sd-wan: программно управляемая wan-сеть · 2018-12-12 · cisco forum...
TRANSCRIPT
Cisco Forum Kyiv12 Dec 2018
SD-WAN: программно-управляемая WAN-сеть
Юрий ДовганьСистемный инженер[email protected]
Зачем нужна новая архитектура для WAN?
Addressing WAN ChallengesSecurity Requirements and Complexity Headline WAN ChallengesQ. Select the three most important WAN challenges (from the following) that best relate to your company?
3
© IDC
N = 1208Notes: Managed by IDC's Quantitative Research GroupSource: Software-Defined WAN (SD-WAN) Survey, IDC, August, 2017
32.4%
29.2%
28.2%
26.3%
25.4%
24.0%
23.6%
22.1%
21.9%
21.2%
18.8%
0% 5% 10% 15% 20% 25% 30% 35%
Security requirements relating to web and internet applications
Complexity associated with interconnecting multiple transport…
Need for better analytics and visibility into applications and…
Managing consistent user experience for on-site enterprise apps…
In-house management of enterprise WAN networks
Cost-effectively delivering SaaS and other cloud services across…
Growing annual costs to provide additional bandwidth
Audit and compliance related to the network
Management of connectivity at remote branch offices
Appliance sprawl at the WAN edge
Time to provision a new service to a site
Цифровая трансформация требует трансформации сети
Программируемая
Акцент на оборудование
Автоматизация
Предсказывающая
Намерения бизнеса
Вручную
Закрытая
Сетевые намерения
Реактивная
Программно-определяемая
Четыре основных принципа Cisco SD-WAN
Обеспечение качестваработы приложений
Для облакаи в облаке
Возможности гибкой
эксплуатации
CiscoSD-WAN
Обеспечение безопаснойи гибкой связности
Архитектура Cisco SD-WAN
Обзор решения Cisco SD-WAN Применение SDN принципов к распределенным сетям
APIs
3rd Partyавтоматизация
vManage
vSmart Controllers
4GMPLS
INET
vBond
vAnalytics
ЦОД Кампусы Филиалы SOHOОблака
vEdge
Администрирование/
Оркестрация
Плоскость управления
(Control Plane)
Плоскость
передачи данных
(Data Plane)
Оркестрация фабрики (vBond)
• Обеспечивает связность между плоскостями администрирования, управления и передачи данных
• Начальная точка аутентификации
• Распространяет список vSmart/vManage на все vEdge устройства
• Помогает с обходом NAT
• Требует публичного IP адреса (может находиться за 1:1 NAT)
• Высокая отказоустойчивость
• Multitenant или выделенный
• Все компоненты Cisco SD-WAN должны знать IP адрес или доменное имя vBond
• Авторизует все управляющие соединения (модель «белых списков»)
APIs
vSmart контроллеры
3rd Partyавтоматизация
vManage
ЦОД Кампусы Филиалы SOHOОблака
vEdge
vAnalytics
vBond
4GMPLS
INET
Основные характеристики
Плоскость администрирования (vManage)
• Единая консоль управления для операций Day0, Day1 и Day2 (развертывание, настройка, эксплуатация)
• Централизованный провижениниг
• Multitenant или выделенный
• Формирование политик и шаблонов
• Мониторинг и поиск и устранение неисправностей
• Обновление ПО
• Программный интерфейс (REST, NETCONF)
• Высокая отказоустойчивость
• Графический интерфейс с RBAC
APIs
vSmart контроллеры
3rd Partyавтоматизация
vManage
ЦОД Кампусы Филиалы SOHOОблака
vEdge
vAnalytics
4GMPLS
INET
Основные характеристики
vBond
Плоскость управления (vSmart)
• Обеспечивает обнаружение устройств в фабрике
• Распространяет информацию плоскости управления на vEdge устройства
• Распространяет политики плоскости передачи данных и политики маршрутизации по приложениям на vEdge устройства
• Применяет политики плоскости управления
• Существенно снижает сложность плоскости управления
• Высокая отказоустойчивость
APIs
vSmart контроллеры
3rd Partyавтоматизация
vManage
ЦОД Кампусы Филиалы SOHOОблака
vEdge
vAnalytics
4GMPLS
INET
Основные характеристики
vBond
Плоскость передачи данных (vEdge)
• Граничные маршрутизаторы WAN
• Обеспечивают безопасную передачу данных с удаленными vEdge маршрутизаторами
• Устанавливают безопасные управляющие соединения с vSmart контроллерами (OMP)
• Осуществляют передачу данных и маршрутизацию трафика на основе политик по приложениям
• Используют стандартные протоколы маршрутизации, такие как BGP, OSPF и VRRP
• Поддержка ZTP (Zero Touch Provisioning)
• Экспортирует статистику о производительности и качестве обслуживания
• Может быть физическим (100Мбит/с –20+Гбит/с) или виртуальным
APIs
vSmart контроллеры
3rd Partyавтоматизация
vManage
ЦОД Кампусы Филиалы SOHOОблака
vEdge
vAnalytics
4GMPLS
INET
Основные характеристики
vBond
Программируемый API (REST)
• Программный контроль над всеми аспектами администрирования через vManage
• Безопасный HTTPS интерфейс
• GET, PUT, POST, DELETE методы
• Аутентификация и авторизация
• Bulk API вызовы
• Скрипты на Python
APIs
vSmart контроллеры
3rd Partyавтоматизация
vManage
ЦОД Кампусы Филиалы SOHOОблака
vEdge
vAnalytics
4GMPLS
INET
Основные характеристики
vBond
vBond, vSmart, vManageКонтроллеры могут быть развернуты как в корпоративной сети, так и в публичной облачной среде
ESXi или KVM
Физический сервер
vManage vSmart-1vSmart-NvBond
В корпоративной сети
AWS or Azure
vManage vSmart-1vSmart-NvBond
В публичном облаке
© 2017 Cisco and/or its affiliates. All rights reserved.
SD-WAN Платформы
ISR 1000 ISR 4000 ASR 1000
• 2.5-200Gbps
• High-performance service w/hardware assist
• Hardware & software redundancy
• Up to 2 Gbps
• Modular
• Integrated service containers
• Compute with UCS E
• 200 Mbps
• Next-gen connectivity
• Performance flexibility
Branch Services
Public Cloud
vEdge 2000
• 10 Gbps
• Modular
vEdge 1000
• Up to 1 Gbps
• Fixed
vEdge 100
• 100 Mbps
• 4G LTE & Wireless
SD-WAN
Branch virtualization
ENCS 5100 ENCS 5400
• Up to 250Mbps • 250Mbps – 2GB
© 2017 Cisco and/or its affiliates. All rights reserved.
vEdge 1000
vEdge роутеры: старшие моделиАппаратные характеристики
▪ 1 Gbps AES-256
▪ 1RU, standard rack mountable
▪ 8x GE SFP (10/100/1000)
▪ TPM chip
▪ 3G/4G via USB (or) Ethernet
▪ Security, QoS
▪ Dual Power supplies (external)
▪ Low power consumption
vEdge 2000
▪ 10 Gbps AES-256
▪ 1RU, standard rack mountable
▪ 4x Fixed GE SFP (10/100/1000)
▪ 2 Pluggable Interface Modules
▪ 8 x 1GE SFP (10/100/1000)
▪ 2 x 10GE SFP+
▪ TPM chip
▪ 3G/4G via USB (or) Ethernet
▪ Security, QoS
▪ Dual power supplies (internal)
▪ Redundant fans
vEdge 5000
▪ 20 Gbps AES-256
▪ 1RU, standard rack mountable
▪ 4 NIMs (Network Interface Modules)
▪ 8 x 1GE SFP (10/100/1000)
▪ 4 x 10GE SFP+
▪ TPM chip
▪ 3G/4G via USB (or) Ethernet
▪ Security, QoS
▪ Dual power supplies (internal)
▪ Redundant fans
© 2017 Cisco and/or its affiliates. All rights reserved.
vEdge-100 роутерыАппаратные характеристики
▪ 100 Mbps AES-256
▪ 1RU
▪ 5x 1000Base-T
▪ 1x POE port
▪ 2G/3G/4G LTE
▪ Internal AC PS
▪ 1x USB-3.0
▪ TPM Board-ID
▪ Kensington lock
▪ Low power fan
▪ GPS
▪ 100 Mbps AES-256
▪ 1RU
▪ 5x 1000Base-T
▪ 1x POE port
▪ 2G/3G/4G LTE
▪ 802.11a/b/g/n/ac
▪ Internal AC PS
▪ 1x USB-3.0
▪ TPM Board-ID
▪ Kensington lock
▪ Low power fan
▪ GPS
vEdge 100m vEdge 100mw
▪ 100 Mbps AES-256
▪ 5x 1000Base-T
▪ TPM chip
▪ Security, QoS
▪ External AC PS
▪ Kensington lock
▪ Fan-less
▪ 9” x 1.75” x 5.5”
▪ GPS
vEdge 100
© 2017 Cisco and/or its affiliates. All rights reserved.
Плоскость управления (Control plane)
vSmart vSmart
vSmart
vEdge vEdge
ВАЖНО: Нет необходимости в соединении vEdge
маршрутизаторов со всеми vSmart контроллерами
• Протокол управления наложенной сетью OMP (Overlay Management Protocol)
• Улучшенный протокол плоскости управления на базе TCP
• Функционирует между vEdge и vSmart контроллерами и между всеми vSmart контроллерами
• Передается внутри TLS/DTLS соединений
• Распространяет контекст плоскости управления и политики
• Значительно снижает сложность управления и существенно увеличивает возможности масштабирования решения
Сложность плоскости управления
SD-WAN
Линейная сложность Control Plane
O(n)
Традиционные IPSec сети
Квадратичная сложность Control Plane
O(n^2)
IKE+IPSec
IKE+IPSec
IKE+IPSec
IKE+IPSec
IKE+IPSec
IKE+IPSec
OMP
IPSecIPSec
OMP
Развертывание плоскости передачи данных
OMP IPSec туннели
vEdge
vEdgevEdge
vEdge
vEdge
vSmart
Локальные TLOCs (System
IP, Color, Инкапсуляция)
TLOCs анонсируются vSmartконтроллерам и попадают в
таблицу TLOC маршрутов
vSmarts распространяетTLOCs всем vEdge в таблицы
маршрутов TLOC
SD-WAN фабрикас TLOCs как
ответные точки туннеля
INETMPLS
Transport Locator (TLOC)
TLOCs
IPsec
IPsec
IPsec
Плоскость передачи данных (Data Plane)
vEdge vEdge
vEdge
vEdge vEdge
• Bidirectional Forwarding Detection (BFD)
• Мониторинг состояния каналов и качества прохождения трафика
• Up/Down, потери/задержки/вариации задержек (jitter), MTU через IPsec туннель
• Работает между всеми vEdge маршрутизаторами в топологии
• Внутри IPsec туннелей
• Функционирует в Echo режиме
• Автоматически запускается при установлении IPsec туннеля
• Не может быть отключен
• Использует hello интервал (для Up/Down), poll интервал (для маршрутизации по приложениям) и multiplier для для обнаружения ухудшений
• Полностью перенастраиваемый (pre-vEdge, perColor)
Как работает SD-WAN фабрикаOMP Update:▪ Доступность – подсети IP, TLOCs▪ Безопасность – Ключи шифрования▪ Политики – Маршрутизация
данных/по приложениям
BGP, OSPF, Connected, Static
BFD
IPSec Tunnel
OMP
DTLS/TLS Tunnel
Транспорт 1
Транспорт 2VPN1
A
VPN2
B
VPN1
C
VPN2
D
BGP, OSPF, Connected, Static
vSmart
OMPUpdate
OMPUpdate
vEdge vEdge
Подсети Подсети
TLOCs TLOCs
Политики управленияOMP
UpdateOMP
Update
Распространенные типы взаимодействия через плоскость передачи данных (Data Plane)
Per-Session распределениеActive/Active
INETMPLS
По умолчанию
Per-Session взвешенноеActive/Active
INETMPLS
Настраиваемо на устройстве
Привязка приложенийActive/Standby
INETMPLS
Принудительная политика
Маршрутизация по приложениямс учетом SLA
INETMPLS
SLA SLA
Принудительная политика
Определение приложений
4GMPLS
INET
Филиал
Кампус
Публичная
облачнаясреда
Малый/домашний офис (SOHO)
ЦОД
Deep Packet Inspection (DPI)
✓ Межсетевое экранирование
✓ Приоритезация трафика
✓ Выбор трафика
МаршрутизаторvEdge
App 1
App 2
App 3,000
Обеспечение SLA для критичных приложений
Путь 1: 10ms, 0% loss, 5ms jitterПуть 2: 200ms, 3% loss, 10ms jitterПуть 3: 140ms, 1% loss, 10ms jitter
vManage Политика маршрутизации
на основе приложенийПуть для приложения A
должен иметь: Задержку < 150ms
Потери < 2%Вариацию задержки < 10ms
▪ vEdge устройства постоянно проверяют доступность и измеряют качество пути прохождения трафика
Интернет
MPLS
4G LTE
SD-WAN IPSec туннель
Удаленный узел ЦОДПуть 2
Оптимальный MTUОптимизация TCP
Понятие VPN и зон безопасности в vEdge
Транспорт(VPN0)
Сервисы(VPNn)
Внеполосное управлениеOOBM (VPN512)
IF
• VPNы изолированы друг от друга, каждыйVPN имеет свою собственную таблицу
маршрутизации
• Доступность внутри VPN автоматически
анонсируется через OMP
IF,Sub-IF
IF,Sub-IF
IF,Sub-IF
IF,Sub-IF
Интернет
MPLS
Недоверенная зона
Доверенные зоны
Безопасная сегментация
ПолносвязнаяFull-Mesh
ЦентрализованнаяHub-and-Spoke
Частично связаннаяPartial Mesh
Точка-точкаPoint-to-Point
Уникальная топология для каждого VPN
vEdgeVPN 3
VPN 1
VPN 2SD-WAN
IPSecтуннель
vEdge
• Безопасное зонирование
• Соответствие политикам безопасности
• Гостевой Wi-Fi
• Multi-Tenancy
• Внешние сети (Extranet)
Безопасный периметрВставка сервиса
• vEdge router with connected L4-L7 service makes advertisement
- Service route OMP address family- Service VPN label
• Service is advertised in specific VPN
• Service can be L3 routed or L2 bridged
• Service can be singly or dually connected (Firewall trust zones) to the advertising vEdge
• Control or data policies are used to insert the service node into the matching traffic forwarding path
- Match on 6-tuple or DPI signature- Applied on ingress/egress vEdge* For data policy only. Control policy enforced on vSmart.
Data Center
Remote Office
Regional Hub
ServiceAdvertisement
PolicyAdvertisement*vSmart
VPN1
VPN1
VPN1
Traffic Path
Control Plane
FW
4GMPLS
INET
Оптимизация TCP
Пользователи СерверыприложенийВысокие задержки/ потери
vEdgevEdge
TCP соединения TCP соединенияОптимизированные
TCP соединения
• Высокая задержка и/или потери в канале
между пользователями и приложениями, т.е. гео-распределенные подключения
• vEdge терминирует TCP сессию и делает локальные acknowledgements
- Хост не должен ждать TCP ACK от ответной стороны и приостанавливать TCP передачу
• Оптимизированные TCP соединения используют механизмы выборочных acknowledgements с целью предотвращения ненужных пересылок уже принятых сегментов
• Хосты, использующие устаревший стек TCP/IP увидят максимальную выгоду
SD-WANFabric
Zero Touch Provisioning – vEdge/cEdge роутер
Control and PolicyElements
* Factory default config
Assumption:• DHCP on Transport Side (WAN)• DNS to resolve ztp.viptela.com*
▪ Delivered as-a-Service
Zero Touch ProvisioningServer
1
2
Full Registration and Configuration
53
4
vEdge
Zero-Trust Admission Control
• Single stage (Zero Touch Provisioning) – Identity is automatically trusted
• Two stage (One Touch Provisioning) – Identity is not automatically trusted. Requires administrator validation.
• Staging Mode – Identity is automatically trusted for control, but not for data. Requires administrator validation.
Масштабирование решения по горизонтали
ЦОД Кампус Филиалы Домашние офисы
4G/LTE
MPLS
Internet
Управление(Контейнеры или ВМ)
(vSmart)
Администрирование(Multi-tenant или выделенное)
(vManage)
Оркестрация(vBond)
Модель масштабирования по горизонтали
Добавить vSmart контроллеры для большей вместимости плоскости управления (control plane)
Создать vManage кластер чтобы вместить больше vEdge устройств
Добавить оркестратор vBond для увеличения числа подключаемых vEdge
• Необходимо выбирать vEdgeплатформы с подходящей масштабируемостью по IPSec туннелям
• Необходимо использовать политики управления для определения VPN топологий
Высокая доступность и отказоустойчивость
VRRP OSPF/BGP
OSPF/BGP
INET INETMPLSMPLS
INET
MPLS
Узел
ЦОД
MPLS
INET
vSmart контроллеры
Управление
Передачаданных
Отказоустойчивость узла Отказоустойчивость транспорта
Отказоустойчивость сети/головного
устройства
Отказоустойчивость управления
Варианты перехода на SD-WAN
SD-WAN Fabric Secure Tunnel
MPLS Интернет
Non-
SDWAN
Non-
SDWAN SDWAN
SDWAN
Узел B
Узел A
Non-
SDWAN
Non-
SDWAN
Интернет
Узел B
Узел A
MPLS
SDWAN
SDWAN
ИнтернетMPLS
Узел B
Узел A
SDWAN
SDWAN
SDWAN
SDWAN
Доступные аппаратные платформы от vEgde
Малый офисДомашний офис
100Mb
1Gb
1/10Gb+
ФилиалКампус
Крупный кампусЦОДы
Виртуальный филиалОблачные среды
vEdge Cloud
vEdge 5000/2000
vEdge 1000
vEdge 100
IOS XE 16.9.1 Конец 2018 Зима 2019 Конец зимы 2019
ISR4221, ISR43xxASR1001-X ASR1002-X, ASR 1001-HXASR 1002 –HXISRv (ENCS) 5412 C1111-8P LTEEA/LAC1117-4PLTEEA/LAC1111-8P
ISR-4461
Остальные IOS XE устройства
SDWAN Roadmap – IOS XE платформы (cEdge)
C1101-4PC1111-4PC1111-4PLTEEAC1111-4PLTELAC1111-8PLTEEAWC1111-8PWC1116-4PC1116-4PLTEEAC1117-4PC1117-4PMC1117-4PMLTEEAENCS (5104,5406,5408)CSR
ISR-4451 ISR-4431
Доступные на сегодня опции разворачивания SD-WAN
Pure Play
Подходит для простого SD-
WAN
Networked Solution
Подходит для SD-WAN с
богатыми сервисами
Virtual Branch
Наилучший вариант для
виртуальных филиалов
ISR
vEdge
UCS-E
ENCS
ISR Аппаратный
vEdge
Аппаратный
vEdge или
cEdge
Типы подписок для SD-WAN
DNA Essentials
3,5
Y
ea
r Te
rms
ConnectivityVPN Overlay, Topology: Hub-n-spoke, NAT, Split tunnel,2 VPNs: 1 transport, 1 service side VPN with L2 or L3
SecurityEncryption: AES-256, Policy support: Local ACL only, Data policy
Application ExperienceQoS (classification, policing, remarking, scheduling), App-aware routing (5 tuple only), DPI for visibility, App visibility (name, throughput)
ManagementViptela vManage platform, Zero Touch Provisioning, Day 0 , day 1, day N Changes
C1 Advantage (Include DNA Essentials & DNA Advantage)
Connectivity: VPNs: Up to system scale
Advanced Application ExperienceWAN Full stack WAAS
Analytics:VAnalytics platform
Platforms Supported Now: vedgePlatforms Support Post July: ISR, ASR, ENCS
DNA Advantage (Include DNA Essentials)
ConnectivityService-side routing, Mesh topology, MulticastVPNs: 5 (1 transport, 4 service side)
SecurityControl policyAdvanced policies: Service chaining, extranet
Application Experience:DPI for app-aware routing and policiesSaaS on-ramp (was CloudExpress)TCP Optimization
Management & OrchestrationEnd to end SD-WAN policy orchestration, network and application trouble shooting
3,5
Y
ea
r Te
rms
3,5
Y
ea
r Te
rms
DNA software subscription SKUs and pricing
Essentials Advantage C1 Advantage
Bandwidth 3-Yr 5-Yr 3-Yr 5-Yr 3-Yr 5-Yr
10MDNA-P-10M-E-3YDNA-C-10M-E-3Y
DNA-P-10M-E-5YDNA-C-10M-E-5Y
DNA-P-10M-A-3YDNA-C-10M-A-3Y
DNA-P-10M-A-5YDNA-C-10M-A-5Y
C1DNA-P-10M-A-3YC1DNA-C-10M-A-3Y
C1DNA-P-10M-A-5YC1DNA-C-10M-A-5Y
20MDNA-P-20M-E-3YDNA-C-20M-E-3Y
DNA-P-20M-E-5YDNA-C-20M-E-5Y
DNA-P-20M-A-3YDNA-C-20M-A-3Y
DNA-P-20M-A-5YDNA-C-20M-A-5Y
C1DNA-P-20M-A-3YC1DNA-C-20M-A-3Y
C1DNA-P-20M-A-5YC1DNA-C-20M-A-5Y
50MDNA-P-50M-E-3YDNA-C-50M-E-3Y
DNA-P-50M-E-5YDNA-C-50M-E-5Y
DNA-P-50M-A-3YDNA-C-50M-A-3Y
DNA-P-50M-A-5YDNA-C-50M-A-5Y
C1DNA-P-50M-A-3YC1DNA-C-50M-A-3Y
C1DNA-P-50M-A-5YC1DNA-C-50M-A-5Y
100MDNA-P-100M-E-3YDNA-C-100M-E-3Y
DNA-P-100M-E-5YDNA-C-100M-E-5Y
DNA-P-100M-A-3YDNA-C-100M-A-3Y
DNA-P-100M-A-5YDNA-C-100M-A-5Y
C1DNA-P-100M-A-3YC1DNA-C-100M-A-3Y
C1DNA-P-100M-A-5YC1DNA-C-100M-A-5Y
500MDNA-P-500M-E-3YDNA-C-500M-E-3Y
DNA-P-500M-E-5YDNA-C-500M-E-5Y
DNA-P-500M-A-3YDNA-C-500M-A-3Y
DNA-P-500M-A-5YDNA-C-500M-A-5Y
C1DNA-P-500M-A-3YC1DNA-C-500M-A-3Y
C1DNA-P-500M-A-5YC1DNA-C-500M-A-5Y
1GDNA-P-1G-E-3YDNA-C-1G-E-3Y
DNA-P-1G-E-5YDNA-C-1G-E-5Y
DNA-P-1G-A-3YDNA-C-1G-A-3Y
DNA-P-1G-A-5YDNA-C-1G-A-5Y
C1DNA-P-1G-A-3YC1DNA-C-1G-A-3Y
C1DNA-P-1G-A-5YC1DNA-C-1G-A-5Y
2.5GDNA-P-2.5G-A-3YDNA-C-2.5G-A-3Y
DNA-P-2.5G-A-5YDNA-C-2.5G-A-5Y
C1DNA-P-2.5G-A-3YC1DNA-C-2.5G-A-3Y
C1DNA-P-2.5G-A-5YC1DNA-C-2.5G-A-5Y
10GDNA-P-10G-A-3YDNA-C-10G-A-3Y
DNA-P-10G-A-5YDNA-C-10G-A-5Y
C1DNA-P-10G-A-3YC1DNA-C-10G-A-3Y
C1DNA-P-10G-A-5YC1DNA-C-10G-A-5Y
▪ DNA SKU Structure: “C1DNA-” or “DNA- “▪ Offering: On-prem “P”; Cloud “C”▪ Throughput levels: 10M to10G▪ License Tiers: Essentials “E”; Advantage “A”▪ License Term Length: 3 Years “3Y”; 5 Years “5Y”
❖ Global List Price Detailed info in ordering guide: https://www.cisco.com/c/en/us/products/software/one-wan-subscription/wan-subscription-part-number.html
Applicability Matrix10M 20M 50M 100M 500M 1G 2.5G 10G
Cisco 1100 Series ISRs Cisco ONE Advantage ✓ ✓ ✓ ✓
Advantage ✓ ✓ ✓ ✓
Essentials ✓ ✓ ✓ ✓
Cisco 4221 ISR Cisco ONE Advantage ✓ ✓ ✓
Advantage ✓ ✓ ✓
Essentials ✓ ✓ ✓
Cisco 4331 ISR Cisco ONE Advantage ✓ ✓ ✓ ✓
Advantage ✓ ✓ ✓ ✓
Essentials ✓ ✓ ✓ ✓
Cisco 4451 ISR Cisco ONE Advantage ✓ ✓ ✓
Advantage ✓ ✓ ✓
Essentials ✓ ✓ ✓
ENCS Cisco ONE Advantage ✓ ✓ ✓
Advantage ✓ ✓ ✓
Essentials
ASR 1001-X Cisco ONE Advantage ✓
Advantage ✓
Essentials
ASR 1002-X Cisco ONE Advantage ✓
Advantage ✓
Essentials
Cisco vEDGE 100 Series Cisco ONE Advantage ✓ ✓ ✓ ✓
Advantage ✓ ✓ ✓ ✓
Essentials ✓ ✓ ✓ ✓
Cisco vEDGE 1000 Series Cisco ONE Advantage ✓ ✓ ✓ ✓ ✓ ✓
Advantage ✓ ✓ ✓ ✓ ✓ ✓
Essentials ✓ ✓ ✓ ✓ ✓ ✓
Cisco vEDGE 2000 Series Cisco ONE Advantage ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Advantage ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Essentials ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Cisco vEDGE 5000 Series Cisco ONE Advantage ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Advantage ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Essentials ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
vManage и DNA Center
Cisco vManage Cisco DNA Center
Cisco Routing customers who want Cloud management and SD-WAN and are on the journey to the Intent-based WAN
Cisco’s on-prem management platform for customers who have Cisco Switching and Wireless
vManage соединится сDNA Center в 2019 г
Lead with vManage for Intent—based WAN
New Easy to Order PID’s
Easy attach of DNA offers
Lead with new PID’S for key product families
Better Pricing
Product Family* NEW PIDs DescriptionISR 4000 Series ISR4331-DNA Cisco ISR 4331 (3 GE, 2 NIM, 1 SM) with DNA
Support
ISR 4000 Series ISR4451-DNA Cisco ISR 4451 (4 GE, 3 NIM, 2 SM) with DNA
Support
ISR 1000 Series C1111-8P-DNA ISR 1100 8 Ports Dual GE WAN with DNA
Support
ISR 1000 Series C1111-8PLTEEA-DNA ISR 1100 8 Port Dual GE LTE EA with DNA
Support
ISR 1000 Series C1111-8PLTELA-DNA ISR 1100 8 Port Dual GE LTE LA with DNA
Support
ASR 1000 Series ASR1001-X-DNA Cisco ASR 1001-X Crypto,6GE, Dual-PS with
DNA Support
ASR 1000 Series ASR1002-HX-DNA Cisco ASR 1002-HX, 4x10GE+4x1GE, Dual PS
with DNA Support
VEDGE 100 Series VEDGE-100B-AC-K9 vEdge-100 AC chassis with 5 Ethernet ports, rack
mount kit and cables
VEDGE 100 Series VEDGE-100M-AC-K9* vEdge-100 AC chassis with single 4G/LTE SIM,
integrated power supply, 5 Ethernet ports
VEDGE 100 Series VEDGE-100WM-AC-K9* vEdge-100 AC chassis with single 802.11 radio
and single 4G/LTE SIM, integrated power supply,
5 Ethernet ports and cables
VEDGE 1000 Series VEDGE-1000-AC-K9 vEdge-1000 AC base chassis with 8x1GE fixed
ports, dual AC power adapters and cables
VEDGE 2000 Series VEDGE-2000-AC-K9 vEdge-2000 AC base chassis with 4x1GE fixed
ports and dual Pluggable Interface Module
VEDGE 5000 Series VEDGE-5000-AC-K9 vEdge-5000 AC router base chassis with 4x10G,
8x1G copper, 8x1G fiber modular NIMS
Subscription for product families not shown here can be purchased as a-la-carte
To get DNA subscription for existing ISR/ ASR/ vEdge, use PID: LIC-DNA-ADD
SD-WAN безопасность
vManageProvisioning
ReportingMonitoring Troubleshooting
Branch Edge
vManageEdge Router
Flexibility
Branch Edge (Embedded) Branch Edge (Cloud)Enterprise FW App Aware
IPS URL filter
Managing
CSRENCS w/ISRvISR 4/1K
ASR1K vEdge
Only App Aware FW and DNS/web-layer security
Anti-Malware
Подтверждено 2019
Конец 2018
DNS/web-layer securityFull EdgeSecurity
Only DNS/web-layer security
SD-WAN безопасностьSecurity
Additional DRAM/Flash may be required
• Политики зон
• Определение и контроль приложений
• Классификация более 1400 приложений
• Разрешает или блокирует трафик категории приложений или отдельного приложения
• Сегментация
• PCI соответствие
Межсетевой экран со знанием приложений
Outside Zone
InsideZone
GuestZone
Edge Device
Users
Service-VPN 1
Devices
Service-VPN 2
SaaS
Internet
Inspect policy allows only return traffic to be allowed.
• Самая распространенная система IPS в мире (Snort IPS)
• Связана с TALOS, обновления сигнатур автоматическое
• Поддержка сигнатурных белых списков
• Аналитика реального времени
• PCI соответствие]
*Работает по принципу контейнера. Требуется дополнительные 4 GB DRAM на роутере (4GB для IOS + 4 GB для IPS)
Система IPS
On-site Services
IPS
• 82+ Web категорий с динамическими обновлениями
• Блокировка базируется на оценке Web репутации
• Создание кастомных черных и белых списков
• Оповещения конечных пользователей
URL фильтрация
Block/Allow based on
Categories,
Reputation
Requests for “risky” domain requests
URL Filtering
White/Black lists of
custom URLs
Users and Devices
• Перехват DNS запросов и проверка доменного имени на предмет рисков
• Поддержка DNScrypt
• Local Domain-bypass
• SSL расшифровка
• Intelligent Proxy
DNS безопасность
Safe requests
Blocked requests
Cisco Umbrella
• Интеграция с AMP
• Репутация файла
• Ретроспективный анализ файла
• Интеграция с песочницейThreatGrid
• Анализ файла
Advanced Malware Protection
Internet
Malware Sandbox
AMP
ThreatGrid
Check Signature
Check file
Ожидается в первой половине 2019
*AMP ожидается весной 2019 – не включает Threat Grid (TG) песочницу
DNA Essentials
DNA Advantage
SD-WAN Security лицензирование
Basic SD-WANwith
Ent FW Zone PoliciesIPsec, VPN, NAT, ACLs
AMP (hash analysis) *Intrusion Prevention
URL filteringDNS-Layer security monitoring
Ent FW – App-Aware
Basic SD-WANwith
Ent FW Zone PoliciesIPsec, VPN, NAT, ACLs
AMP (hash analysis) *Intrusion Prevention
URL filteringDNS-Layer security monitoring
Ent FW – App-Aware
Advanced SD-WAN
Cloud App Discovery
Platforms/Features Ent FWEnt FW App Awareness
IPS/IDSURL
Filtering
DNS/web-layer
SecurityViptela - (100, 1000, 2000 and 5000) Y DPI using Qosmos N/A N/A Y
Cisco - CSRY Y Y Y Y
Cisco – ENCS (ISRv)Y Y Y Y Y
Cisco – ISR4K (4451, 4431, 4351, 4331, 4321, 4221)
Y Y Y Y Y
Cisco – ISR1K (1111X-8P)Y Y Y Y Y
Cisco - ASR1K 1001-HX, 1002-HX, 1001-X, 1002-X)
Y Y N/A N/A Y
vManage 18.4 – Поддержка функций безопасности
IPS / URL-F App Hosting
Profile
Security Profile -Features
Minimum Platform requirement
Platform Supported
Base
“cloud-low”IPS + URLF (Cloud Lookup only) + AMP (File hashing)
8GB Bootflash 8GB Memory
1 Core for SP
ISR1K/4221/4321
“cloud-med”IPS + URLF (Cloud Lookup only) + AMP (File hashing)
8GB Bootflash & 8GB Memory
2 Core for SP
4331/4351/44xx8 vCPU CSR / ISRv
Boost
“onbox-med”IPS + URLF (On-box DB + Cloud Lookup) + AMP (File hashing) + Threat Grid (TG)
16GB Bootflash & 16GB Memory
2 Core for SP
4331/4351/44xx8vCPU CSR/ISRv
Enterprise FW и DNS безопасность будет работать с дефолтными 4 GB DRAM
Требования к ресурсам (профили размещения приложений)
Cisco SD-WAN Evolution – Looking Ahead
MSP NaaSSecurity Integration(Umbrella, CloudLock, ISE)
Easy Troubleshooting & OpsScale cloud-ops
Co
re S
DW
AN
Application QOE
One-click Cloud Networking
TestDriveQuick Deploy
VDI Acceleration
NaaS P2
AnalyticsVisibility
Enhance W
ith
Port
folio
Voice, App acceleration Platform diversity Appliance securityZBF, URL filtering, IPS/IDS
DNA Center + SD-WAN
Leapfr
og W
ith
E2E
Arc
h
SDWAN + SDAAnalyticsEN wide Multi-cloud connect
SAE
6-12 months 12-24 months