIC-EM Apps
• Business intent to network intent
• Prescriptive
• Business driven
Network based Automation/Configuration:
• Executed by Prime Infrastructure
• Focused on feature configuration
• Customizable
• Expert Led
Эволюция автоматизации политикpolicy
featurefeature
policy policy
feature
feature
policy
Oct 2015 Расширение политик за счёт новых
приложений и сервисов SDN
Software Defined Networks от CiscoПрограммно управляемая автоматизация сети
Существующая модель управления сетью
Security QoSPath
Optimization
Ручная настройкакаждой отдельной коробки
и так каждаотдельная
фича
…
Настройка функций
Ответ на вопрос: «Как?»
Настройка политик
Ответ на вопрос: «Зачем?»
Control Plane
Data Plane
Control Plane
Data Plane
Сетевое устройство Сетевое устройство
Контроллер
Происхождение SDN контроллеров
Prime Infrastructure
CiscoAPIC-EM
SDN controller
Cisco Unified Call Manager
Path Trace
Discovery
Plug-n-Play
Topology
Easy QoS
IWAN
ESA
Cisco Identity Services Engine
Дальше больше:- Безопасная сегментация сети
- … и множество других сценариев
Партнёрские приложения:- Работа с VDI- ….
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
`
APIC-EM - Platform Architecture
Network PnP Network InventoryPath TraceIWAN
Advanced Topology Visualizer
APIC-EM
Applications
APIC-EM Controller
Northbound REST APIs
APIC-EM
Services
Grapevine
Inventory
ManagerRBAC Policy Analysis
Policy
Programmer
Network PnPData Access
Service
Topology
ServicesIWAN
Services
Elastic Service Infrastructure
APIC-EM
Applications
APIC-EM
Services
Addresses
Scale Out
and HA
Requirements
29
Модель политик Cisco SDN – от филиала в ЦОД
Сетевой профиль потока приложений
SLA, безопасность, QoS, балансировка нагрузки
Облако ЦОД
ЦЕНТР
ОБРАБОТКИ
ДАННЫХ
Сетевой профиль пользователя или объекта
QoS, безопасность, SLA, устройство,
местоположение, роль
WAN Доступ
СЕТЬ WAN И
СЕТЬ ДОСТУПА
СОГЛАСОВАННАЯ ПОЛИТИКА ДЛЯ ОБЛАКА, ЦОД, WAN И УРОВНЯ ДОСТУПА
ПРЕИМУЩЕСТВА CiscoПРОЕКТЫ НА ОСНОВЕ ИМЕЮЩЕЙСЯ
ИНФРАСТРУКТУРЫ
И РАЗРАБОТКИ С НУЛЯ
КОМПЛЕКСНОСТЬСТРУКТУРА ПОЛИТИК: ОРИЕНТАЦИЯ
НА ПОЛЬЗОВАТЕЛЕЙ И ПРИЛОЖЕНИЯ
A pplication
C entric
I nfrastructure
U ser
C entric
I nfrastructure
Network Plug and Play (PnP)
Агент PnP
Выполняется на коммутаторах, маршрутизаторах и беспроводных ТД Cisco®
Автоматизирует процесс развертывания
Сервер PnP
Центральный сервер на APIC-EM
Управление узлами, устройствами, образами, лицензиями, рабочим процессом
Предоставление северных интерфейсов REST API
Протокол PnP
Выполняется между агентоми сервером
Открытая схема
Приложение PnP Helper
[ Дополнительно]
Выполняет начальную загрузку, проверки состояния и возможных неисправностей
Redpark RJ45
Apple 30pin
Redpark RJ45
Apple 8pin
GetConsole
Airconsole2.0
Адаптер Bluetooth
Облачный сервис переадресации
[ Дополнительно]
План развития, Фаза 2
Идентификатор устройства (SUDI) в схеме работы PnP
• «Замочек» показывает, что для подключеня устройства
использован Secure Unique Device Identifier
PnP – просто, безопасно и единообразно
Коммутаторы (Catalyst®) Маршрутизаторы (ISR, ASR) Беспроводная ТД
Панель управления APIC-EM PnP
Групповой импорт/экспорт APIC-EM
Поддержка интерфейса REST API для APIC-EM PnP
Python
APIC-EM API
PnP REST API
Существующие структуры
автоматизации заказчика
Структура автоматизации
(например, скрипты Python,
генератор конфигураций и т.д.)
Репозитарий устройств
и база данных
Сервисы политик: автоматизация IWAN
Проще обеспечить надлежащее удобство работы
в филиалахУскорение развертываний85%
Автоматизация IWAN позволяет устранить необходимость
в выполнении трудоемких задач по конфигурации
расширенных сетевых функций. Чтобы сконфигурировать
IWAN мне достаточно 10 раз щелкнуть мышью
в графическом интерфейсе.
«Динамика развития IWAN
Cisco ONE
Foundation
Уже доступно
Интеллектуальная маршрутизация
Высочайшая безопасность подключения
Оптимизация работы
приложений
Не зависитот типа
транспорта
200+развертываний
на 2500 объектах
Автоматическое развертывание
Настройка политик для приложений
Прозрачность и возможность точной
подстройки
"Укажи и щелкни" - все что нужно для
устранения неисправностей
Простые рабочие
процессы
IBM
»
`
Приложение IWAN на APIC-EM
2. Настройка узла филиала
1. Пошаговая настройка сети центрального узла
3. Определение и пользовательская настройка политик
для приложений
4. Мониторинг и устранение неисправностей
Сервис политик: EasyQoS
Внедрение QoS в 250 мс
Повышение возможностей
совместной работы
300% 50%уменьшение
джиттера для голоса
повышение
качества видео
Повышение удобства работыс приложениями
без вмешательства оператора
»
Приложение EasyQoS App значительно сокращает время
развертывания функции QoS в масштабе всей сети.
Теперь, благодаря автоматизации на основе политик,
мы можем реагировать на изменяющиеся потребности
приложений за считанные минуты или даже секунды.
«
Уже доступно
Выбориз предварительно
определенных политик
Автоматическое
развертываниеконфигурации
QoS
Оптимизированодля любой
инфраструктуры
Cisco ONE
Foundation
Edeka
Решение EasyQoS
Беспроводная ТД
Граница доверия
PEP
4Q (WMM)
Catalyst 3650
Граница доверия
PEP
2P6Q3T
Catalyst 4500
1P7Q1T
Catalyst 6500
1P3Q4T
1P7Q4T
2P6Q4T
…
Nexus 7700
F3: 1P7Q1T
WLC
PEP
ASR/ISRs
MQC
Catalyst 2960-X
Граница доверия
PEP
1P3Q3T
Беспроводная ТД
Граница доверия
PEP
4Q (WMM)
EM
Приложения могут взаимодействовать
с платформой APIC-EM через северные
API-интерфейсы, передавая сети информацию
о специфических потребностях приложений
и динамических изменяющихся требованиях QoS
Южные API-интерфейсы
переводят поставленные бизнес-
задачи в конфигурацию, понятную
для платформы
Сетевые операторы передают
поставленные бизнес-задачи
для решения в приложение
APIC-EM EasyQoS
Динамический рабочийпроцесс QoS Часть 1: Поступление голосовых/видео вызовов
EM
CUCM подает платформе APIC-EM сигнал о поступающем вызовечерез северный интерфейс REST API
APIC-EM подтверждает прием вызова (потока) и присваивает емуидентификатор потока (Flow-ID)
APIC-EM разворачивает динамические списки контроля доступа (ACL) для голосового и (или) видеовызова на определенных портах коммутацииоконечных устройств и назначает политики
ip access-list extended VOICE
permit udp host 10.1.1.1 eq 18578 host 10.2.2.2 eq 17333
ip access-list extended VIDEO
permit udp host 10.1.1.1 eq 31199 host 10.2.2.2 eq 24141
ip access-list extended VOICE
permit udp host 10.2.2.2 eq 17333 host 10.1.1.1 eq 18578
ip access-list extended VIDEO
permit udp host 10.2.2.2 eq 24141 host 10.1.1.1 eq 31199
POST /api/v0/fms/flow:{"srcIPAddress":"10.1.1.1","dstIPAddress":"10.2.2.2","srcPort":31999,"dstPort":21141,"mediaType":"video","qosClassName":"conversational.video.avconf.aq", "averageBandwidth":0, "peakBandwidth":0,"appid":"CUCM","codec":"H.264”}
{"response":{"data":"success","flowId
":"bc8727b7-76d0-4bac-94b9-fa6b76a1a803"},"version":"0.0"}
Динамический рабочийпроцесс QoS Часть 2: Терминация голосовых/видео вызовов
EM
CUCM подает платформе APIC-EM сигнал удалить идентификаторпотока терминированного вызова
APIC-EM удаляет динамические списки контроля доступа (ACL) и политики для голосового и (или) видеовызова с определенных портовкоммутации оконечных устройств
ip access-list extended VOICE
no permit udp host 10.1.1.1 eq 18578 host 10.2.2.2 eq 17333
ip access-list extended VIDEO
no permit udp host 10.1.1.1 eq 31199 host 10.2.2.2 eq 24141
ip access-list extended VOICE
no permit udp host 10.2.2.2 eq 17333 host 10.1.1.1 eq 18578
ip access-list extended VIDEO
no permit udp host 10.2.2.2 eq 24141 host 10.1.1.1 eq 31199
DELETE /api/v0/fms/flow/bc8727b7-76d0-4bac-94b9-fa6b76a1a803
СЕТЬ
ИТ-отделЗаявка на устранение неисправности
Визуализация маршрута
Пользователь
Простой рабочий
процесс
SDN
Открытая
архитектура
Контроль
маршрута
приложения
Анализ потока APIC-EM
Простое визуальное обнаружение проблемных мест
в канале связи с использованием принципа 5-Tuple
Операционные затраты на обработку заявки снижаются на 98%
С 1,4 часа до 1 минуты
Анализ потока APIC-EM – UI
Туннель
CAPWAP
Точность
ECMP
Источники информации
о канале связи
Статистика канала связи
Интересующая область
Анализ потока APIC-EM – UI
Обратный
тракт
Наглядное
сравнение
Обнаружение
проблемыВ нашем случае:
на обратном тракте
REST APIКак это работает?
Приложение
REST API
Обработка
Ответ
Выбор действия
APIC-EM пример: Get Host
44
Приложение
GET http://{APIC-EMController}/api/v1/host
Список узлов в формате JSON
Запрос
Ответ
Анализ потока APIC-EM – REST API
{
"sourceIP": "65.1.1.46",
"destIP": "207.1.10.20"
}
На вход 5 tuple
Анализ потока APIC-EM – REST API
{
"response": {
"request": {
"sourceIP": "65.1.1.46",
"destIP": "207.1.10.20",
"periodicRefresh": false,
"id": "4c5593bf-82cf-4d05-b48f-c7d281d6ec1d",
"status": "COMPLETED",
"createTime": 1456963660187,
"lastUpdateTime": 1456963662051
},
"lastUpdate": "Thu Mar 03 00:13:54 UTC 2016",
"networkElementsInfo": [
{
"id": "d826268d-d34b-416f-b16b-b37f9c49d314",
"type": "wireless",
"ip": "65.1.1.46",
"linkInformationSource": "Switched"
},
{
"id": "727376ea-f586-4cce-8fb0-eab891694c6e",
"name": "AP7081.059f.19ca",
"type": "Unified AP",
"ip": "55.1.1.3",
Анализ потока Формат JSON
Проверка статус = ЗАКОНЧЕНО
Пример: подсети, контролируемые APIC-EM
Проблема: Как получить полный список всех подсетей, контролируемых платформой APIC-EM?
Пример из реальной жизни
:
for item in interface_list:
if (item[0] != '') & (item[1] != ''):
subnet = ipcalc.Network(item[0] + "/" + item[1])
subnets.append(...)
:
Решение: используйте API-интерфейсы REST платформы APIC-EM:
1) Для каждого устройства сети:
2) Извлеките данные об IP/подсетивсех интерфейсов в список
3) Выполните дедупликацию подсетей
4) Отсортируйте список
См.:https://communities.cisco.com/people/steffenwebb/blog/
2016/04/07/get-all-subnets-from-apic-em-controller виртуальная СЕТЬ-, ПРИЛОЖЕНИЯ-, УПРАВЛЕНИЕ- ФУНКЦИИ
КОММУТАЦИЯ | МАРШРУТИЗАЦИЯ | БЕСПРОВОДНЫЕ СЕТИ
Subnets seen by APIC-EM:
40.0.0.0 /24
40.0.1.0 /30
40.0.1.4 /30
40.0.1.8 /30
40.0.1.12 /30
40.0.1.16 /30
40.0.1.20 /30
40.0.1.24 /30
40.0.1.28 /30
40.0.1.32 /30
40.0.1.36 /30
40.0.1.40 /30
40.0.1.44 /30
40.0.1.48 /30
40.0.2.0 /30
40.0.2.4 /30
40.0.2.8 /30
40.0.2.12 /30
40.0.2.16 /30
40.0.5.0 /24
40.0.7.0 /24
172.10.0.0 /24
172.20.0.0 /24
192.168.1.0 /24
192.168.2.0 /24
Тр
ад
иц
ио
нн
ая
ИТ
-инф
растр
укт
ур
а
Пример: Интеграция функции инвентаризации ресурсов
Проблема: Как использовать возможности платформы APIC-EM по анализу и инвентаризацииинфраструктуры для обеспечения контроля сервисов?
Пример из реальной жизни
Решение: Интегрируйте API-интерфейсы REST платформы APIC-EM с существующей системой Paessler / PRTG:
1. Определите соответствующие области сервисов
2. Запустите программу APIC-EM Discovery
3. Предоставьте программе инвентаризации запасов APIC-EM доступ через API-интерфейсы REST и модульный адаптер/инструмент PowerShell
4. Выполните корреляцию полученных данных с информациейEoX на портале apiconsole.cisco.com
5. Предоставьте доступ сотрудникам ИТ-отделаи пользователям DevOps через PRTG
См. www.damovo.com
виртуальная СЕТЬ-, ПРИЛОЖЕНИЯ-, УПРАВЛЕНИЕ- ФУНКЦИИ
КОММУТАЦИЯ | МАРШРУТИЗАЦИЯ | БЕСПРОВОДНЫЕ СЕТИ
4)
Example: Dynamic Admission Control
Problem: How to consistently and predictably implement dynamic call admission control (DAC) policies on top of an IP network, across campus and branches, supporting multiple communication and collaboration technologies ?
Real-World Example
Solution: Leverage DNA and APIC-EM capabilities to integrate with communicationand collaboration controllers
1) Define Admission Control Policies in Netwrapper
2) Integrate with Communication Controllers(Skype4Business, Cisco CUCM, …)
3) Integrate with APIC-EM NIB and Easy QoS
4) Communicate and Operate with predictableQoS and SLA
See: www.italtel.com/products/sdn-monitoring-automationhttps://marketplace.cisco.com/catalog/companies/italtel-s-p-a/products/netwrapper--2
WAN
Branch Branch
2)
3)
1)
Service Topology
Analyzer
Policy Engine
QoS
Adapter
CAC
AdapterNetwrapper
Application-Driven Dynamic Policy
Client A calls
client B
QoS policy enabled
on network device
Application
Dynamic Policy
Management
Call ends
Client sends call setup
info to App server
Client sends call teardown
info to App Server
QoS policy removed
from network device
Application
Dynamic Policy
Management
App Server calls APIC-EM
to setup policy
APIC
EM
SDN API
App Server calls APIC-EM
to delete policy
APIC
EM
SDN API
Network
Example: Visualizing Multicast
Problem: In a Hospital, Multicast is used for critical Medical Equipment as well as Patient Entertainment and Media – data privacy is a key concern. How to visualize the relevant multicast information?
Real-World Example
1)
Multicast Visualizer App
2)
Solution: Harvest information from the network and create custom, augmented displays
1) Collect relevant Topology, Inventory and Host information from APIC-EM
2) Augment with Multicast tree(s)
3) Use NeXt UI to for visual representation
4) Share with operational staff
See: http://www.anyweb.chhttp://www.hsr.ch
NeXt UI Toolkit3)
Example: Hybrid Services – Cisco IT
Problem: How to consistently monitor and troubleshoot a growing set of business critical hybrid services (on-premise + cloud-based) ?
Solution: Detect and Alert via ThousandEyes Probes:
• Leverage existing Cloud-based Probes
• Deploy Mac-Mini Probes into key Locations
Real-World Example
• Deploy Virtual Probes into key Locations(IOS XE Virtual-Service on ISR 4451)
• Reduce MTTT -43% and MTTR -8%
See: blog.thousandeyes.com/troubleshooting-cloud-services-cisco
Example: On-Demand Branch Manageability
Problem: When Enterprise Branch Services become virtualized and elastic, how to provide local visibility and management on-demand?
Solution: Deploy local Discovery and Management on-demand within IOS XE virtual-service containers
• Create pre-installed, pre-configured KVM
• Package as IOS XE Virtual Service .ova
• Deploy onto ASR. ISR, CSR on-demand
• Activate and Use
• Remove when no longer required
See: http://www.nedi.ch/running-nedi-on-a-cisco-router/
Real-World Example
nedi.ch
Virtual Service List:
Name Status Package Name
----------------------------------------------------
csr_mgmt Installed iosxe-remote-mgmt.03.17...
nedi Activated nedi.ova
Device-Level API – RESTCONF
Problem: How to programmatically interact with a Router – in a model-based, loosely coupled, easy to understand and standards-based way?
Solution: Use RESTCONF from IOS XE3.17 (and XR 6.1) onwards
• RESTful interface over HTTPS
• JSON/XML Data Representation
• Based on YANG Models
• IETF Standard Models where they exist
• Cisco Models where common across platforms
• Cisco Platform specific models
• ASR1000, ISR4000, CSR1000, …
Try it out – available today
YOUR App
HT
TP
S
JSON
/ XML
Deploy, Report, Measure, Adjust, Repeat
Analytics
Instrumentation Telemetry Correlation
Measure and Adjust
Click here to Correct
Always Correct this way
(and never ask me again)
Applications
Automated Deployment
Network
Endpoints
Run Reports
Discover user insights
Deliver relevant content
APIC EM
AnalyticsNetwork Data, Contextual Insights
Analytics
DNA Analytics Design Paradigms
IOSASIC
Apps EcosystemCustomer Experience | Workforce Experience | Developer
Experience
Data Processing Normalization | Curation | Contextualization
Identity | Location | Network
Traffic | Applications
Network Data GraphsDistributed | Structured | Correlated
Data Ingestion
Automation
Abstraction & Policy Control
from Core to Edge
Open & Programmable | Standards-Based
Open APIs | Developers Environment
Cloud Service Management
Policy | Orchestration
VirtualizationPhysical & Virtual Infrastructure | App Hosting
Analytics
Network Data,
Contextual Insights
Network-enabled Applications
Cloud-enabled | Software-delivered Network Elements
Digital Network ArchitectureDeveloper Efficiencies: Multi-tenant cloud and on-
premises support complete with standards-based APIs, Natural Language Processing, 3rd party integrations, and DevNet ecosystem
Analytics Efficiencies: leverage built-in 1) enrichment of network events with contextual metadata, 2) correlation across multiple data sources, and 3) situational context via knowledge-based databases and ML analytics
Single Source of Curated Network Data: Not just collector of raw logs and metrics, but normalizing and organizing data both in-motion and at-rest for real-time and batch processing
Telemetry Quotient: automatically assess network monitoring capabilities as well as provide Tesseract-orchestrated telemetry configuration and collector provisioning across the entire network fabric
Telemetry Efficiencies: eliminate unnecessary overhead on edge platforms by providing the right data - rich, low-bandwidth, pre-processed telemetry across switching, routing, and wireless systems
AnalyticsNetwork Data, Contextual Insights
Open Device Programmability
Other vendors…
RESTCONF NETCONF gRPC
Data Model
Configuration
StandardDevice Specific
Device Features
Interface BGP QoS ACL …
Operational
StandardDevice Specific
Open Device Programmability
Physical and Virtual Network Infrastructure
AutomateSet Get
• Self paced learning
• Modular format (modules 10 – 45 min in duration)
• Beginner and refresher content
• Content includes; programming technologies, concepts and APIs
learninglabs.cisco.com
DevNet Learning Labs
CMX Mobility
Services REST
Prime Infrastructure API
101: REST Basics
RESTCONF API calls with Python
Port Network Scripts to RESTCONF
Intro to NETCONF
Intro to RESTCONF
APIC-EM APIs
with Python
DevNet Learning Labs
Automation
APIC-EM
Open & Programmable | Standards-Based
Open APIs | Developers Environment
Cloud Service Management
Policy | Orchestration
Virtualization
Cisco Network Elements
Analytics
Prime Infra
CMX
Network-Enabled Applications
Передовые технологии на сетевых устройствах CiscoПуть от сложных задач к простому решению
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обеспечить сегментацию в филиальной сети:
Растянуть «VLANы» между площадками
Обеспечить мобильность сотрудников
Отвязаться от IP-адресации
Персонализировать доступ
Создать единую политику
Централизовано управлять
«Обычная» нетривиальная задача
61
Сложные задачи
Зрелые технологии
Простые решения
BRKCRS-3800
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public
PAYLOADETHERNET IPVXLANUDPIPETHERNET
1. LISP based Control-Plane
2. VXLAN based Data-Plane
3. Integrated Cisco TrustSec
Персонализация сетевого доступа и правилKey Components – Cisco TrustSec
VRF + SGT
Virtual Routing & Forwarding
Scalable Group Tagging
63
Prime Infrastructure
CiscoAPIC-EM
SDN controller
Cisco Unified Call Manager
Path Trace
Discovery
Plug-n-Play
Topology
Easy QoS
IWAN
ESA
Cisco Identity Services Engine
Приложение для сценария безопасной сегментации
Fabric
A Fabric is a combination of an Overlay and a Underlay
An “Overlay” is a logical topology used to virtually connect devices, built on top of an arbitrary physical “Underlay” topology.
An “Overlay” network often uses alternate forwarding attributes to provide additional services, not provided by the “Underlay”.
Что такое сетевая фабрика?
• GRE or mGRE
• MPLS or VPLS
• IPSec or DMVPN
• CAPWAP
• LISP
• OTV
• DFA
• ACI
Примеры технологий оверлейев
66
Упрощение части сети до единой «фабрики»
Underlay Network
Virtual Networks
Outer/Transport
IP-UDP HeaderOriginal IP Packet or L2 FrameVXLAN Header
Software Defined Access
Secure Segmentation
• Flexible User/Device Grouping
• Basic Segmentation
• Micro Segmentation
Simplified Provisioning
• Device Onboarding
• Automated Workflows
• Consistent Policy
Monitoring & Troubleshooting
• Easy Management
• Proactive Network Health Monitoring
• Contextual Analytics
Mobility Collaboration Security
Endpoints
Branch
APIC
EM
ISE
Зачем ISE?
Видеть детали по
пользователям и
устройствам
Контролировать доступ
по всей сети
(SDN ready!)
Ограничить угрозы и
остановить атаки
Network Devices
Cisco ISE – связующее звено на уровне политик
Features
TrustSec Profile/Posture pxGrid BYOD/Guest/IoT EMM Rapid Threat Containment
SecurityDevices
NOTE: ISE is included in bundles like Cisco ONE, SVP, and Security ELA. Emphasize the value of the ISE integration story when selling these packages.
ACI
Ecosystem
FMC AMP
CTA
Соединяем «фабрики» политикой
ISE + Fabric + SDN
VXLAN with Campus Fabric
VXLAN Encaps
Untagged
Fabric Edge Nodes
Fabric Border Nodes
ISE
• In Campus Fabric -Fabric Edge Nodes use LISP functions to lookup a VXLAN tunnel to use for a given Dest IP
• Traffic encapsulated in VXLAN with SGT and VRF sent to correct Fabric Edge Node
• Egress switch applies SGACL as normal
VXLAN Tunnel
Employee SGT (5)
10.1.100.1
Employee SGT (5)
10.2.200.6
SRC\DST Employee (5)
Employee (5) Collab_SGACL
Outside of the fabric -
Links to rest of network
could use inline tagging,
SXP etc.
Fabric Border Nodes
ISE and APIC data plane translationACI Policy DomainSDA Policy Domain
Switch Router* Nexus9000 Nexus9000 ServerUser
LISP,SGT & VXLANClassification
SDA
ISE & APIC Exchange Groups
and Member information
ISE creates SGT to EPG
translation table
IP-ClassId, VNI bindingsSend translation table to
ASR 1K/N7K
Spine Leaf
Cisco ISE 2.3
Cisco APIC-DC
Security Groups End Point Groups
APIC - Application Policy Infrastructure Controller, ACI - Application Centric Infrastructure
75
BGP EVPN, EPG &VXLAN
*ASR1K (ship) N7K (plan)
APIC-EM
IP, SGT mappings
IOS Software - Polaris
Elements / Features
VPN BGP QoS Others
en
conf t
Interface en0
Ip address
Script CLIBGP
Cfg
State
QoSCfg
State
VPNCfg
State
Data-Model A
BGP QOSVPN
Data-Model B
BGP QOSVPN
Platform BPlatform A
Manual ConfigurationState & Config stored
per Feature
Inconsistent Data Models
Physical and Virtual Infrastructure
Platform
Automation Systems
OSS/BSS SDN ControllersConfiguration
Management Tools
Programmatic Interfaces
RESTConf, NETConf, OpenFlow
Network
DevOps
IOS-XE16Programmability (NETConf and YANG)
Switches Wireless Routers
Unified Software Stack (IOS-XE 16)
APIC-EMPrime Infra. WebUI
M a n a g e a b i l i t y
P l a t f o r m A S I C s / C P U
O p e r a t i n g S y s t e mCLI, SNMP, RESTConf, NETConf
IoX
One OS Across Enterprise Platforms
Unified Software Stack – IOS-XE 16.x
IOSXEDenali16.1.1
HostedAppsIOSd
FeaturesComponents
LXC*
LXC*
CrimsonDB
CommonInfrastructure/HA
ManagementInterface
ModuleDrivers
Kernel
WCM
Wireshark
Traditional Networking Catalyst 9000
Proprietary, Unstructured(MIBs, CLI)
Standards-Based, Structured(IETF YANG, OpenConfig)
Data Models
Slow, Error-Prone, Query-based (SNMP)
Fast, Reliable, Flexible, Streaming(NetConf - XML, RestConf – JSON, gRPC)
Data Representation & Export
Raw, L1-L3 Oriented Locally Enriched, Application Oriented
Data
Application Response Times
Traffic Prioritization
URL Stats
Policy & Security Analytics
Endpoint Profiles
The Power of Open IOS-XERedefining Intelligence at the Edge with Catalyst 9000
CLI/SNMP
MD
T
App1 App2 App3
Yang Models (Open, Native)
,, Model Driven API
XML JSON GPB
netconf Restconf gRPC
YDKApp4
Network Functions, Analytics and Telemetry Applications
Open Programmability(Python scripts, Puppet/Chef,
Ansible)
Customer Specific Edge Applications
Cloud Connect Applications
Open Config
Mgmt. To Enterprise
Monitoring, SLA,
Telemetry
Security, Connected Lighting, Proprietary
Apps to connect to
various cloud
Private Networkconnect
Public Networkconnect
Integrated Developer Toolkit
Assured App ResourcesCompute, Memory, Storage
Shared ContextNetwork IOx Application
Container and App Lifecycle ManagementIOx Fog Director
The Power of Open IOS-XEBest of Turnkey and Open Solutions
Any given “custom” configuration has a very high probability of not being tested exactly as deployed “individually—as a one off…” which introduces potential issues…
Risk BugsUncertainty Problems
Combinatorial Issues…
Trust
AutomationController-Led Networking Deployment
The automated configuration deployed by the controller will have gone through…
• Joint development by the Cisco Product Teams, the Architects developing Best Practices, and the Controller Team—“Blessed Configurations”
• Testing by Cisco’s Solution, System, and Devtest teams against the deployment use cases developed jointly, above
• And will be deployed by 1000’s, with any unforeseen situations addressed ASAP due to widespread and standardized deployment
Greatly increasedprobability of success
Controller-Led NetworkingBridging the gap to Increased Deployment Success
Cisco APIC Enterprise Module
Cisco and Third Party Applications
Network Devices –Catalyst, ASR, ISR
REST API
Security QoS IWAN Network PnP
Masking Network Complexity, Exposing Network Intelligence.
Cisco APIC-EM – Enterprise Controller
• Express Business Intent
• Translate into device specific policy/configuration
• Leverage Abstraction (the controller knows about the device specifics)
• Automate the Deployment across the Network
• Insure Fidelity to the Expressed Intent (keep everything in sync)
User policy based on user identity and user-to-group mapping
Employee (managed asset)
Employee (Registered BYOD)
Employee (Unknown BYOD)
ENG VDI System
PERMIT
PERMIT
DENY
DENY
DENY
DENY
DENY
PERMIT
PERMIT
PERMIT
PERMIT
PERMIT
Production Servers Development Servers Internet Access
Protected Assets
Sou
rce
De-coupling ofUser Identity and Topology
Much easier to translate business objectives to network functionality—
Lowers TCO
Co
nfi
gura
tio
n
Controller-based AutomationToday
Traditional Traditional
Policy
Traditional
Policy Policy
Policy based Configuration—
Dynamic, able to be automated by the Controller
Over time—Policy grows, static shrinks
AutomationController-Led
Networking Deployment
Cisco APIC-EM – Evolution to a Policy Model
Virtual Network 1 Virtual Network 2
End-to-end Segmentation and Policy
Identity Services
users things
Scalable Groups
Virtual Network 1 Virtual Network 2
End-Point Groups
Web DBApp
Compute
vCenter
compute storageapplications
LISP/VXLAN L2 and L3 Services
USER – USER Policy
COOP/VXLAN L2 and L3 Services
APP – APP Policy
Per Virtual Network Policy
USER – APP Policy
IWAN
Core
APIC-EM
APIC-EM
Open IOS-XE Patchability
Software Patches: SMU
In-service bug-fixes
Less downtime with
reduced reboots
IOS-XE16IOS-XE Now enables Emergency Point Fixes through Patching
OSPF OSPF
System Upgrade
In Place Upgrade
Config Preserved
asr1k.iso OSPFasr1k.iso
Feature Upgrade*
Upgrade Single Feature
Installed like SMU
BGP 6.0 OSPFBGP 6.1
Not available for all features*
What is Patching
• Emergency Point Fix positioned for
Expedited delivery
• Addresses a Network problem that
brings Business to a Standstill
Benefits of Patching
• Reduce time to resolution in your
network.
• Simplify Network Operations for
defect resolution and code
qualification.
Installing a SMU
switch#install add file flash:cat9k-universalk9.2017-03-
17_21.53_zhangyu.301.CSCuo76464.SSA.smu.bin
install_add: START Sun Mar 26 01:13:29 UTC 2017
SUCCESS: Finished copying package(s) to the selected switch(es)
SUCCESS: install_add /flash/cat9k-universalk9.2017-03-
17_21.53_zhangyu.301.CSCuo76464.SSA.smu.bin Sun Mar 26 01:13:31 UTC 2017
Adding a SMU file
Activating SMU switch#install activate file flash:cat9k-universalk9.2017-03-
17_21.53_zhangyu.301.CSCuo76464.SSA.smu.bin
install_activate: START Sun Mar 26 01:14:12 UTC 2017
2 install_activate: Activating SMU...
This operation requires a reload of the system. Do you want to proceed? [y/n]y
2 install_activate: Reloading the box to complete activation of the SMU...
switch#install commit
install_commit: START Sun Mar 26 01:24:41 UTC 2017
SUCCESS: install_commit Sun Mar 26 01:24:43 UTC 2017
Any failures/reloads between activate and commit result in a rollback
Committing it
Кардинальное упрощение процесса обновления
Жизненный цикл (SMU Lifecycle)
Гибкие встроенные Pre/Post upgrade проверки
Автоматизация управления сетевым софтом в DNA
Catalyst 3850 & 3650 серии (IOS-XE 16.x)– не просто свич
Platform
Integrity
Protects
the Network
Counterfeit Protections
OS Validation
Secure Boot
ModernCrypto
Hardware Trust
Anchor
Runtime Defenses
Incident Response
No Back Doors
ISE Stealthwatch
Network as a SensorNetwork as an Enforcer
IP Source Guard ACLs
uRPFDHCP Snooping Port Security
Protections Against Attack
Intrusion Detection TrustSec FnF
Security
CulturePSIRT
AdvisoriesSecurity Training
Product Security Baseline
Threat Modeling
Open Source Registration
Supply Chain Management
VXLAN LISP SGT-enforcement Full NetFlow
Catalyst 2960Х серии (IOS 15.x) – просто свич, но с продвинутыми возможностями
Platform
Integrity
Protects
the Network
Counterfeit Protections
OS Validation
Secure Boot
ModernCrypto
Hardware Trust
Anchor
Runtime Defenses
Incident Response
No Back Doors
ISE Stealthwatch
Network as a SensorNetwork as an Enforcer
IP Source Guard ACLs
uRPFDHCP Snooping Port Security
Protections Against Attack
Intrusion Detection TrustSec FnF
Security
CulturePSIRT
AdvisoriesSecurity Training
Product Security Baseline
Threat Modeling
Open Source Registration
Supply Chain Management
SGT-propagation Full NetFlow802.1x
Сетевые функции по требованиюNetwork Function Virtualization
Зачем NFV в корпоративной среде?
0 10 100 1000
Вычислительные ресурсы Сетевые технологии
Секунды
Источник: Open Compute Project Скорость развертывания
Ни
зка
я с
кор
ость
0
100%
Источник: Forrester
Капитальные затраты Эксплуатационные затраты
33 % 67 %
Затраты на сеть
Вы
со
кие
затр
аты
Разв
ерты
вани
е W
AN
1. Длительное время • Много местоположений
2. Сложность• Конфигурация каждого
устройства по отдельности
3. Высокие затраты• Визиты к клиентам
и полеты
"Штаб-квартира"
Авто
ма
тиза
ци
я и
внед
ре
ни
е п
ол
ити
к
1. Приложения• Мониторинг и контроль
2. Бизнес-требования• Быстрое развертывание
3. Безопасность
и соблюдение
нормативных
требований• Изменение политик
и QoS
ISR 4000 + UCS серии E
UCS серии С ENCS
ПО виртуализации инфраструктуры сетевых функций (NFVIS)
Enterprise Service Automation (ESA)
Введение: Cisco Enterprise NFVСетевые сервисы за считанные минуты на любой платформе
Виртуальный
маршрутизатор
(ISRv)
Виртуальный
межсетевой экран
(ASAv)
Виртуальное
решение для
оптимизации
WAN (vWAAS)
Виртуальный контроллер
беспроводной LAN (vWLC)
Виртуальные
сетевые функции
(VNF) стороннего
поставщика
DNA: Виртуализация
Архитектура цифровых сетей Cisco DNA
Автоматизация
Абстракция и управление
политиками от ядра
до периметра
Открытость и возможность программирования |
На основе стандартов
Открытые API-интерфейсы | Среда разработчиков
Управление сервисами
Политика | Оркестрация
Виртуализация
Физическая и виртуальная инфраструктура |
Хостинг приложений
Аналитика
Данные сети,
контекстная аналитика
Аналитика
и удобство
работы
Автоматизация
и надежность
Безопасность
и соблюдение
требований
Сетевые приложения
Поддерживается в облаке | Реализована программно
Принципы
Свобода выбораВиртуализированный филиал Cisco
Виртуальный маршрутизатор
Виртуальные сервисы
ENCS
Возможность
переноса
лицензии
Единообразие
сервисов
Непрерывность
бизнеса
Enterprise NFV
Физический маршрутизатор
Виртуальные сервисы
ISR серии 4000+ UCS серии E
Традиционные
Физический
маршрутизатор
ISR серии 4000
Централизованные сервисы
Фиксированные интегрированные
сервисы
Привычный процесс
Обновляемое аппаратное обеспечение
Детерминированная маршрутизация
Набирает популярность
Гибкие функции маршрутизации
и эксплуатационные характеристики
Быстрая адаптация
Cisco ENCS
6, 8, или
12-ядерный
Intel Xeon-D
8–64
Гбайт
DRAM
8 интегрированных
портов LAN
с дополнительным
портом POE
Сетевой интерфейсный
модуль для LTE
и прошлой версии WAN
Выделенный
контроллер для
управления платами
2 HDD или SSD
RAID 0 и 1
Внутренняя
система хранения M.2
USB 3.0
Хранилище
2 встроенных порта
Gigabit Ethernet
с SFP
Дополнительный
аппаратный RAID-
контроллер
Встроенный
источник
питания
Дополнительный
аппаратный модуль
шифрования
Аппаратное ускорение для
обработки трафика ВМ
2.0 5
1.9
4
1.5
3
2
1.0
1
0 ISRv
ENCS 5400 Portfolio - Chassis Options
ENCS541212-Core
ENCS54088-CoreENCS5406
6-Core
ENCS5406 ENCS5408 ENCS5412
CPU 6-core, 1.9GHz 8-core, 2.0GHz 12-core, 1.5GHz
PoE No 200W 200W
Capacity Guidance ISRv + 2 VNFs ISRv + 3 VNFs ISRv + 5 VNFs
CPU Clocking GHzThroughput ratio
VNFs
104
ASAv vWAAS vWLCISRv
Лучшие в своем классе проверенные сервисы от CiscoЕдинообразное ПО для физической и виртуальной инфраструктуры
Высокая
производительность
Разнообразные
функции
Комплексная
поддержка
Проверенное ПО
Лидер в квадранте
Gartner MQ
Устройство № 1
по поставкам
Превосходное
кэширование за счет
Akamai Connect
Устойчивость
и масштабируемость
Согласованность между
ЦОД и коммутаторами
Предназначено
для малых и средних
филиалов
Всеобъемлющая защита
Полная
функциональность
класса ЦОД
Предназначено для NFV
Экономическая
эффективность
благодаря NFV
Решение позволяет создавать цепочки СЕТЕВЫХ сервисов
Сетевые функции по требованию
Централизованное управление через SDN-сценарий Enterprise Service Automation (ESA)
Создание цепочек сервисов в решении Enterprise NFV
vWAAS
WAN
Маршрутизатор/VPN Опт. WAN Межсетевой
экранIPS/IDS
Маршрутизатор/ VPN Межсетевой экран
vWAAS
LAN
Маршрутизатор/VPN Опт. WAN Межсетевой экран
IWAN
vWAAS
Опт. WAN
vWAAS
Опт. WAN IPS/IDS
WAN
WAN
LAN
LAN
WAN
WAN
LAN
LAN
IWAN
Оркестрация и управление Enterprise NFV
Cisco Enterprise Services Automation
ISR+UCS-E CSX UCS
NFVOS
CSR
1000v ASAv vWAAS vFirePower VNFn App1 Appn App2
ESA + APIC-EM + Prime Infrastructure
… …
• Мониторинг работоспособности
• Динамическое масштабирование сервисов по требованию
• Оперативное управление соглашениями об уровне
обслуживания (SLA)
• Автоматическое развертывание
• Автоматическая оркестрация платформы
и функций VNF
• Объединение сервисов и их лицензирование
• Стандартные шаблоны для разных типов филиалов
• Определение политик на основании приоритетов для бизнеса
• Пользовательские или предписывающие дизайны
Автоматическая оркестрация, управление, применение политикEnterprise Service Automation (ESA)
Выбор используемых
устройств
Определение
местоположений филиаловРазработка профиля
и выбор функций
Присвоение шаблонов
и атрибутов
Выбор
утвержденных
технологий1 2 3
5
4
Enterprise Service Automation
Простой рабочий процесс
Перенос в филиалы
Виртуализация корпоративной сети — фаза 1
Вычислительная система корпоративной сети
(Enterprise Networking Compute System, ENCS)
Предназначена для рабочих нагрузок в филиалах
NFVIS — локальное управление
APIs, PnP, монитор
работоспособности
Управление
платформойГипервизор
Виртуальная
коммутация
Интегрированное управление для функцийPnP, приостановки работы WAN, небольшихразвертываний
Виртуальные функции / сервисы
vNF, vAF, vMF от Cisco и сторонних поставщиков
Виртуальные функции Cisco
Виртуальные сетевые функции сторонних поставщиков
Сервисы под управлением ОС сторонних поставщиков
Автоматизация и оркестрация
ESA
APIC-EM
PnP
APIC-EM
Инфраструктура
Cisco PrimeУправление
функциями
Решение Enterprise Service Automation (ESA) обеспечивает оркестрацию всех рабочих процессов
Функция PnP для первоначальной настройки
Пример интерфейса ESA
Пользовательский дизайнвиртуального филиала
• Выберите
компоненты
филиала
• Составьте
цепочку
сервисов
Определите
конфигурацию
функций VNF
Безопасность
на сетевых устройствах Cisco
и вокруг сетевых устройств Cisco
Cisco ISR 4000 – платформа сетевой безопансоти
Platform
Integrity
Protects
the Network
Counterfeit Protections
OS Validation
Secure Boot
ModernCrypto
Hardware Trust
Anchor
Runtime Defenses
Incident Response
Firepower
ISE ManagerPacket
Analysis
Stealthwatch Learning Network License
Firepower Management
Center
Security
CulturePSIRT
AdvisoriesSecurity Training
Product Security Baseline
Threat Modeling
Open Source Registration
Supply Chain Management
The integration storyISE can really spark your end-to-end architecture story
Cisco integrationsStealthwatch +
ISE
NGIPS
AMPWSA
NGFW
ISE
TrustSec
AnyConnect
Stealthwatch
ACI
Cisco enterprise networking
FMC
Get a 360o viewSecure your growing
digital business
Respond to threats faster
Интеграция сетевых устройств, системы сбора NetFlow (StealthWatch) и ISENetwork-as-an-Enforcer (NaaE)
Monitor Detect Analyze Respond
Оценка «нормального» поведения сети
Наблюдаемость трафика в реальном времени
Поведенческий анализ
Распознаване аномального поведения и атак
Хранение и анализ данных
Готовность к аудитам
Поиск первопричин
Расследоване инцидентов
Скорость поиска проблем и обнаружения атак
Автоматическа реакция на аномалии и атаки
«Забрать доступ» или «поместить в карантин»
Netflow Supported Platforms
Switch Router Router Firewall Data Center
Switch
ServerUser
NetFlow Exporters
Catalyst 2K - Flexible Netflow
Catalyst 3K - Flexible Netflow
Catalyst 3650/3850 - Flexible Netflow
Catalyst4500-X - Flexible Netflow
Cat4500-E (SUP-8) - Flexible Netflow
CAT6000-VS-S2T - Flexible Netflow
CAT6880-X - Flexible Netflow
CSR 1000v - Flexible Netflow
ASA5500 - NSEL
WLC5520, 5760, 8510, 8540 - Flexible Netflow
UCS VIC 1224/1240/1280/1340/1380 - Flexible Netflow
FTD (6.2+) - NSEL
NetFlow Capable
Cisco Identity
Services Engine
N5548P - Sampled Netflow
N5596UP - Sampled Netflow
N56128P - Sampled Netflow
N5624Q - Sampled Netflow
N5648Q - Sampled Netflow
N5672UP - Sampled Netflow
N5696Q - Sampled Netflow
N6001 - Sampled Netflow
N6004 - Sampled Netflow
N7004-SUP2 - Flexible Netflow
N7004-SUP2-NPE - Flexible Netflow
N7009-SUP1 - Flexible Netflow
N7009-SUP2 - Flexible Netflow
N7718-SUP1 - Flexible Netflow
N7718-SUP2 - Flexible Netflow
N93180YC-EX - Flexible Netflow
N93108TC-EX - Flexible Netflow
800 Series - Flexible Netflow
ISR1900 - Flexible Netflow
ISR2900 - Flexible Netflow
ISR3900 - Flexible Netflow
ISR3845E - Flexible Netflow
ISR3925E - Flexible Netflow
ISRG2 - Flexible Netflow
ISR4321 - Flexible Netflow
ISR4331 - Flexible Netflow
ISR4351 - Flexible Netflow
ISR4431 - Flexible Netflow
ISR4451-X - Flexible Netflow
ASR1K - Flexible Netflow
ASR1K-X - Flexible Netflow
ASR9K - Netflow v9
7600-SUP32/MSFC2A - Netflow v9
7600-SUP720/MSFC3 - Netflow v9
For individual platform features, reference the Cisco Feature Navigator: http://cfn.cloudapps.cisco.com/ITDIT/CFN/jsp/index.jsp
WAN
Классификация Распространение Контроль
TrustSec поддержка платформ и функций
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/-X
Catalyst 3750-E/-X
Catalyst 4500E (Sup6E/7E)
Catalyst 4500E (Sup8)
Catalyst 6500E (Sup720/2T)
Catalyst 3850/3650
IE 2000/3000/4000/5000
Wireless LAN Controller
2500/5500/WiSM2
Nexus 7000
Nexus 5500
Nexus 1000v (Port Profile)
ISR G2 Router, CGR2000
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/, 3750-E
Catalyst 3560-X, 3750-X
Catalyst 3850/3650
Catalyst 4500E (Sup6E)
Catalyst 4500E (7E, 8), 4500X
Catalyst 6500E (Sup720)
Catalyst 6500E (2T), 6800
WLC 2500, 5500, WiSM2
WLC 5760, 5520, 8540
Nexus 1000v
Nexus 6000/5600
Nexus 5500/22xx FEX
Nexus 7000/22xx FEX
ISR, CGS2000
ASR1000
ASA
Firepower Threat Def. (inline tags)
SXP
SXP
IE2000/3000, CGS2000
ASA5500 (VPN RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SGT
SXP
SXP SGT
SXP SGT
SXP SGT
SXP
GETVPN. DMVPN, IPsec
• Inline SGT on all ISRG2 except 800 series:
Access Points x700, x800
Catalyst 3560-X
Catalyst 3750-X
Catalyst 4500-X
Catalyst 4500E (7E)
Catalyst 4500E (8E)
Catalyst 6500E (2T)
Catalyst 6800
IE 4000/5000
Catalyst 3850/3650
WLC 5760
Nexus 7000/7700
Nexus 1000v
ISR G2 , CGR2000
ISR 4000
ISA 3000
ASA 5500 Firewall
ASAv Firewall
Web Security Appliance
Firepower Threat Defense
ASR 1000 , ISR4000, CSR-
1000v Routers
SXP
SGT
SGFW
SGFW
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
SXP SGT
SXP SGT
Nexus 6000/5600
Nexus 6000 Nexus 5500
Nexus 5600SXP SGT
SGT
GETVPN. DMVPN, IPsec
SGT
pxGrid SGT
SGACLAccess Points x700, x800SXP SGTAccess Points x700, x800
Расширение анализа потоков на хосты
Stealthwatch
Endpoint
ConcentratorAnyConnect с
Network Visibility
Module
vzFlow
Атрибуты потоков:
• Имя процесса
• Хэш процесса
• Аккаунт процесса
• Родительское имя процесса
• Родительский Хэш процесса
• Родительский аккаунт процесса
Stealthwatch
Flow Collector Management
Console
Alarms
Flow collection
trend
Top Applications
Active Alarms
DNA Analytics Proof Points – Today Stealth Watch
Оптимизация расходов:шаг со стороны вендора
Cisco ONE
Systems Engineer
Cisco ONE Software
What is Cisco ONE Software?A More Valuable and Flexible Way to Consume Cisco Software for Network Infrastructure
A La Carte, Separately
Priced Items
Software License
Tied to Hardware
Perpetual for the
Lifetime of the Box
Current Model
Software Suites
Offered as a Solution
Software License Portability with
Access to upgrades, updates and new capabilities
Perpetual & Subscription Licenses
Enterprise License Agreement
Cisco ONE
1Contains two offers. ECS - Big Data Automation & Tetration Analytics2Available together as Foundation CloudNote: Infrastructure software (e.g., operating system) is included with each device. Not sold as a Cisco ONE bundle, but included with the device.
Foundation
Advanced Security
Advanced Applications
Cisco ONE Data Center / Cloud
FirePOWER 9300, 4100Threat Defense for Data Center
Data Center Fabric
Big Data & Analytics1
Foundation for Networking
ECS – Cloud Management2
NetworkingCompute
ASA 5585-10, 5585-20, 5585-40,5585-60, Firepower 9300, 4100
Cisco Nexus®
3K,5K,6K,7K,9K, MDS
X86, UCS
Cisco ONE for Access
Policy & Threat Defense for Access
Campus FabricAdvanced
Mobility Services
Foundation for Switching
Foundation for Wireless
Switching Wireless
ISE
Cisco Catalyst®
2K, 3K, 4K, 6KIE 4K, 5K
WLC, AP
Cisco ONE for WAN
Threat Defense for WAN & Edge
WAN Collaboration
Foundation for WAN
ISR, ASR1k & 9k
WANInfrastructure and Base OS
ASA 5506, 5508, 5516, 5525, 5545, 5555
Cloud
ECS – Service Management
ECS –Infrastructure Automation2
Cisco ONE Software Data Sheet for Access Switching
Cisco ONE Software: Includes Licenses and Applications by Suite
*1-Year PromotionNote: Infrastructure software (e.g., operating system) is included with each device. Not sold as a Cisco ONE bundle, but included with the device.
Foundation
Advanced Security
Advanced Applications
Cisco ONE Data Center / Cloud
FirePOWER 9300, 4100
Threat Defense for Data CenterFP Services on ASA (NGFW, NGIPS, URL Filtering, AMP for Networks)
Security Context
Data Center FabricSAN Enterprise
Prime DCNM-SANVDC
MPLS FCoE
ECS – Big Data Automation
UCS Director Express for Big Data
Tetration Analytics
Foundation for NetworkingFabricPath
VDCFCoE OTV/LISLAN Enterprise
Prime DCNM-LAN ACI FabricRISE
Intelligent Traffic Director
Nexus Data BrokerNexus Fabric managerPI Lifecycle/Assurance
Energy Mgmt
ECS – Cloud MgmtCloudCenter Manager
CloudCenter Orchestrator (2)
CloudCenter VMs (100)
NetworkingCompute
ASA 5585-10, 5585-20, 5585-40, 5585-60, Firepower 9300, 4100
Cisco Nexus®
3K, 5K, 6K, 7K, 9K; MDS
X86, UCS
Cisco ONE for Access
Policy & Threat Defense for Access(Tier1 ) ISE Plus License, ISE Apex, AnyConnect
Apex
Campus FabricIP Services
Full L3 Routing, Virtualization (VRF, EVN) IS-IS, WCCP, Multicast
Advanced Mobility Services
CMXWIPS
Foundation for Switching
IP BaseTrustSec, MediaNet,
StubRouting, Converged Access, FNF, WireShark,
VSS, ISSUISE Base
Stealthwatch*PI Lifecycle/Assurance
Energy Mgmt
Foundation for Wireless
WLC AP CMX Base ISE Base
Stealthwatch*PI Lifecycle/Assurance
Energy Mgmt
Switching Wireless
ISE
Cisco Catalyst®
2K, 3K, 4K, 6K; IE 4K, 5K
WLC, AP
Cisco ONE for WAN
Threat Defense for WAN & EdgeFP Services on ASA (NGFW, NGIPS, URL
Filtering, AMP for Networks)AnyConnect Plus
WAN CollaborationTDM Gateway
CUBEUC Apps (CME/SRST)
Foundation for WANSEC License
TrustSec, MACSec, IOS VPN, IOS IPS, IOS ZBFW, CWS Connector, SSL VPN
APP LicenseAVC, MPLS, WAAS, FNF, etc
Akamai ConnectWAAS Central Mngr
IWAN- AppUmbrella Branch*
PI Lifecycle/Assurance Energy Mgmt
ISR; ASR 1K, 9K; IR8x9
WANInfrastructure and Base OS
ASA 5506, 5508, 5516, 5525, 5545, 5555
Cloud
ECS – Service MgmtPrime Service Catalog
BaseCisco Process Orchestrator
(20K transactions/yr)
ECS – Infrastructure Automation UCS Director
UCS Performance Manager
UCS CentralIMC Supervisor
VACS (3 app containers)
Cisco ONE for Access: Value proposition
Foundation
Advanced Security
Advanced Applications
Cisco ONE for Access
Policy & Threat Defense for Access(Tier1 ) ISE Plus License, ISE Apex, AnyConnect
Apex
Campus FabricIP Services
Full L3 Routing, Virtualization (VRF, EVN) IS-IS, WCCP, Multicast
Advanced Mobility Services
CMXWIPS
Foundation for Switching
IP BaseTrustSec, MediaNet,
StubRouting, Converged Access, FNF, WireShark,
VSS, ISSUISE Base
Stealthwatch*PI Lifecycle/Assurance
Energy Mgmt
Foundation for Wireless
WLC AP CMX Base ISE Base
StealthwatchPI Lifecycle/Assurance
Energy Mgmt
Switching Wireless
ISE
Cisco Catalyst®
2K, 3K, 4K, 6K; IE 4K, 5K
WLC, AP
Infrastructure and Base OS
Each Cisco ONE Access Foundation License Includes
Prime Lifecycle & Assurance ISE Base (qty = No of
ports)StealthWatch (1 year)
Energy Management
Foundation for Switching
Recommended in Access networks for Enterprise layer
3 routing using functions like
• IP Base (for 3650/3850 switches)
Cisco ONE Software: Includes Licenses and Applications by Suite
Foundation
Advanced Security
Advanced Applications
Cisco ONE for WAN
Threat Defense for WAN & EdgeFP Services on ASA (NGFW, NGIPS, URL
Filtering, AMP for Networks)AnyConnect Plus
WAN CollaborationTDM Gateway
CUBEUC Apps (CME/SRST)
Foundation for WANSEC License
TrustSec, MACSec, IOS VPN, IOS IPS, IOS ZBFW, CWS Connector, SSL VPN
APP LicenseAVC, MPLS, WAAS, FNF, etc
Akamai ConnectWAAS Central Mngr
IWAN- AppUmbrella Branch*
PI Lifecycle/Assurance Energy Mgmt
ISR; ASR 1K, 9K; IR8x9
WAN
Infrastructure and Base OS
ASA 5506, 5508, 5516, 5525, 5545, 5555
Cisco ONE Foundation for WAN
Cisco ONE Software
Foundation for WAN
+ License Portability and Ongoing Innovation
Traditional Model
Necessary Features:
SEC (VPN, Firewall)
WAAS
AVC (Application Visibility)
PfR (Performance Routing)
Umbrella Branch (Open DNS)
Akamai Connect
Prime + IWAN App for APIC-EM
1
2
3
4
5
6
7
A Complete Corporate View
Cisco Smart Accounts And Smart Software Licensing
Cisco Customer Smart AccountsSee what you bought
Smart Software LicensingSee what you are using
A customer managed account providing full visibility
and access control to Cisco software licenses,
entitlements, and product instances across an
organization.
A Cisco cloud-based data repository that provides:
• Central visibility of software purchases
• Enterprise-wide management of entitlements
• Ability to segment and organize assets
• Access control
Standard and Flexible Licensing
A standardized licensing platform that moves from a
node-locked to a pooled licensing model and helps
customers understand how Cisco software is used
across their network.
Simplifies deployment and tracking of Cisco software:
• Centralized usage tracking via Smart Account
• Unlocked licenses
• Elimination of returns (RMA) rehosting
• Automated device registration
• Proactive alerts, notifications
and consumption reporting
Cisco ONE Software – Portability ProcessPAK Based – Like-for-Like (Same Tier)
Device
Customer validates
new device is within
same Portability Tier.
Customer buys non-
Cisco ONE version of
new network device
(postpones purchase
of SMARTnet to take
advantage of Cisco
ONE SMARTnet
pricing).
Eligibility
Customer opens
"Cisco ONE
Portability" case on
the web or by phone
Cisco emails
customer brief
questionnaire with
source and target
device information.
Portability
Cisco deposits all
Cisco ONE Software
licenses or PAKs into
customer's Smart
Account or emails
PAK to customer.
Support
Cisco updates
customer's support
contracts with new
device information,
and update to
Cisco's Install Base.
Customer/partner is
contacted by Global
Customer Success
team to attach Cisco
ONE SMARTnet to
hardware device.
Activation
Customer activates
licenses and enables
new device to connect
to separate Cisco
ONE Software
applications.
* Customers must have current SWSS coverage & new
device must be within same Portability Tier to be eligible to
port their Cisco ONE Software.
Flexible Buying
Options
Suites for Data Center,
WAN, and Access
License Portability,
Ongoing Innovation
Value Packaging
by Solution
SummaryA Simple, Flexible Software Consumption Model
Cisco® Services and Support
Bundle
Software Licensing
Функциональные возможности ПО1
Cisco ONE™
Foundation
Cisco ONEсофт с железом – вместе дешевле
Беспроводная | Коммутация | Маршрутизация
Физическая | Виртуальная
Платформа2
Традиционная
Подписка
Корпоративная
модель
Модель покупки3
Advanced
Application
Advanced
Security
Выводы
Cisco Digital Network Architecture
Автоматизация
SDN-контроллер Cisco
APIC-EM + ESA + Apps
Управление сервисами как из облака
TALOS + CWS + OpenDNS
Виртуализация
IOS-XE 16.x + ISR 4000 + UCS-E + ECNS
Аналитика
StealthWatch + TALOS +
OpenDNS + AMP
Возможность
заглянуть изнутри
и почерпнуть знания
для инноваций
Авоматизация и
набюдаемость
Безопасность и
соответсвие
требованиям
регуляторов
Принципы
Интегрированная безопасностьПолное покрытие архитектуры услугами безопасности
Сетевые приложения
Netconf/YANG | CLI | Netflow | Телеметрия
REST API | developer.cisco.com
Выводы
1. Современная безопасность требует автоматизации всей сети.
- Вся сеть как «устройство» безопасности
- Сами же устройства также должы уметь обеспечить безопасность
2. SDN подход незаменим в деле автоматизации и безопасности.
- Контроллер SDN Cisco APIC-EM бесплатент и доступен каждому
- Есть интересные и полезные бесплатные приложения
- Есть немного платных приложений
- Ждём интересные сценарии в виде последующих приложений
3. Безопасность – это архитектура.
- Сеть как составная часть общей архитектуры безопасности
- Комплиментарные решения безопасности вокруг сетевых устройств
4. Много софта за дёшево – Cisco ONE.