sd-wan: программно управляемая wan-сеть · 2018-12-12 · cisco forum...

Cisco Forum Kyiv12 Dec 2018

SD-WAN: программно-управляемая WAN-сеть

Юрий ДовганьСистемный инженер[email protected]

Зачем нужна новая архитектура для WAN?

Addressing WAN ChallengesSecurity Requirements and Complexity Headline WAN ChallengesQ. Select the three most important WAN challenges (from the following) that best relate to your company?

3

© IDC

N = 1208Notes: Managed by IDC's Quantitative Research GroupSource: Software-Defined WAN (SD-WAN) Survey, IDC, August, 2017

32.4%

29.2%

28.2%

26.3%

25.4%

24.0%

23.6%

22.1%

21.9%

21.2%

18.8%

0% 5% 10% 15% 20% 25% 30% 35%

Security requirements relating to web and internet applications

Complexity associated with interconnecting multiple transport…

Need for better analytics and visibility into applications and…

Managing consistent user experience for on-site enterprise apps…

In-house management of enterprise WAN networks

Cost-effectively delivering SaaS and other cloud services across…

Growing annual costs to provide additional bandwidth

Audit and compliance related to the network

Management of connectivity at remote branch offices

Appliance sprawl at the WAN edge

Time to provision a new service to a site

Цифровая трансформация требует трансформации сети

Программируемая

Акцент на оборудование

Автоматизация

Предсказывающая

Намерения бизнеса

Вручную

Закрытая

Сетевые намерения

Реактивная

Программно-определяемая

Четыре основных принципа Cisco SD-WAN

Обеспечение качестваработы приложений

Для облакаи в облаке

Возможности гибкой

эксплуатации

CiscoSD-WAN

Обеспечение безопаснойи гибкой связности

Архитектура Cisco SD-WAN

Обзор решения Cisco SD-WAN Применение SDN принципов к распределенным сетям

APIs

3rd Partyавтоматизация

vManage

vSmart Controllers

4GMPLS

INET

vBond

vAnalytics

ЦОД Кампусы Филиалы SOHOОблака

vEdge

Администрирование/

Оркестрация

Плоскость управления

(Control Plane)

Плоскость

передачи данных

(Data Plane)

Оркестрация фабрики (vBond)

• Обеспечивает связность между плоскостями администрирования, управления и передачи данных

• Начальная точка аутентификации

• Распространяет список vSmart/vManage на все vEdge устройства

• Помогает с обходом NAT

• Требует публичного IP адреса (может находиться за 1:1 NAT)

• Высокая отказоустойчивость

• Multitenant или выделенный

• Все компоненты Cisco SD-WAN должны знать IP адрес или доменное имя vBond

• Авторизует все управляющие соединения (модель «белых списков»)

APIs

vSmart контроллеры


vManage


vEdge

vAnalytics

vBond

4GMPLS

INET

Основные характеристики

Плоскость администрирования (vManage)

• Единая консоль управления для операций Day0, Day1 и Day2 (развертывание, настройка, эксплуатация)

• Централизованный провижениниг

• Multitenant или выделенный

• Формирование политик и шаблонов

• Мониторинг и поиск и устранение неисправностей

• Обновление ПО

• Программный интерфейс (REST, NETCONF)


• Графический интерфейс с RBAC

APIs



vManage


vEdge

vAnalytics

4GMPLS

INET


vBond

Плоскость управления (vSmart)

• Обеспечивает обнаружение устройств в фабрике

• Распространяет информацию плоскости управления на vEdge устройства

• Распространяет политики плоскости передачи данных и политики маршрутизации по приложениям на vEdge устройства

• Применяет политики плоскости управления

• Существенно снижает сложность плоскости управления


APIs



vManage


vEdge

vAnalytics

4GMPLS

INET


vBond

Плоскость передачи данных (vEdge)

• Граничные маршрутизаторы WAN

• Обеспечивают безопасную передачу данных с удаленными vEdge маршрутизаторами

• Устанавливают безопасные управляющие соединения с vSmart контроллерами (OMP)

• Осуществляют передачу данных и маршрутизацию трафика на основе политик по приложениям

• Используют стандартные протоколы маршрутизации, такие как BGP, OSPF и VRRP

• Поддержка ZTP (Zero Touch Provisioning)

• Экспортирует статистику о производительности и качестве обслуживания

• Может быть физическим (100Мбит/с –20+Гбит/с) или виртуальным

APIs



vManage


vEdge

vAnalytics

4GMPLS

INET


vBond

Программируемый API (REST)

• Программный контроль над всеми аспектами администрирования через vManage

• Безопасный HTTPS интерфейс

• GET, PUT, POST, DELETE методы

• Аутентификация и авторизация

• Bulk API вызовы

• Скрипты на Python

APIs



vManage


vEdge

vAnalytics

4GMPLS

INET


vBond

vBond, vSmart, vManageКонтроллеры могут быть развернуты как в корпоративной сети, так и в публичной облачной среде

ESXi или KVM

Физический сервер

vManage vSmart-1vSmart-NvBond

В корпоративной сети

AWS or Azure

vManage vSmart-1vSmart-NvBond

В публичном облаке

© 2017 Cisco and/or its affiliates. All rights reserved.

SD-WAN Платформы

ISR 1000 ISR 4000 ASR 1000

• 2.5-200Gbps

• High-performance service w/hardware assist

• Hardware & software redundancy

• Up to 2 Gbps

• Modular

• Integrated service containers

• Compute with UCS E

• 200 Mbps

• Next-gen connectivity

• Performance flexibility

Branch Services

Public Cloud

vEdge 2000

• 10 Gbps

• Modular

vEdge 1000

• Up to 1 Gbps

• Fixed

vEdge 100

• 100 Mbps

• 4G LTE & Wireless

SD-WAN

Branch virtualization

ENCS 5100 ENCS 5400

• Up to 250Mbps • 250Mbps – 2GB


vEdge 1000

vEdge роутеры: старшие моделиАппаратные характеристики

▪ 1 Gbps AES-256

▪ 1RU, standard rack mountable

▪ 8x GE SFP (10/100/1000)

▪ TPM chip

▪ 3G/4G via USB (or) Ethernet

▪ Security, QoS

▪ Dual Power supplies (external)

▪ Low power consumption

vEdge 2000

▪ 10 Gbps AES-256


▪ 4x Fixed GE SFP (10/100/1000)

▪ 2 Pluggable Interface Modules

▪ 8 x 1GE SFP (10/100/1000)

▪ 2 x 10GE SFP+

▪ TPM chip


▪ Security, QoS

▪ Dual power supplies (internal)

▪ Redundant fans

vEdge 5000

▪ 20 Gbps AES-256


▪ 4 NIMs (Network Interface Modules)

▪ 8 x 1GE SFP (10/100/1000)

▪ 4 x 10GE SFP+

▪ TPM chip


▪ Security, QoS

▪ Dual power supplies (internal)

▪ Redundant fans


vEdge-100 роутерыАппаратные характеристики

▪ 100 Mbps AES-256

▪ 1RU

▪ 5x 1000Base-T

▪ 1x POE port

▪ 2G/3G/4G LTE

▪ Internal AC PS

▪ 1x USB-3.0

▪ TPM Board-ID

▪ Kensington lock

▪ Low power fan

▪ GPS

▪ 100 Mbps AES-256

▪ 1RU

▪ 5x 1000Base-T

▪ 1x POE port

▪ 2G/3G/4G LTE

▪ 802.11a/b/g/n/ac

▪ Internal AC PS

▪ 1x USB-3.0

▪ TPM Board-ID

▪ Kensington lock

▪ Low power fan

▪ GPS

vEdge 100m vEdge 100mw

▪ 100 Mbps AES-256

▪ 5x 1000Base-T

▪ TPM chip

▪ Security, QoS

▪ External AC PS

▪ Kensington lock

▪ Fan-less

▪ 9” x 1.75” x 5.5”

▪ GPS

vEdge 100


Плоскость управления (Control plane)

vSmart vSmart

vSmart

vEdge vEdge

ВАЖНО: Нет необходимости в соединении vEdge

маршрутизаторов со всеми vSmart контроллерами

• Протокол управления наложенной сетью OMP (Overlay Management Protocol)

• Улучшенный протокол плоскости управления на базе TCP

• Функционирует между vEdge и vSmart контроллерами и между всеми vSmart контроллерами

• Передается внутри TLS/DTLS соединений

• Распространяет контекст плоскости управления и политики

• Значительно снижает сложность управления и существенно увеличивает возможности масштабирования решения

Сложность плоскости управления

SD-WAN

Линейная сложность Control Plane

O(n)

Традиционные IPSec сети

Квадратичная сложность Control Plane

O(n^2)

IKE+IPSec

IKE+IPSec

IKE+IPSec

IKE+IPSec

IKE+IPSec

IKE+IPSec

OMP

IPSecIPSec

OMP

Развертывание плоскости передачи данных

OMP IPSec туннели

vEdge

vEdgevEdge

vEdge

vEdge

vSmart

Локальные TLOCs (System

IP, Color, Инкапсуляция)

TLOCs анонсируются vSmartконтроллерам и попадают в

таблицу TLOC маршрутов

vSmarts распространяетTLOCs всем vEdge в таблицы

маршрутов TLOC

SD-WAN фабрикас TLOCs как

ответные точки туннеля

INETMPLS

Transport Locator (TLOC)

TLOCs

IPsec

IPsec

IPsec

Плоскость передачи данных (Data Plane)

vEdge vEdge

vEdge

vEdge vEdge

• Bidirectional Forwarding Detection (BFD)

• Мониторинг состояния каналов и качества прохождения трафика

• Up/Down, потери/задержки/вариации задержек (jitter), MTU через IPsec туннель

• Работает между всеми vEdge маршрутизаторами в топологии

• Внутри IPsec туннелей

• Функционирует в Echo режиме

• Автоматически запускается при установлении IPsec туннеля

• Не может быть отключен

• Использует hello интервал (для Up/Down), poll интервал (для маршрутизации по приложениям) и multiplier для для обнаружения ухудшений

• Полностью перенастраиваемый (pre-vEdge, perColor)

Как работает SD-WAN фабрикаOMP Update:▪ Доступность – подсети IP, TLOCs▪ Безопасность – Ключи шифрования▪ Политики – Маршрутизация

данных/по приложениям

BGP, OSPF, Connected, Static

BFD

IPSec Tunnel

OMP

DTLS/TLS Tunnel

Транспорт 1

Транспорт 2VPN1

A

VPN2

B

VPN1

C

VPN2

D

BGP, OSPF, Connected, Static

vSmart

OMPUpdate

OMPUpdate

vEdge vEdge

Подсети Подсети

TLOCs TLOCs

Политики управленияOMP

UpdateOMP

Update

Распространенные типы взаимодействия через плоскость передачи данных (Data Plane)

Per-Session распределениеActive/Active

INETMPLS

По умолчанию

Per-Session взвешенноеActive/Active

INETMPLS

Настраиваемо на устройстве

Привязка приложенийActive/Standby

INETMPLS

Принудительная политика

Маршрутизация по приложениямс учетом SLA

INETMPLS

SLA SLA

Принудительная политика

Определение приложений

4GMPLS

INET

Филиал

Кампус

Публичная

облачнаясреда

Малый/домашний офис (SOHO)

ЦОД

Deep Packet Inspection (DPI)

✓ Межсетевое экранирование

✓ Приоритезация трафика

✓ Выбор трафика

МаршрутизаторvEdge

App 1

App 2

App 3,000

Обеспечение SLA для критичных приложений

Путь 1: 10ms, 0% loss, 5ms jitterПуть 2: 200ms, 3% loss, 10ms jitterПуть 3: 140ms, 1% loss, 10ms jitter

vManage Политика маршрутизации

на основе приложенийПуть для приложения A

должен иметь: Задержку < 150ms

Потери < 2%Вариацию задержки < 10ms

▪ vEdge устройства постоянно проверяют доступность и измеряют качество пути прохождения трафика

Интернет

MPLS

4G LTE

SD-WAN IPSec туннель

Удаленный узел ЦОДПуть 2

Оптимальный MTUОптимизация TCP

Понятие VPN и зон безопасности в vEdge

Транспорт(VPN0)

Сервисы(VPNn)

Внеполосное управлениеOOBM (VPN512)

IF

• VPNы изолированы друг от друга, каждыйVPN имеет свою собственную таблицу

маршрутизации

• Доступность внутри VPN автоматически

анонсируется через OMP

IF,Sub-IF

IF,Sub-IF

IF,Sub-IF

IF,Sub-IF

Интернет

MPLS

Недоверенная зона

Доверенные зоны

Безопасная сегментация

ПолносвязнаяFull-Mesh

ЦентрализованнаяHub-and-Spoke

Частично связаннаяPartial Mesh

Точка-точкаPoint-to-Point

Уникальная топология для каждого VPN

vEdgeVPN 3

VPN 1

VPN 2SD-WAN

IPSecтуннель

vEdge

• Безопасное зонирование

• Соответствие политикам безопасности

• Гостевой Wi-Fi

• Multi-Tenancy

• Внешние сети (Extranet)

Безопасный периметрВставка сервиса

• vEdge router with connected L4-L7 service makes advertisement

- Service route OMP address family- Service VPN label

• Service is advertised in specific VPN

• Service can be L3 routed or L2 bridged

• Service can be singly or dually connected (Firewall trust zones) to the advertising vEdge

• Control or data policies are used to insert the service node into the matching traffic forwarding path

- Match on 6-tuple or DPI signature- Applied on ingress/egress vEdge* For data policy only. Control policy enforced on vSmart.

Data Center

Remote Office

Regional Hub

ServiceAdvertisement

PolicyAdvertisement*vSmart

VPN1

VPN1

VPN1

Traffic Path

Control Plane

FW

4GMPLS

INET

Оптимизация TCP

Пользователи СерверыприложенийВысокие задержки/ потери

vEdgevEdge

TCP соединения TCP соединенияОптимизированные

TCP соединения

• Высокая задержка и/или потери в канале

между пользователями и приложениями, т.е. гео-распределенные подключения

• vEdge терминирует TCP сессию и делает локальные acknowledgements

- Хост не должен ждать TCP ACK от ответной стороны и приостанавливать TCP передачу

• Оптимизированные TCP соединения используют механизмы выборочных acknowledgements с целью предотвращения ненужных пересылок уже принятых сегментов

• Хосты, использующие устаревший стек TCP/IP увидят максимальную выгоду

SD-WANFabric

Zero Touch Provisioning – vEdge/cEdge роутер

Control and PolicyElements

* Factory default config

Assumption:• DHCP on Transport Side (WAN)• DNS to resolve ztp.viptela.com*

▪ Delivered as-a-Service

Zero Touch ProvisioningServer

1

2

Full Registration and Configuration

53

4

vEdge

Zero-Trust Admission Control

• Single stage (Zero Touch Provisioning) – Identity is automatically trusted

• Two stage (One Touch Provisioning) – Identity is not automatically trusted. Requires administrator validation.

• Staging Mode – Identity is automatically trusted for control, but not for data. Requires administrator validation.

Масштабирование решения по горизонтали

ЦОД Кампус Филиалы Домашние офисы

4G/LTE

MPLS

Internet

Управление(Контейнеры или ВМ)

(vSmart)

Администрирование(Multi-tenant или выделенное)

(vManage)

Оркестрация(vBond)

Модель масштабирования по горизонтали

Добавить vSmart контроллеры для большей вместимости плоскости управления (control plane)

Создать vManage кластер чтобы вместить больше vEdge устройств

Добавить оркестратор vBond для увеличения числа подключаемых vEdge

• Необходимо выбирать vEdgeплатформы с подходящей масштабируемостью по IPSec туннелям

• Необходимо использовать политики управления для определения VPN топологий

Высокая доступность и отказоустойчивость

VRRP OSPF/BGP

OSPF/BGP

INET INETMPLSMPLS

INET

MPLS

Узел

ЦОД

MPLS

INET


Управление

Передачаданных

Отказоустойчивость узла Отказоустойчивость транспорта

Отказоустойчивость сети/головного

устройства

Отказоустойчивость управления

Варианты перехода на SD-WAN

SD-WAN Fabric Secure Tunnel

MPLS Интернет

Non-

SDWAN

Non-

SDWAN SDWAN

SDWAN

Узел B

Узел A

Non-

SDWAN

Non-

SDWAN

Интернет

Узел B

Узел A

MPLS

SDWAN

SDWAN

ИнтернетMPLS

Узел B

Узел A

SDWAN

SDWAN

SDWAN

SDWAN

Доступные аппаратные платформы от vEgde

Малый офисДомашний офис

100Mb

1Gb

1/10Gb+

ФилиалКампус

Крупный кампусЦОДы

Виртуальный филиалОблачные среды

vEdge Cloud

vEdge 5000/2000

vEdge 1000

vEdge 100

IOS XE 16.9.1 Конец 2018 Зима 2019 Конец зимы 2019

ISR4221, ISR43xxASR1001-X ASR1002-X, ASR 1001-HXASR 1002 –HXISRv (ENCS) 5412 C1111-8P LTEEA/LAC1117-4PLTEEA/LAC1111-8P

ISR-4461

Остальные IOS XE устройства

SDWAN Roadmap – IOS XE платформы (cEdge)

C1101-4PC1111-4PC1111-4PLTEEAC1111-4PLTELAC1111-8PLTEEAWC1111-8PWC1116-4PC1116-4PLTEEAC1117-4PC1117-4PMC1117-4PMLTEEAENCS (5104,5406,5408)CSR

ISR-4451 ISR-4431

Доступные на сегодня опции разворачивания SD-WAN

Pure Play

Подходит для простого SD-

WAN

Networked Solution

Подходит для SD-WAN с

богатыми сервисами

Virtual Branch

Наилучший вариант для

виртуальных филиалов

ISR

vEdge

UCS-E

ENCS

ISR Аппаратный

vEdge

Аппаратный

vEdge или

cEdge

Типы подписок для SD-WAN

DNA Essentials

3,5

Y

ea

r Te

rms

ConnectivityVPN Overlay, Topology: Hub-n-spoke, NAT, Split tunnel,2 VPNs: 1 transport, 1 service side VPN with L2 or L3

SecurityEncryption: AES-256, Policy support: Local ACL only, Data policy

Application ExperienceQoS (classification, policing, remarking, scheduling), App-aware routing (5 tuple only), DPI for visibility, App visibility (name, throughput)

ManagementViptela vManage platform, Zero Touch Provisioning, Day 0 , day 1, day N Changes

C1 Advantage (Include DNA Essentials & DNA Advantage)

Connectivity: VPNs: Up to system scale

Advanced Application ExperienceWAN Full stack WAAS

Analytics:VAnalytics platform

Platforms Supported Now: vedgePlatforms Support Post July: ISR, ASR, ENCS

DNA Advantage (Include DNA Essentials)

ConnectivityService-side routing, Mesh topology, MulticastVPNs: 5 (1 transport, 4 service side)

SecurityControl policyAdvanced policies: Service chaining, extranet

Application Experience:DPI for app-aware routing and policiesSaaS on-ramp (was CloudExpress)TCP Optimization

Management & OrchestrationEnd to end SD-WAN policy orchestration, network and application trouble shooting

3,5

Y

ea

r Te

rms

3,5

Y

ea

r Te

rms

DNA software subscription SKUs and pricing

Essentials Advantage C1 Advantage

Bandwidth 3-Yr 5-Yr 3-Yr 5-Yr 3-Yr 5-Yr

10MDNA-P-10M-E-3YDNA-C-10M-E-3Y

DNA-P-10M-E-5YDNA-C-10M-E-5Y

DNA-P-10M-A-3YDNA-C-10M-A-3Y


C1DNA-P-10M-A-3YC1DNA-C-10M-A-3Y


























1GDNA-P-1G-E-3YDNA-C-1G-E-3Y

DNA-P-1G-E-5YDNA-C-1G-E-5Y

DNA-P-1G-A-3YDNA-C-1G-A-3Y


C1DNA-P-1G-A-3YC1DNA-C-1G-A-3Y


2.5GDNA-P-2.5G-A-3YDNA-C-2.5G-A-3Y

DNA-P-2.5G-A-5YDNA-C-2.5G-A-5Y

C1DNA-P-2.5G-A-3YC1DNA-C-2.5G-A-3Y

C1DNA-P-2.5G-A-5YC1DNA-C-2.5G-A-5Y

10GDNA-P-10G-A-3YDNA-C-10G-A-3Y




▪ DNA SKU Structure: “C1DNA-” or “DNA- “▪ Offering: On-prem “P”; Cloud “C”▪ Throughput levels: 10M to10G▪ License Tiers: Essentials “E”; Advantage “A”▪ License Term Length: 3 Years “3Y”; 5 Years “5Y”

❖ Global List Price Detailed info in ordering guide: https://www.cisco.com/c/en/us/products/software/one-wan-subscription/wan-subscription-part-number.html

Applicability Matrix10M 20M 50M 100M 500M 1G 2.5G 10G

Cisco 1100 Series ISRs Cisco ONE Advantage ✓ ✓ ✓ ✓

Advantage ✓ ✓ ✓ ✓

Essentials ✓ ✓ ✓ ✓

Cisco 4221 ISR Cisco ONE Advantage ✓ ✓ ✓

Advantage ✓ ✓ ✓

Essentials ✓ ✓ ✓

Cisco 4331 ISR Cisco ONE Advantage ✓ ✓ ✓ ✓



Cisco 4451 ISR Cisco ONE Advantage ✓ ✓ ✓


Essentials ✓ ✓ ✓

ENCS Cisco ONE Advantage ✓ ✓ ✓


Essentials

ASR 1001-X Cisco ONE Advantage ✓

Advantage ✓

Essentials

ASR 1002-X Cisco ONE Advantage ✓

Advantage ✓

Essentials

Cisco vEDGE 100 Series Cisco ONE Advantage ✓ ✓ ✓ ✓



Cisco vEDGE 1000 Series Cisco ONE Advantage ✓ ✓ ✓ ✓ ✓ ✓

Advantage ✓ ✓ ✓ ✓ ✓ ✓

Essentials ✓ ✓ ✓ ✓ ✓ ✓

Cisco vEDGE 2000 Series Cisco ONE Advantage ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Advantage ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Essentials ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Cisco vEDGE 5000 Series Cisco ONE Advantage ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Advantage ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Essentials ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

vManage и DNA Center

Cisco vManage Cisco DNA Center

Cisco Routing customers who want Cloud management and SD-WAN and are on the journey to the Intent-based WAN

Cisco’s on-prem management platform for customers who have Cisco Switching and Wireless

vManage соединится сDNA Center в 2019 г

Lead with vManage for Intent—based WAN

New Easy to Order PID’s

Easy attach of DNA offers

Lead with new PID’S for key product families

Better Pricing

Product Family* NEW PIDs DescriptionISR 4000 Series ISR4331-DNA Cisco ISR 4331 (3 GE, 2 NIM, 1 SM) with DNA

Support

ISR 4000 Series ISR4451-DNA Cisco ISR 4451 (4 GE, 3 NIM, 2 SM) with DNA

Support

ISR 1000 Series C1111-8P-DNA ISR 1100 8 Ports Dual GE WAN with DNA

Support

ISR 1000 Series C1111-8PLTEEA-DNA ISR 1100 8 Port Dual GE LTE EA with DNA

Support

ISR 1000 Series C1111-8PLTELA-DNA ISR 1100 8 Port Dual GE LTE LA with DNA

Support

ASR 1000 Series ASR1001-X-DNA Cisco ASR 1001-X Crypto,6GE, Dual-PS with

DNA Support

ASR 1000 Series ASR1002-HX-DNA Cisco ASR 1002-HX, 4x10GE+4x1GE, Dual PS

with DNA Support

VEDGE 100 Series VEDGE-100B-AC-K9 vEdge-100 AC chassis with 5 Ethernet ports, rack

mount kit and cables

VEDGE 100 Series VEDGE-100M-AC-K9* vEdge-100 AC chassis with single 4G/LTE SIM,

integrated power supply, 5 Ethernet ports

VEDGE 100 Series VEDGE-100WM-AC-K9* vEdge-100 AC chassis with single 802.11 radio

and single 4G/LTE SIM, integrated power supply,

5 Ethernet ports and cables

VEDGE 1000 Series VEDGE-1000-AC-K9 vEdge-1000 AC base chassis with 8x1GE fixed

ports, dual AC power adapters and cables

VEDGE 2000 Series VEDGE-2000-AC-K9 vEdge-2000 AC base chassis with 4x1GE fixed

ports and dual Pluggable Interface Module

VEDGE 5000 Series VEDGE-5000-AC-K9 vEdge-5000 AC router base chassis with 4x10G,

8x1G copper, 8x1G fiber modular NIMS

Subscription for product families not shown here can be purchased as a-la-carte

To get DNA subscription for existing ISR/ ASR/ vEdge, use PID: LIC-DNA-ADD

SD-WAN безопасность

vManageProvisioning

ReportingMonitoring Troubleshooting

Branch Edge

vManageEdge Router

Flexibility

Branch Edge (Embedded) Branch Edge (Cloud)Enterprise FW App Aware

IPS URL filter

Managing

CSRENCS w/ISRvISR 4/1K

ASR1K vEdge

Only App Aware FW and DNS/web-layer security

Anti-Malware

Подтверждено 2019

Конец 2018

DNS/web-layer securityFull EdgeSecurity

Only DNS/web-layer security

SD-WAN безопасностьSecurity

Additional DRAM/Flash may be required

• Политики зон

• Определение и контроль приложений

• Классификация более 1400 приложений

• Разрешает или блокирует трафик категории приложений или отдельного приложения

• Сегментация

• PCI соответствие

Межсетевой экран со знанием приложений

Outside Zone

InsideZone

GuestZone

Edge Device

Users

Service-VPN 1

Devices

Service-VPN 2

SaaS

Internet

Inspect policy allows only return traffic to be allowed.

• Самая распространенная система IPS в мире (Snort IPS)

• Связана с TALOS, обновления сигнатур автоматическое

• Поддержка сигнатурных белых списков

• Аналитика реального времени

• PCI соответствие]

*Работает по принципу контейнера. Требуется дополнительные 4 GB DRAM на роутере (4GB для IOS + 4 GB для IPS)

Система IPS

On-site Services

IPS

• 82+ Web категорий с динамическими обновлениями

• Блокировка базируется на оценке Web репутации

• Создание кастомных черных и белых списков

• Оповещения конечных пользователей

URL фильтрация

Block/Allow based on

Categories,

Reputation

Requests for “risky” domain requests

URL Filtering

White/Black lists of

custom URLs

Users and Devices

• Перехват DNS запросов и проверка доменного имени на предмет рисков

• Поддержка DNScrypt

• Local Domain-bypass

• SSL расшифровка

• Intelligent Proxy

DNS безопасность

Safe requests

Blocked requests

Cisco Umbrella

• Интеграция с AMP

• Репутация файла

• Ретроспективный анализ файла

• Интеграция с песочницейThreatGrid

• Анализ файла

Advanced Malware Protection

Internet

Malware Sandbox

AMP

ThreatGrid

Check Signature

Check file

Ожидается в первой половине 2019

*AMP ожидается весной 2019 – не включает Threat Grid (TG) песочницу

DNA Essentials

DNA Advantage

SD-WAN Security лицензирование

Basic SD-WANwith

Ent FW Zone PoliciesIPsec, VPN, NAT, ACLs

AMP (hash analysis) *Intrusion Prevention

URL filteringDNS-Layer security monitoring

Ent FW – App-Aware

Basic SD-WANwith

Ent FW Zone PoliciesIPsec, VPN, NAT, ACLs

AMP (hash analysis) *Intrusion Prevention

URL filteringDNS-Layer security monitoring

Ent FW – App-Aware

Advanced SD-WAN

Cloud App Discovery

Platforms/Features Ent FWEnt FW App Awareness

IPS/IDSURL

Filtering

DNS/web-layer

SecurityViptela - (100, 1000, 2000 and 5000) Y DPI using Qosmos N/A N/A Y

Cisco - CSRY Y Y Y Y

Cisco – ENCS (ISRv)Y Y Y Y Y

Cisco – ISR4K (4451, 4431, 4351, 4331, 4321, 4221)

Y Y Y Y Y

Cisco – ISR1K (1111X-8P)Y Y Y Y Y

Cisco - ASR1K 1001-HX, 1002-HX, 1001-X, 1002-X)

Y Y N/A N/A Y

vManage 18.4 – Поддержка функций безопасности

IPS / URL-F App Hosting

Profile

Security Profile -Features

Minimum Platform requirement

Platform Supported

Base

“cloud-low”IPS + URLF (Cloud Lookup only) + AMP (File hashing)

8GB Bootflash 8GB Memory

1 Core for SP

ISR1K/4221/4321

“cloud-med”IPS + URLF (Cloud Lookup only) + AMP (File hashing)

8GB Bootflash & 8GB Memory

2 Core for SP

4331/4351/44xx8 vCPU CSR / ISRv

Boost

“onbox-med”IPS + URLF (On-box DB + Cloud Lookup) + AMP (File hashing) + Threat Grid (TG)

16GB Bootflash & 16GB Memory

2 Core for SP

4331/4351/44xx8vCPU CSR/ISRv

Enterprise FW и DNS безопасность будет работать с дефолтными 4 GB DRAM

Требования к ресурсам (профили размещения приложений)

Cisco SD-WAN Evolution – Looking Ahead

MSP NaaSSecurity Integration(Umbrella, CloudLock, ISE)

Easy Troubleshooting & OpsScale cloud-ops

Co

re S

DW

AN

Application QOE

One-click Cloud Networking

TestDriveQuick Deploy

VDI Acceleration

NaaS P2

AnalyticsVisibility

Enhance W

ith

Port

folio

Voice, App acceleration Platform diversity Appliance securityZBF, URL filtering, IPS/IDS

DNA Center + SD-WAN

Leapfr

og W

ith

E2E

Arc

h

SDWAN + SDAAnalyticsEN wide Multi-cloud connect

SAE

6-12 months 12-24 months

sd-wan: программно управляемая wan-сеть · 2018-12-12 · cisco forum...

Documents