Embed Size (px)
Citation preview
Cisco Connect Москва, 2017
Цифровизация: здесь и сейчас
Виртуальные устройства и наложенные сети - новый подход к организации абонентских сервисов
Андрей Вишняков
Менеджер системных инженеров
© 2017 Cisco and/or its affiliates. All rights reserved.
Пример организации наложенной сети для туннелирования данных до виртуальных BNG
3
vBRAS
Internet
VPEF
x86 servers
CSR
VMs
vBNG
vRouter
L2 VLAN
подключения
IPv6 Core
Дата Центр
WAN сеть
HGWs
HGWs
vLNS
DHCPv4
CSR
VMs
vLNS – Retail ISP
LNS
LNS –Retail ISP
LNS LNS
LNS
vLNS
Физические LNS
L2TPv2oIPv4
tunnels IPv6 tunnel
end-points
IPv6
tunnels
RT OSS
Network Control Orchestrator
RADIUS
Retailer
RADIUS
Содержание
CSR 1000V и его применение
Развитие XRv 9000
Виртуальные межсетевые экраны
Service Chaining – как это реализовать?
Последовательное соединение сервисов – «сервисная цепочка» Сервисная цепочка – упорядоченное соединение сетевых сервисов, последовательно обрабатывающих пользовательский трафик
Пример: Firewall NAT Load Balancer
5
Service Chain
Так как же реализовать Service Chaining ?
Традиционные VLAN Stitching и Policy Based Routing
Service Chaining с использованием наложенных туннелей (MPLSoGRE или VXLAN) и Cisco NSO оркестратора, программирующего, например, BGP EVPN сервисы
Segment Routing
Network Service Header (NSH) архитектура
BGP Vector Routing
OpenFlow/OVSDB управление виртуальными либо аппаратными коммутаторами
…
6
Network Service Header (NSH) архитектура
Service Chaining Orchestration
SF (VM)
Service
(v)s
wit
ch
Forwarding
Service
Service Classifier
SF (Physical)
Serv
ice1
VLA
N
Service Function Forwarder (SFF)
Control Plane
Policy Plane
SF (VM)
Service
(v)s
wit
ch
Forwarding
Service
SF (Physical)
Serv
ice1
VLA
N
Service Function Forwarder (SFF)
Service Classifier
Network Overlay + Service Header
Service Header
Service Classifier (SC) Определяет тот трафик, который должен пройти по сервисной цепочке
Service Path/ Service Chain Реальный путь прохождения трафика/ абстрактный упорядоченный набор виртуальных функций
Service Function Forwarder (SFF) Коммутация трафика от/к одной или нескольким подключенным сервисным функциям (SF) в соответствии с информацией, содержащейся в NSH заголовке
Service Function Proxy Компонент ответственный за обработку NSH заголовка/ инкапсуляции вместо непосредственно подключенной сервисной функции
7
Network Service Header (NSH) Network Service Header (NSH) содержит идентификатор сервисного пути (Service Path Identifier) и указатель на текущую сервисную функцию (Service Index), к которой направляется трафик, а также метаданные
NSH состоит из 4-ех байтного базового заголовка, 4-ех байтного указателя на сервисный путь, четыре 4-ех байтных контекстных заголовка и опционально расширения переменной длины.
0 0
1 2 3 4 5 6 7 8 9 1 0
1 2 3 4 5 6 7 8 9 2 0
1 2 3 4 5 6 7 8 9 3 0
1
Ver O C R R R R R R Length (6) MD Type (8) Next Protocol (8)
Service Path Identifier (24) Service Index (8)
Mandatory Context Header (1) - Network Platform Context
Mandatory Context Header (2) - Network Shared Context
Mandatory Context Header (3) - Service Platform Context
Mandatory Context Header (4) - Service Shared Context
Optional Variable Length Context Headers
Original Packet Payload
8
Network Service Header (NSH) инкапсуляция
Ethernet
IP Ethernet
UDP IP
VxLAN-GPE GRE Ethernet
NSH
Ethernet
IP
Payload
Инкапсуляция для доставки трафика до
следующей Сервисной Функции (SF).
Заменяется на каждом SF хопе
Оригинальный пользовательский
фрейм
NSH заголовок остается с
пользовательским пакетом на
протяжении всего сервисного пути
9
NSH Топология
SC
SFF + SFP SFF
SF C
SF B
SF A
SF D
Источник
Пункт назначения
1 2
3
4
5
6
7
9
8 10
12
11
Без NSH заголовка
NSH заголовок
10
Метаданные NSH заголовка
Метаданные значительно расширяют возможности и добавляют функционал NSH коммутации трафика!
При добавлении и изменении NSH заголовка
• Возможность добавления произвольных данных в NSH заголовок
• Может использоваться SF и/или SFF, чтобы изменить/ повлиять на путь прохождения данных
При отбрасывании NSH заголовка
• Может использоваться для коммутации пакета в заранее определенный VRF сегмент, Next-Hop или продолжить обработку согласно таблице маршрутизации
11
Service Chaining в IPv6 мире IPv6 Segment Routing (SRv6)
SR Header (SRH) содержит список сегментов в обратном порядке
Segment List [ 0 ] – последний сегмент
Segment List [ 𝑛 − 1 ] – первый сегмент
SRv6 использует обычную IPv6 маршрутизацию данных до следующей SF функции, IPv6 DA внешнего заголовка устанавливается в соответствии с текущим сегментом
Segment Routing service chaining: сервисы отображаются как сегменты
Version Traffic Class
Next = 43 Hop Limit Payload Length
Source Address = A1::
Destination Address = A2::
Segment List [ 0 ] = A4::
Segment List [ 1 ] = A3::
Next Header Len= 6 Type = 4 SL = 2
First = 2 Flags TAG
IPv6
Hd
r
Segment List [ 2 ] = A2::
SR H
dr
Payload
Flow Label Flow Label
4 A4::
1 A1::
SR Hdr
IPv6 Hdr SA = A1::, DA = A2::
( A4::, A3::, A2:: ) SL=2
Payload
2 A2::
3 A3::
Поддержка NSH, VXLAN и SRv6 на Cisco XRv 9000 и CSR 1000V устройствах
CSR 1000V
• CSR 1000V поддерживает SC/ SFF c релиза IOS XE 16.4S, включая NSH Ping и Traceroute функционал.
• VXLAN Flood and Learn
• VXLAN BGP EVPN
• SRv6 в плане на релиз 16.5S
XRv 9000
• XRv 9000 поддерживает SC/ SFF функционал с релиза IOS XR 6.1.1 и NSH Proxy c 6.2.1.
• Поддержка VXLAN BGP EVPN вынесена на конец 2017 года, IOS XR 6.4.1
• SRv6 в плане на релизе IOS XR 6.4.1+
13
Сервер 1
Сервер 2
ASR9k SC/SFF-1
VRF
ASR9k SC/SFF
VRF
VRF
SFF-2 XRv 9000
VNF1 vNBAR
VNF2 vNBAR1
VNF3 vASA
VPN Blue данные
BLUE VPN-site-A
BLUE VPN-site-B
GREEN VPN-site-A
GREEN VPN-site-B
VRF
NSH цепочка сервисов на базе IOS XR
Входящий PE: SC и SFF
DC виртуальный маршрутизатор: SFF
NSO (Powered
by tail-f
NCS)
14
Server 1
Server 2
ASR9k SC/SFF-1
VRF
ASR 9000
VRF
VRF
XRv 9000
VNF1 vNBAR
VNF2 vNBAR
VNF3 vASA
VPN Blue Traffic
BLUE VPN-site-A
BLUE VPN-site-B
GREEN VPN-site-A
GREEN VPN-site-B
VRF
Входящий PE: SC Конфигурация Сервисная Классификация (SC) : class-map type traffic match-any vrf-green
match access-group ipv4 nsh-vrf-green
end-class-map
policy-map type pbr nsh-vrf-green
class type traffic nsh-vrf-green
service-function-path 100 index 255 metadata nsh-vrf-green
Определяем Service Path: service-function-chaining path 100 255 sff SFF-2 ! SFF-2 это виртуальный маршрутизатор в Дата Центре
Формат и состав Метаданных: metadata nsh-vrf-green type 1 format dc-allocation
tenant-id 123 Применяем политику на интерфейсе: interface TenGigE0/0/0/6
service-policy type pbr input nsh-vrf-green
vrf green
Пример на базе IOS-XR 6.1.1
Входящий PE: SFF Конфигурация
Сервер 1
Server 2
ASR9k SC/SFF-1
VRF
ASR9k SC/SFF
VRF
VRF
SFF-2 XRv 9000
VNF1 vNBAR
VNF2 vLB
VNF3 vASA
VPN Blue данные
BLUE VPN-site-A
BLUE VPN-site-B
GREEN VPN-site-A
GREEN VPN-site-B
VRF
Define SFF Locator and Transport/Encapsulation: service-function-chaining path 100
255 sff SFF-2
service-function-chaining
sff SFF-2
locator 1
transport vxlan-gpe
source-address ipv4 <IP SFF-1> destination-address ipv4
<IP SFF-2> source-port <port> vni <value>
Пример на базе IOS-XR 6.1.1
Сервер 1
Сервер 2
ASR 9000
VRF
VRF
XRv 9000
VNF1 vNBAR
VNF2 vNBAR1
VNF3 vASA
VPN Blue данные
BLUE VPN-site-B
GREEN VPN-site-B
DC виртуальный маршрутизатор: SFF конфигурация Обработка Метаданных на выходе:
service-function-chaining
metadata-disposition nsh-vrf-green
type 1 format dc-allocation
match-entry 1
tenant-id 123
redirect ipv4 nexthop vrf green
Определение Сервисного Пути:
path 100
253 terminate metadata-disposition nsh-vrf-green default-action
redirect ipv4 nexthop 9.9.9.9
254 sf asav1
255 sf vnbar1
Как добраться до Сервисных Функций – инкапсуляция и IP адреса:
sf asav1
locator 1
transport vxlan-gpe
source-address ipv4 14.0.1.1 destination-address ipv4 14.0.1.2
source-port <port> vni 14
!
sf vnbar1
locator 1
transport vxlan-gpe
source-address ipv4 13.0.1.1 destination-address ipv4 13.0.1.2
source-port <port> vni 13
Пример на базе IOS-XR 6.1.1
18
Network IO
Packet Processing: VPP
Management Agent
NC/Y REST ... Сердцем fd.io проекта является Cisco Virtual Packet Processing технология с 2002 года применяемая в коммерческих продуктах Cisco
Fd.io код выполняются в Linux user-space и использует DPDK библиотеку
Независим от аппаратной архитектуры сервера, будь то x86, ARM или Power, а также от версии Linux ядра и, где выполняется – в контейнере или отдельной виртуальной машине.
Релиз 16.09 fd.io содержит NSH Classifier, Service Function Forwarder (SFF), SF Proxy функционал и поддерживает VXLAN-GPE/GRE инкапсуляции
SRv6 доступен в FD.io 17.04 релизе, поведение аналогично IOS XR/ XE платформам
Open Source реализация SFC/ NSH и SRv6
Virtual Packet Processing Формирование супер-фрейма
VPP формируем супер-фрейм/ вектор из пакетов, полученных от I/O подсистемы
19
Virtual Packet Processing Обработка супер-фрейма
• VPP обрабатывает целиком супер-фрейм последовательно на каждом узле функционального графа
• Вместо того, чтобы поочередно «прогонять» каждый пакет через весь граф, VPP завершает обработку всего супер-фрейма на каждом узле перед тем, как перейти к следующему
20
• Композиция функциональных блоков обработки трафика в виде графа позволяет легко расширить доступный VPP функционала, например, добавить SFC и NSH
• Создается отдельная бинарная библиотека (plugin), реализующая необходимый функционал
• Расширения загружаются из отдельной директории на хосте, в том числе и в режиме реального времени
• Конфигурация VPP дает возможность поменять порядок функциональных узлов в графе и добавить дополнительные узлы
21
Virtual Packet Processing Легкость расширения функционала
NSH/ SFC Производительность (16.09)
5120 5520
7088
9432
0
2000
4000
6000
8000
10000
72 84 128 256
Thro
ugh
pu
t (M
bp
s)
Packet Size (Bytes)
NSH Classifier Throughput For Different Packet Size
(1C1T) 7088
4250 4500
0
1000
2000
3000
4000
5000
6000
7000
8000
Thro
ugh
pu
t (M
bp
s)
NSH Classifier NSH Proxy SFF
NSH_SFC Throughput For 128B Packet (1C1T)
Два-три выделенных CPU ядра на fd.io позволяют достичь 10 Gbps line-rate для всех размеров пакетов!
22
Fd.io как прокси для SRv6 трафика
VNF хост
F1::
IPv6 Hdr SA = A::, DA = B::
Payload
Терминация сервисной цепочки с SID F1::A2 - Отбрасывание внешних IP и SR заголовков - Отправка «чистого» пакета на Iface 1
Входящая политика на Iface 2: добавление SRH - Определение входящих пакетов как
принадлежащих сервисной цепочке 〈 F2::, … 〉 - Инкапсуляция и отправка трафика к DA: F2
IPv6 Hdr SA = A::, DA = B::
Payload
Статичная конфигурация
VPP для каждой сервисной
цепочки
fd.io
VNF1
Iface 1 Iface 2
SR Hdr
IPv6 Hdr SA = E1::, DA = F1::A2
(F1::A2, …) SL=0
Payload
IPv6 Hdr SA = A::, DA = B::
SR Hdr
IPv6 Hdr SA = E1::, DA = F2::
(…, F2::)
Payload
IPv6 Hdr SA = A::, DA = B::
VNF обрабатывает обычный IPv6
пакет
23
Содержание
CSR 1000V и его применение
Развитие XRv 9000
Виртуальные межсетевые экраны
Service Chaining – как это реализовать?
Виртуальная машина IOS XE – CSR 1000V
CSR 1000v
vMS
Сервер
Гипервизор
Virtual Switch
OS
App
OS
App
CSR1000v
vPE vBNG / vLNS vSP WiFi viWAG
vRR
25
Cisco CSR 1000V подобен ASR 1001
26
Аналогичное программное обеспечение
• Хорошо известная IOS XE система
• Независимое от состава серверного оборудования и виртуального vSwitch коммутатора
Эластичная производительность
• Лицензируемо от 10 Mbps до 10 Gbps
• Поддержка от 1 до 8 виртуальных CPU
Несколько лицензионных моделей
• Подписка (1 и 3 года), постоянная, по использованию (AWS облако)
Программируемость
• NetConf/Yang, RESTConf и SSH/Telnet для автоматизированного управления и развертывания
Control Plane Forwarding Plane
vNIC vCPU vMemory vDisk
Сервер
CPU Memory Disk NIC
Hypervisor (VMware / Citrix / KVM / Microsoft)
Chassis Mgr.
Forwarding Mgr.
IOS
Chassis Mgr.
Forwarding Mgr.
FFP Client / Driver
FFP code Linux Container
Влияние частоты CPU на производительность VNF • Два сервера:
• 3.2 GHz (16 ядер) • 2.6 GHz (24 ядра)
• Используется SR-IOV, чтобы минимизировать влияние I/O ввода-вывода
• Тестируется IPv4 CEF коммутация
Для одной VM увеличение производительности пропорционально увеличению частоты CPU
Для трех VM уже не пропорционально • Узким местом является IO (2x10 GE) • Пример горизонтального масштабирования с
тремя VM (3 x 6 Gbps)
28
3.2
2.6≈
7.4
6 18.101
20
6.001
7.367
0 5 10 15 20 25
2.6GHz,24core
3.2GHz,16core
ImpactofDifferentserverCoreSpeedsCSR1000v,IMIX,SR-IOV,IOSXE16.3
1x2vCPU 3x2vCPU
Miercom тестирование CSR 1000V в роли vBNG
29
Задействуя всего один или два vCPU на VM, можем достичь физического лимита в 20 Gbps на
x86 сервер с двумя 10 GE портами и до 5 Gbps в AWS облаке
Горизонтальная масштабируемость –
производительность
3 x 2 vCPU VM > 1 x 8 vCPU VM
vBNG Тест:
Одна VM с 2 vCPU на RHEL 7.2 с SR-IOV CPU: Intel® Xeon E5-2699 v3 @ 2.30GHz 8.000 Dual-Stack Sessions, 500 Kbps на сессию
Использование VxLAN или L2TPv3 туннелей до vBNG для доставки абонентского трафика
30
Каким образом доставить трафик из множества сетей доступа к нескольким Дата Центрам?
Два готовых решения для проброса трафика от абонентов до vBNG:
• PPP / IP сессии поверх VXLAN
• PPP / IP сессии поверх L2TPv3-in-IPv6 до fd.io/VPP и затем к vBNG
Решение терминации L2TPv3 туннелей непосредственно на CSR 1000V в настоящий момент находится в стадии разработки
VxLAN туннель устанавливается между коммутатором агрегации и vBNG:
vBNG вычленяет PPP трафик из VxLAN туннеля и терминирует его
Пример настройки BDI интерфейса на vBNG (16.3.1):
PPP сессии поверх VXLAN до vBNG
31
PPP inside VxLAN Tunnel
Устройство доступа
Коммутатор PPP
клиент vBNG
interface BDI10
no ip address
vlan-id dot1q 2000
pppoe enable group global
!
pppoe enable group global
!
L2TPv3 туннель между устройством агрегации и fd.io/VPP виртуальным коммутатором:
Упрощение дизайна и повышение его эффективности за счет терминации L2TPv3 туннеля на CSR 1000V (планируется к реализации)
PPP поверх L2TPv3-in-IPv6 с fd.io/VPP
32
PPP поверх L2TPv3 туннеля
Устройство доступа
Коммутатор PPP Клиент
vBNG fd.io VPP
PPP поверх L2TPv3 туннеля
Устройство доступа
Коммутатор PPP Клиент
vBNG
Хост
40 Gbps NAT на CSR 1000V
NAT Inside G1/G3 NAT Outside G2/G4
Port1 Port3 Port4 Port2
CSR 1000V
Bidirectional UDP трафик 1,000,000 сессий
• Функционал планируется в релизе IOS XE 16.7S – значительное ускорение части функционала
• Bidirectional UDP трафик с 1М потоков, 450 байтные пакеты
• Под Data Plane PPE задействуется 7-мь ядер
• Используется ускорение ввода-вывода PCI PassThrough
192.58.1.3 192.58.3.3 192.58.4.3 192.58.2.3
1 2 3 4 5 6 7 8 9 10
BestcaseAdditive(feat) 1.8 3.6 5.4 7.2 8.9 10.7 12.5 14.3 16.1 17.9
OVS-DPDK(feat) 0.9 2.2 3.4 5.3 6.7 6.1 4.6 2.4 4.1 3.9
SR-IOV(feat) 1.8 3.6 5.0 6.7 8.0 9.5 10.9 12.5 14.0 15.5
FD.ioVPP(feat) 1.7 3.2 4.6 6.0 7.4 9.0 9.4 8.7 8.3 7.7
0
5
10
15
20
25
SystemThroughput(Gbps)
NumberofVirtualNetworkFunctions(VNFVirtualMachines)
Multi-VMThroughput(Gbps)withvariousI/OarchitecturesNAT+Firewall+QoS+DPI,IMIXPacketSize,XE16.3.1
Physical InterfaceLimit
Multi-VM CSR1KV производительность OVS-DPDK vs fd.io VPP
2 vCPU CSR1kv виртуальная машина сконфигурирована с NAT, Firewall, QoS и AVC
• SR-IOV и VPP показывают хорошую линейность при увеличении числа VM
• VPP максимальная производительность 10 Gbps
• OVS-DPDK - 6.7 Gbps
x86 Хост Cisco UCS C240 M4 Series: 2 Sockets Intel Xeon E5-2699v3 2.3 GHz with 18 cores each, 262GB RAM
Физические интерф.
1 NIC with 2 x 10GE ports; Intel X520-DA2 NIC
Гипервизор Redhat KVM version 7.2; Linux kernel 3.10.0- 327.18.2.el7.x86 64; Libvirt 1.2.17; QEMU version 2.3.0
I/O оптимизация OVS version 2.4.0 , Cisco FD.io VPP release 16.06, configured for 3 cores
Содержание
CSR 1000V и его применение
Развитие XRv 9000
Виртуальные межсетевые экраны
Service Chaining – как это реализовать?
IOS-XRv 9000: в основе 64-ех битная IOS-XR Виртуальный маршрутизатор с RPM Package Manager
IOS XRv
QOS
TWAMP
LACP ARP
IS-IS LLDP
BGP LDP
VRRP RSVP
SR PCEP
Netconf Open Flow
SNMP
SYSDB
RIB FIB
BGP-LS Netflow
802.1ag GRE
Y.1731
L2TP EVPN
OSPF
LLDP
EVPN
OSPF
LLDP
Без перезагрузки устройства
Уменьшение времени отказа
Рестарт процессов
OSPF OSPF
Установка патчей без перерыва сервиса
Установка баг-фиксов
Минимизация потерь сервиса и количества перезагрузок
OSPF OSPF
Модульность 64-bit
Расширяемость за счет установки сторонних приложений
QOS
TWAMP
LACP ARP
IS- IS LLDP
BGP LDP
VRRP RSVP
SR PCEP
Netconf
Open Flow
SNMP
SYSDB
RIB FIB
BGP-LS
Netf ow
802.1ag GRE
Y.1731
L2TP EVPN
OSPF
LLDP
EVPN
OSPF
LLDP
Machine to Machine
Tele
metr
y A
pp
Ho
stin
g
Granular packaging
36
Гибко масштабируемый
коммутационный уровень
• ACLs
• uRPF
• Marking, Policing
• IPv4, IPv6, MPLS
• Segment routing
• BFD
IOS-XRv 9000: Эффективная коммутация данных
IOS-XRv Control Plane
RX & Interface
Classification
Traffic Manager
& TX
Forwarding & Features
TCAM PLU
TM
Pkt. replication
• Инновационный виртуальный коммутатор
• X86 программная реализация:
• Иерархический трафик менеджер с 3 уровнями HQoS, 512,000 очередей
• Программные полисеры, в 4-е раза быстрее чем DPDK эталонные реализации
• Программная реализация TCAM с постоянной характеристикой поиска
• Плоскость передачи данных оптимизирована для быстрой перемашрутизации данных, а также для передачи IMIX трафика без потерь на скорости порта
• Портируемый 64bit C-code (для ARM платформ)
• Часть кода идентична Cisco nPower X семейству
IOS-XRv 9000
IOS-XRv Virtual Forwarder Иерархический QOS
планировщик
• На одном CPU ядре
• ½ миллиона очередей
• 3-уровневый H-QOS
Классификация пакетов и
балансировка
SW based HW Assists
37
LXC LXC
XRv Linux Kernel
KVM, ESXi
Виртуальная машина
LXC
Linux
bridge
Admin
Plane
IOS XRv 9000 Детали архитектуры (6.1.x)
38
Virtual Forwarder
Dataplane
IOS XR Control
Plane (CP)
DP
Agent
(DPA) Driver Driver Driver
VPP + DPDK
Ctrl
Eth virtio
e1000
10G
10G
VF PF
vm
xnet3
Ctrl
Eth
IOS XR
LC CP
DP control
(DPC)
IOS XR
RP CP
Ctrl
Eth
GE
Mg
mt
Eth
Transmit Thread Receive Thread
Конфигурация XRv 9000 – один сокет 2c CP, 10c DP (2x Rx, 6x WT, 2x Tx)
NIC DPDK
Driver
DPDK
Driver
NIC DPDK
Driver
DPDK
Driver
Load
Balanc
e
Worker Thread
Worker Thread
Worker Thread
Worker Thread
Worker Thread
Traffic
Mgr
I/F
Output
Receive Thread NIC DPDK
Driver
DPDK
Driver
Load
Balanc
e
Transmit Thread NIC DPDK
Driver
DPDK
Driver
Traffic
Mgr
I/F
Output
Worker Thread
10 Data Plane ядер
RX
RX
DPA
XR
RP+LC
Admin DP
C
39
Профиль тестирования: VPN сервис, без Multicast‘а
Пропускная способность (Gbps), NDR
Пропускная способность (L1)
(Gbps) , NDR
Пакетов в секунду (Mpps)
Пакетов в секунду (Mpps)
Размер IP пакета
374 байта (среднее) 48 байт
IPv4
MPLS L3VPN VPNv4 (bi-directional) Policing, Marking, HQoS 50K Bidir flows
19.81 - CE -> PE 39.62*
11.79
15.17
19.81 - PE -> CE
MPLS L3VPN VPNv4 (bi-directional) Policing, Marking, HQoS 5K Bidir flows
19.83 - CE -> PE 39.66* 11.80 15.71
19.83 - PE -> CE
IPv6
MPLS L3VPN VPNv6 (bi-directional) Policing, Marking, HQoS 50K Bidir flows
19.73 - CE -> PE 39.46* 11.75 14.73
19.73 - PE -> CE
MPLS L3VPN VPNv6 (bi-directional) Policing, Marking, HQoS 5K Bidir flows
19.76 - CE -> PE
39.51* 11.79 15.14 19.76 - PE -> CE
Один сокет 2 ядра CP 10 ядер DP – 2 Rx, 6 WT, 2 Tx
Два сокета Сокет 0: 3 ядра CP Сокет 1: 12 ядер DP – 2 Rx, 8 WT, 2 Tx
Производительность XRv 9000 vPE (6.1.1)
40
Интерфейсы полностью загружены *
Socket 0 Socket 1
Receive Thread
Разделение плоскостей управления и коммутации данных по разным сокетам
NIC
Worker
Thread Worker
Thread Worker
Thread Worker
Thread Worker
Thread Worker
Thread
Worker
Thread
Rx Thread
RX
NIC
DPDK
Driver
DPDK
Driver
Worker
Thread
Tx Thread
RX
DPDK
Driver
DPDK
Driver
NIC
NIC Tx Thread
RX
DPDK
Driver
DPDK
Driver
Rx Thread
RX
DPDK
Driver
DPDK
Driver
QPI
DPA
XR
RP+LC
Admin DP
C
41
12 Data Plane ядер
Профиль тестирования: VPN сервис, без Multicast‘а
Пропускная способность (Gbps), NDR
Пропускная способность (L1)
(Gbps) , NDR
Пакетов в секунду (Mpps)
Пакетов в секунду (Mpps)
Размер IP пакета
374 байта (среднее) 48 байт
IPv4
MPLS L3VPN VPNv4 (bi-directional) Policing, Marking, HQoS 50K Bidir flows
19.81 - CE -> PE 39.62*
11.79
15.17
19.81 - PE -> CE
MPLS L3VPN VPNv4 (bi-directional) Policing, Marking, HQoS 5K Bidir flows
19.83 - CE -> PE 39.66* 11.80 15.71
19.83 - PE -> CE
IPv6
MPLS L3VPN VPNv6 (bi-directional) Policing, Marking, HQoS 50K Bidir flows
19.73 - CE -> PE 39.46* 11.75 14.73
19.73 - PE -> CE
MPLS L3VPN VPNv6 (bi-directional) Policing, Marking, HQoS 5K Bidir flows
19.76 - CE -> PE
39.51* 11.79 15.14 19.76 - PE -> CE
Один сокет 2 ядра CP 10 ядер DP – 2 Rx, 6 WT, 2 Tx
Два сокета Сокет 0: 3 ядра CP Сокет 1: 12 ядер DP – 2 Rx, 8 WT, 2 Tx
Производительность XRv 9000 vPE (6.1.1)
42
Интерфейсы полностью загружены *
Multi-socket Data Plane масштабируемость
Receive Threads NIC NIC
Socket 0
NIC NIC
Transmit Threads
Worker Threads
Receive Threads Transmit Threads
Worker Threads
Socket 1
QPI
Одна виртуальная машина, работающая на нескольких CPU/ Сокетах
43
Cisco Connect 2017 44
Профиль тестирования Пропускная способность (L1) (Gbps), NDR
Пропускная способность Bi-dir (L1) (Gbps), NDR
Throughput (Mpps)
Максимальная скорость
Маршрутизация IPv4 @ 64B Uplink 50 Gbps 100 Gbps 149 Mpps
Downlink 50 Gbps
Интернет профиль
Маршрутизация IPv4 @ 344B H-QoS input policing + marking + ACL + RPF + output HQoS Shaping
Uplink 58.5 Gbps 128 Gbps 40.2 Mpps
Downlink 58.5 Gbps
Маршрутизация IPv6 @ 344B H-QoS input policing + marking + ACL + RPF + HQoS output
Uplink 64.5 Gbps 129 Gbps 40.3 Mpps
Downlink 64.5 Gbps
VPN профиль
Маршрутизация MPLS L3VPN bidir @ 344B input + ACL + Policing + Marking + H-QoS + RPF + output H-QoS
Uplink 62.5 Gbps 125 Gbps 40.8 Mpps
Downlink 62.5 Gbps
Тестовая конфигурация: сервер с 4-я сокетами, зарезервировано 21 vCPU каждого сокета, PCI PassThrough ускорение ввода-вывода
IOS-XRv 9000 vPE Multi-socket: XR 6.2.x Производительность
Требования Заказчиков по развитию XRv 9000 платформы
• Разделение плоскостей управления и передачи данных по разным VM виртуальным машинам
• Резервирование плоскости управления, отсутствие влияния RP Failover на передачу данных
• Масштабирование за счет увеличения количества Data Plane виртуальных машин. При этом требования различаются кардинально – от двух VM в плоскости передачи данных для EVPN PW резервирования абонентских подключений до 64-ех виртуальных «линейных карт»
• В случае нескольких виртуальных «линейных карт» на базе серверов необходимо предусмотреть внешнюю коммутационную фабрику и интерфейсы с ней
• Это может быть один или несколько выделенных Ethernet интерфейсов
• Или может использоваться один универсальный интерфейс, по которому передается трафик сетей доступа, ядра и фабрики
Также акцентировалось внимание на - последовательном апгрейде ПО виртуальных «линейных карт», замене ПО без перерыва сервиса (ISSU), «горячем» добавлении сетевых карт, vCPU, оперативной памяти к виртуальным машинам
45
XRv 9000 Распределенная архитектура Рассматривается к реализации
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
mgm
t
ctrl
mgm
t
ctrl
ctrl
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
ctrl
• Active/Standby RP VM • Выделенный CTRL
Ethernet порт на каждой VM для служебного трафика управления и Punt/Inject данных
• Менеджмент порт для внешнего подключения
• Несколько LC VM, все активны • До 16 портов на LC (данных или фабрики) • Поддержка Multi-Socket Dataplane на LC VM
. . .
traffic/ fabric
traffic/ fabric
Admin
Plane
XR
RP
XR LC
+ DP
• Управление Infra / System / LXC • Install / Upgrade / SMU / Управление
жизненным циклом ПО • Проверка работоспособности LC/RP
компонент, HA, OIR
• IOS XR управление системой • Протоколы маршрутизации • Интерфейс с пользователем
• XR Line Card функционал • Трафик менеджер/ QoS • Коммутация/ маршрутизация данных
46
XRv9k Виртуальная фабрика коммутации Варианты рассматриваемые к реализации
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
mgm
t
ctrl
mgm
t
ctrl
ctrl ctrl
Коммутатор/
сеть
Active RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
Standby RP VM
LXC
Admin
Plane
LXC
XR
RP
LC VM
LXC
Admin
Plane
LXC
XR LC
+ DP
mgm
t
ctrl
mgm
t
ctrl
ctrl ctrl
Коммутатор/
сеть
Core
Access
Fabric
Универсальный дата/ фабрик интерфейс Выделенные дата и фабрик интерфейсы
• mpls • vlan • vxlan / dedicated L2
Произвольный тип драйвера порта virtio, vmxnet3, PassThrough, SRIOV, ...
47
XRv 9000 эволюция – распределенная модель 6.2.1
Единая VM (доступно в 6.2.1) XR LC функционал включен в DP контейнер
VM VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
Распределенное Виртуальное Шасси (внутреннее тестирование) 1-2 RP VM + 1 LC VM
VM VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LXC
XR LC
+ DP
48
VM
Дальнейшее развитие XRv 9000 – обсуждение в процессе!
RP VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LC VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
Распределенное Виртуальное Шасси 1-2 RP VM + 1-8* LC VM
LC VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR LC
+ DP
VM RP VM
LXC
WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
...
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(act)
LXC
XR LC
+ DP
Отказоустойчивая пара RP VM с интегрированной линейной картой Active/Standby RP с двумя виртуальными LC
* Количество обсуждается
vFabri
c
VM
LXC
XRv Linux Kernel WRL7 (3.14)
KVM, ESXi
Admin
Plane
LXC
XR
RP(stby)
LXC
XR LC
+ DP
Виртуальная фабрика
49
XRv 9000 vBNG производительность
50 Отметим: цифры производительности и даты предварительные, могут измениться до FCS
32.000 абонентов на VM, Гео-резервирование
200 вызовов в секунду на VM, 100 CoA в секунду на VM
Производительность:
UCS C240, 28 ядер, Xeon E5-2697 v3 @ 2.6 Ghz, 128 GB RAM, 10x10Gig
32.000 IPoE абонентов с H-QoS и ACL’s, 82 Gbps IMIX трафика NDR
Оценка для 32.000 PPP сессий: 5-10% меньше пропускная способность, около 75 Gbps
Roadmap:
Dec'16
IPoE DEMO
Feb-17
IPoE PoC
Apr-17
PPPoE Demo
Jun-17
PPPoE PoC
Jul-17
IPoE EFT
Aug-17
IPoE FCS
(6.3.1)
Sep-17
PPPoE EFT
Nov-17
PPPoE FCS
(6.3.2)
Cisco vBNG VNF
51
CSR 1000V XRv 9000
Доступность к заказу Сейчас IPoE – Август 2017 PPP – Ноябрь 2017
Масштабируемость 2 vCPU VM:
8.000 сессий 5 Gbps IMIX
28 vCPUs VM: 32.000 сессии 80 Gbps IMIX
Сценарии использования
vPTA, vLAC, vLNS, vLTS vPTA, LNS в Roadmap
Содержание
CSR 1000V и его применение
Развитие XRv 9000
Виртуальные межсетевые экраны
Service Chaining – как это реализовать?
Cisco VNF системы информационной безопасности
Автоматическое развертывание и REST-API оркестрация для NGFWv и ASAv
ASAv 9.x
Firewall
KVM Microsoft Hyper-V
Vmware
Microsoft Azure
Amazon Web Services
ASAv
FMCv 6.x
Unified Manager
Vmware Amazon Web Services
FTDv
NGFW Vmware Amazon Web Services
Firepower NGFWv 6.x
Microsoft Azure
KVM KVM
53
Virtual FTD производительность 6.2.0
54
FW FW + IPS FW + AVC FW + IPS + AVC TCP Throughput -
EMIX (690B) 1530 Mbps 900 Mbps 1000 Mbps
1180 Mbps
UDP Throughput - 1500B
3100 Mbps 1213 Mbps 1323 Mbps 1329 Mbps
TCP Connections per second
12K 11K
16K
TCP Max Sessions 100K 100K 100K
IPSec TCP 450B 196 Mbps 184 Mbps
IPSec UDP 450B 209 Mbps 196 Mbps
• Протестировано для конфигурации: Cisco UCS B200 M3, Intel E5-2640 @ 2,5 GHz, KVM Ubuntu 14.04 LTS; FTDv w/ 4 vCPU, 8GB RAM
• EMIX – смесь пакетов со средним размером 690B и протоколов HTTP(43%), FTP(9%), IMAP(16%), SMTP(9%), Torrent(22%)
Data Sheet Metric Cisco® ASAv5 Cisco ASAv10 Cisco ASAv30 Cisco ASAv50 *
Stateful inspection throughput (maximum)
100 Mbps 1 Gbps 2 Gbps 10 Gbps
Stateful inspection throughput (multiprotocol)
50 Mbps 500 Mbps 1 Gbps 5 Gbps
3DES/AES VPN throughput 30 Mbps 125 Mbps 300 Mbps TBD
Connections per second 8,000 20,000 60,000 200,000
Concurrent sessions 50,000 100,000 500,000 2M
VLANS 25 50 200
Bridge groups (2 VLANs, BVI) 12 25 100
Cisco® Cloud Web Security users 50 150 500
IPsec VPN peers 50 250 750 10000
Cisco AnyConnect® or clientless user sessions
50 250 750 10000
vCPU 1 1 4 8
RAM 1 GB* 2 GB 8 GB 16 GB
Cisco ASAv производительность и масштабируемость
9.8.1/ Май’17
* ASAv50 использует IXGBE-VF/ SR-IOV, «прозрачный» режим не поддерживается
55
Маршрутизирующий межсетевой экран ASAv ASAv выступает в роли маршрутизатора
между VXLAN, vNIC и VLAN сегментами
First-Hop Router для подключенных устройств как физических, так и виртуальных. Отвечает на ARP запросы, в том числе передаваемых по VXLAN
Integrated Routing and Bridging
Полноценные политики безопасности для вcех типов доступа – VXLAN, VLAN и т.д.
Динамическая маршрутизация
Поддержка Equal-Cost Multipath
Поддержка Policy-Based Routing
Cisco® ASAv Routed
Gateway 1
VTE
P
VTEP
host1
host2
Virtual Host
VTE
P Client
Gateway 2
Traffic Zone Outside
vNIC5
VLAN200
VxLAN 30000
DMZ1
VxLAN 20001
DMZ2
VxLAN 20000
Host3
inside
outside2
outside1
Host4
DMZ3 VLAN13
vNIC6 VLAN Trunk
DMZ4 VLAN14
BVI10
56
До 4-ех интерфейсов в Bridge группе
Поддержка VxLAN, vNIC и VLAN интерфейсов
Возможность объединить разнообразные сегменты доступа в один широковещательных домен
NAT и ACL на интерфейсах
«Прозрачный» режим межсетевого экранирования ASAv
Gateway
Cisco® ASAv Transp
Segment- 1
Segment- 4
VTE
P V
TEP host
2 host
3
Virtual Host Segment- 2
VxLAN 20001
Segment- 3
VxLAN 2000
host4
57
Вопросы ?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
#CiscoConnectRu #CiscoConnectRu
Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410 www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
