思科创新园区网架构-DNA 2.0-交流.pptx

1、,New Era of Campus Networking园区网络新时代 Cisco DNA 2.0,什么是新时代网络,目前IT系统的挑战,95% 95%的变更由人工执行,3个月 发现恶意漏洞需要3个月,61% 到2020年网络设备数量增加61%,14% 生产效率因网络错误降低14%,网络有效性差距,增加复杂性：附加系统需要更多时间和金钱来保持运行 新的设备类型：无人操控设备需要前瞻性的服务管理 不断增加的威胁：新用户和物联网设备带来更多渗透点 资源受限：资源不足或减少降低回报,无法与业务保持同步,复杂性 互联设备 威胁面,资源,Why Cisco DNA? Why Now?,提升业务部署速递

2、,85%,更快的威胁防护 从平均100+ 天到平均17.5小时,100X,降低网络安装、运维的成本,79%,业务敏捷,更低的成本,降低风险,让网络为业务带来更多的帮助,开始数字化之旅,面向数字化的基础架构 IT自动化 安全的企业网,投资保护,让网络为业务提供更多的帮助,DNA 2.0框架,DNA 2.0网络服务组件,DNA 2.0发布带来了什么,智能 | 自动化 | 安全,SDA,NDP,Catalyst 9K,全新的Catalyst交换机,2960X/XR C1-2960X,3650 C1-3650,3850 C1-3850,4500 C1-4500,3850 Fiber C1-3850 F

3、iber,6800 C1-6800,当前产品线,新一代产品线,9300 基础订阅许可/高级订阅许可,9400 基础订阅许可/高级订阅许可,9500 基础订阅许可/高级订阅许可,迁移升级,迁移升级,迁移升级,首次采用 x86 CPU支持更多应用 可编程ASIC芯片 软件补丁,日后支持 IEEE 802.11ax下一代WiFi IEEE 802.3bt 71W PoE IEEE 802.3by 25G以太网,行业第一 高可用性 mGig端口密度 UPoE能力,48Gbps,80Gbps,数字化网络架构 (DNA),软件定义接入 (SDA),DNA Center：用户的统一及唯一的交互界面,DNA

4、Center：在一个地点设计、配置、执行策略和保障DNA服务,设计、配置、制定策略的 逻辑工作流程 更快回应变化,监控端对端网络性能 在发生前预测问题,更快定位问题 通过端对端视图而非逐跳传输减少停机时间,管理硬件和软件生命周期 保持更新、符合法规并持续更新,12, 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential,当今的企业网络,未来的园区网络架构：Software Defined Access - 逻辑虚拟网络,功能虽多 但 太过复杂 ,运营成本投入巨大,Assurance(Network D

5、ata Platform),通过可执行的洞察和简化实现网络运营转型,数据,全新的网络分析工具 - NDP,Insights-洞察 即时发现网络中的问题,Troubleshoot-排障 通过数据关联分析，直接命中故障原因,Automate-自动 通过机器自学习方法提供网络优化建议,Predictive Performance-性能预测 理解网络应用所需的服务质量等级,Visibility-可视 学习和了解网络以及终端的状态,14, 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential,了解现在, 预测将

6、来,2017年11月,2017年6月内部发布,DNA创新产品推出时间,Cat 9300 & 9500,大规模生产 FCS保障 网络数据平台 更大的规模,2017年9月 中国FCS,对外发布 网络品牌宣传活动 最终客户需求生成,JUN 2017,有限部署 FCS自动化 软件定义访问 EFT保障 不超过500台设备,DNA Center: Assurance,6月20日,Software Defined Access 按需构建的园区网络,现有园区网面临的挑战,接入网络的设备数量飞速增长，如何快速的横向扩展,如何解决大二层的需求，让网络任意的区隔,如何规避spanning tree的风险，避免网络环

7、路,ACL过多，过于分散，如何统一管理,1,2,3,4,有线无线如何统一接入，统一策略，统一管理分析,5,当今的企业网络,未来的园区网络架构：Software Defined Access - 逻辑虚拟网络,功能虽多 但 太过复杂 ,运营成本投入巨大,Cisco Software Defined Access更加稳定，更加敏捷的园区网接入解决方案,1：Underlay设备仅需配置ISIS，配置精简，稳定，快速横向扩展，规避spanning tree风险,2：通过VXLan替代Vlan，实现大二层，与终端接入位置无关，任意漫游,3：通过SGT标签，替代ACL，极大降低ACL条目数量，同时SGT标

8、签全网自动同步，而无需维护,4：有线交换机与无线AP统一使用VXLan作为data plane，有线网无线网真正实现统一,5：通过控制器统一图形化配置，Underlay设备零配上线，Overlay网络快速创建及调整,6：集中策略服务器用于存放全网统一身份SGT策略信息，与网络设备实时同步，避免分布式ACL风险,Underlay Network,Overlay Network,VXLan+SGT封装,APIC-EM,ISE,第一层标签（VXLAN），确保各虚拟网之间完全隔离,Virtual Networks-虚拟网络,第二层标签（SGT），可以通过基于角色的策略，控制相互之间的互访,Groups

9、-用户组,IoT 虚拟网络,Group 3,路由器,交换机,无线,Group 4,Group 5,Default Permit,Custom Deny,Default Deny,物理网络,虚拟网络,Deny Http,Permit Https,Cisco Software Defined Access虚拟网络以及策略模型,Default Permit,SD-Access 设备支持,ASR-1000-X,ASR-1000-HX,ISR 4430,ISR 4450,无线,路由器,交换机,AIR-CT5520,AIR-CT8540,Wave 2 APs (1800, 2800,3800),Wave

10、1 APs* (1700, 2700,3700),Catalyst 9400,Catalyst 9300,Catalyst 9500,Catalyst 4500E,Catalyst 6K,Nexus 7700,Catalyst 3850 and 3650,AIR-CT3504,CSR 1000V,*with Caveats,Network Data Platform 园区网大数据分析平台,现有园区网运维的挑战,网管平台只能监控网元的状态，而无法反映系统和应用的状态,基于SNMP的方法无法实时反馈网络的状态,网络服务：例如DHCP、AAA是独立的监控平面,需要专业的网络人员才能对网络事件进行关联

11、性分析,1,2,3,4,欠缺对网络系统进行预测的方法,5,园区网大数据分析系统架构,1：收集所有网络设备的状态信息，包含NetFlow，Syslog等,2：统一收集网络服务系统的信息，包含DHCP，AAA等,3：设备状态信息可由设备主动发出，频率可达10秒一次，可避免SNMP Polling间隔时间过长问题,4：所有信息交由统一的分析系统关联，分析。使用大数据及机器自学习技术，实时、准确的提供分析结果，而无需专业人员介入,5：分析结果可由北向接口输出，采用Restful+Json通用接口规范以及SDK，易于用户二次开发,6：思科同时提供前段展示图形化界面,TOP 10 TRENDS,大数据分析

12、的威力-场景一,1：网络整体状态：伦敦有20%的终端有认证的故障；圣何塞有40个终端webex应用有故障；网络中一共有10个AP宕机，影响到200个客户端,2：今天最紧急的故障是在旧金山有14个AP不能访问，大约140个终端受到影响,3：其它的网络故障以及网络的趋势,大数据分析的威力-场景二,1：GeorheBaker的iphone在黄线所显示的时间段，使用体验出现不良状况,2：GeorheBaker的iphone在红线所显示的时间点无法接入网络，时间大概是在上午9:30左右,3：GeorheBaker的iphone无法接入的原因是没有收到DHCP Server 分配的IP地址,4：同样的故障

13、影响到1K个客户端，分布在10个建筑中,5：通过路径示意图，可以发现网络联通性没有问题，故障原因是DHCP Server出现故障,Catalyst 9000 面向数字化时代的园区网交换平台,园区网交换机的新需求,大二层是趋势，能解决现有网络的关键问题,IOT，下一代无线网对POE能力和接入带宽的需求,交换机需要成为安全网元，这样才能实现网络整体防御,Devops的出现，要求交换机具备更高的运算能力,1,2,3,4,系统平滑升级，在线打补丁，减少维护时间,5,安全,Catalyst 9K 系列,创新平台,Encrypted Traffic Analytics 256bit MacSec / IP

14、Sec Trustworthy Systems Group based policy Full Netflow for StealthWatch,IoT,CoAP / IoT Device profiling SD Bonjour Perpetual PoE IEEE 1588 / AVB Emerging Standards (e.g MUD),云管理/自动化,DevOps Toolkit Netconf/Yang Models Streaming telemetry Patching/GIR Application Hosting,移动性,Fabric Enabled Wireless E

15、mbedded WLC Distributed Wireless Scale Unified Control & Policy Wired & Wireless Guest,Catalyst 9300 替代3850,Catalyst 9400 替代4500,Catalyst 9500 替代4500X/3850 10G,功能,Catalyst 交换机家族产品定位,语音,数据,新时代网络功能,安全,IOT,移动性,接入交换机,固定配置交换机 9300 Up to 480G Stacking,模块化交换机 9400 9Tbps System b/w,Performance: mGig, 1/10G

16、uplink, 40G uplinks PoE Leadership: UPOE, Fast/Perpetual PoE High Availability: NSF/SSO, ISSU (9400), Patching,Security: ETTA, MacSec 256, IPSecTrustworthy Systems,IoT Convergence: Perpetual PoE, IEEE 1588/AVB, SD Bonjour,Cloud: Netconf/Yang models, Streaming Telemetry, App Hosting,接入交换机,2960-X,2960-XR 电源和风扇冗余,On-device Management, PnP, APIC EM, Prime Infra,Stacking Routed Access DNS-AS, NaaS, Full Netflow,