Принципы построения кампусных сетей для внедрения...
-
Upload
cisco-russia -
Category
Technology
-
view
921 -
download
3
Transcript of Принципы построения кампусных сетей для внедрения...
Максим Хаванкинсистемный инженер[email protected]
Принципы построения кампусных сетей для внедрения виртуализированных десктопов
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI• Заключение
Традиционные ПК и виртуализация десктопов
Интернет
Эволюция виртуализации рабочих мест
2010+1995-20101980-19951960-1980
Размещение пользователя
Штаб-квартира корпорации
Филиал/ Отделение
Домашний офис Где угодно
Роль сети Отсутствует Доступность Ограниченныйинтеллект Стратегическая
Сложность IT Низкая Средняя Высокая Низкая
Интерфейс Только текст Windows (GUI) Web Любой
Мобильность Отсутствует Ограниченная Улучшенная Полная
Мэнфрейм Клиент/Сервер Виртуализация
Что такое виртуализация десктопа?• Отделение физического устройства от логического десктопа• Запуск (хостинг) логического десктопа в Центре Обработки
Данных (ЦОД)• Возможность доступа к логическому десктопу при помощи
сети• Физические устройства различных типов обеспечивают
непрерывный доступ к логическому десктопу, предоставляя пользователю возможность продолжать работу с момента его последнего подключения
ЦОД
Виртуализированныйдесктоп, работающий в ЦОД
Общие компоненты виртуализации десктопов
Подключе-ние к брокерусоединений
1
Тонкий клиент
Толстый клиент
Смартфон/iPad
Запрос наполитикипользова-теля
2 Запускцеле-вой ВМ
4Иденти-фикация целевой ВМ
3
Терминальный протокол
Аутентификация
Connection BrokerБрокер соединений
Active Directory
Управлениевирт.
инфра-ой
5НазначениеВМ
клиенту
Вирт. ннфра-ра
Подклю-чение ВМ к клиенту
6 7 Соединение установлено
Архитектура Cisco VXIВиртуализированный ЦОДВиртуализированный ЦОД
ГипервизорыГипервизоры
Системы храненияСистемы хранения
Продукты Cisco
Системы виртуализацииСистемы виртуализации рабочих местрабочих мест
Сквозное управление, оптимизация и сервис
Сеть без границСеть без границ
IdentityIdentityServices Services EngineEngine
IdentityIdentityServices Services EngineEngine
RoutingRouting((ISRISR) ) RoutingRouting((ISRISR) )
WAASWAASWAASWAAS
AnyConnectAnyConnectAnyConnectAnyConnect
КоммутаторыКоммутаторыКоммутаторыКоммутаторы
PoEPoEPoEPoE
Виртуализированное рабочееВиртуализированное рабочееместоместо
Tablets Tablets СмартфоныСмартфоны
ЛэптопыЛэптопыУльтрабукиУльтрабуки
VXC 4000 VXC 4000 Программный Программный
клиентклиент
VXCVXC 6215 6215 ТонкийТонкийклиентклиент
VXCVXC 22xx22xx & & 21xx21xx Ноль Ноль клиентыклиенты
JabberJabber
MSOffice
Приложения/ОСПриложения/ОС
CollabCollab FinesseFinesse CTIOSCTIOS
Security Security GatewayGateway
vWAASvWAASUCUC MgrMgr
ACEACE
ASAASA
WAASWAAS UCSUCS
Nexus Nexus 1000v 1000v
Contact CenterContact Center
Cloud ComputeCloud ComputeDCN
Архитектура VXI – дополнительная информация• 3-й день CiscoExpo 2012: 22 ноября• Поток: Центры Обработки Данных• Время: 15-25 – 17-30• Сессия: Архитектура Cisco VXI для виртуализации
рабочих мест пользователей и её внедрение– Введение и базовые элементы 15-25 – 16-25– Сервисные элементы, масштабирование и
управление 16-30 – 17-30
VDI Протоколы и их выбор• Протокол отображения экрана (display protocol) определяет
пользовательские характеристки и используемые ресурсы• Уровень поддержки мультимедиа может определять выбор протокола
– Голос: Использование USB гарнитур или аналоговый• Перенаправление USB (Redirection)• Видео
– потоковое, телефония и совместная работа, графика• Печать
– учет местоположения и мобильность
RDPv7 ICA PCoIP ДругиеX11 (X Windows)ALP (Sun)ARD (Apple)VNC
Транспорт
Полоса
TCP 3389 TCP 2598TCP 1494
UDP 50002UDP 4172
384 Кбит/сек 120 Кбит/сек 192 Кбит/сек
Протокол Citrix ICA
Небольшойразмер пакета
Порт 2598 (CGP)
Надежность сессии обеспечивается при помощи инкапсуляции ICA трафика в TCP 2598 (Citrix Common Gateway Protocol)
при трассировке отображается порт 2598, а не 1494
Протокол VMware View PCoIP• PCoIP это высокопроизводительный терминальный протокол,
являющийся частью архитектуры Vmware View: лицензирован у компании Teradici
• PCoIP адаптируется к увеличивающейся в сети задержке и уменьшению полосы пропускания, обеспечивая конечных пользователей подключением к их рабочим столам независимо от состояния сети.
• PCoIP поддерживает следующие функции:– Поддержка до 4 мониторов и разрешение до 2560 x 1600– PCoIP поддерживает 32-битную глубину цвета– PCoIP поддерживает 128-битное шифрование– PCoIP поддерживает стандарт Advanced Encryption Standard (AES),
который включен по умолчанию• PCoIP использует протокол User Datagram Protocol (UDP) для
передачи аудио и видео данных
11
Выбор VDI клиентовНоль клиентыТолстые клиенты Тонкие клиенты
• Встроенная локальная ОС
• Допустимы локальныеприложения
• Локальная поддержка обработки мультимедиа трафика (голос и видео)
• Минималистическая ОС
• Для передачи отлика от сервера используется сеть
• Ресурсов для поддержки локальныхприложений нет
• Ограниченная поддержка обработкимультимедиа
• Существующие/повторноиспользуемые ПК с установленными клиентами VDI
• На ПК могут быть установлены локальные приложения
Гибридные клиентыСуществующие/повторно используемые ПК
Загрузка ОС из сетиПриложения хранятся удаленно, а запускаются локально
Влияние требований пользователей...Типичный
пользовательПриоритеты/
ПреимуществаТехнология
Сотрудники call-центров, секретариОграниченный набор приложений, ограниченные требования к производительности
Терминальный сервис Ноль клиент
Низкая стоимость Безопасность &
compliance Простота
развертывания и управления
Консультанты, юристы, продавцы, менеджеры Стандартный набор
приложений Средние требования к
производительности
Виртуализированный десктоп Стриминг приложения
или десктопа целиком Тонкий клиент
Мобильность, offline доступ Хороший
пользовательский опыт Персонализация
Инженеры, финансовые трейдеры, графические дизайнеры
Приложения использующие интенсивные вычисления Высокие требования к
производительности
Виртуализированный десктоп Стриминг приложения
или десктопа целиком Тонкий клиент Акселерация
мультимедиа
Безопасность & compliance Выделенные
вычислительныересурсы Безкомпромисный
пользовательский опыт
Task Worker
Knowledgeworker
Poweruser
Требования к сети
Особенности VDI трафикаДанные Видео Голос
Взрывной/Равномерный IMIX среднее:
300 байт Отсутствие
чувствительности к задержками и потерям Механизм
TCP Retransmits
Взрывной Средний размер
пакета: 800-1500 байт Mostly Variable Bit
Rate Чувствительность
и к задержками и потерям UDP приоритет
Равномерный Малый средний
размер пакета: 480 байт или меньше Чувствительность
и к задержками и потерям UDP приоритет
VDI
Взрывной/Равномерный Микс пакетов
большого и малого размера Чувствительность
и к задержками и потерям TCP Retransmits
(RDP & ICA) UDP приоритет
(PCoIP)
Традиционные ПК – потоки данных
ДоступSiSi
РаспределениеSiSi
КАМПУС
ЦОД Интернетграница
ДоступSiSi
РаспределениеSiSi
Unified Communications
Приложения
Internet
ASA
EmailWeb
Security
VoIP/Collaboration
Приложения
Internet
Internet
VDI – потоки данных
ДоступSiSi
РаспределениеSiSi
ЦОД Интернетграница
ДоступSiSi
РаспределениеSiSi
Unified Communications
Приложения
Internet
ASA
VoIP/Collaboration
Приложения
Internet
VDI
VDIКампус
Internet
EmailWeb
Security
VDI + Традиционные ПК – потоки данных
ДоступSiSi
РаспределениеSiSi
ЦОД Интернетграница
ДоступSiSi
РаспределениеSiSi
Unified Communications
Приложения
Internet
ASA
VoIP/Collaboration
Приложения
Internet
VDI
VDIКампус
Internet
EmailWeb
Security
Требования к кампусной сетиВлияние
• Профиль трафика изменяется
• Идентификация и обспечечение политик безопасности для пользователей, переместившихся в ЦОД
• Функциональность функций кампуса необходима на устройствах ЦОД (виртуализированный коммутатор для гипервизора)
Проблемы• Высокая доступность – для
передаваемых данных и питания• Безопасность конечных клиентов• Дисплей протоколы могут быть
«невидимы» для сетевых сервисов (QoS, безопасность, акселерация)
• Проблемы задержки критичны но более актуальны для удаленных пользователей,задержка более 200* мс не дает возможности пользователям нормально работать
* Источник: Тесты VMWare/Citrix/Gartner
Принципы построения кампусных сетей для VDI
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения• Обеспечение высокой доступности• Обеспечение питания PoE• Автоматическая настройка
– Безопасность– Управление
• Заключение
Снижение стоимости владения• Постоянная доступность! – Высокая
доступность – Снижение времени простоя сети == $$
• Упрощенное управление питанием – UPOE, EnergyWise
• Автоматическая настройка по шаблонам –“Zero Touch installation”
23
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения• Обеспечение высокой доступности• Обеспечение питания PoE• Автоматическая настройка
– Безопасность– Управление
• Заключение
Дизайн сети с высокой доступностью• Структурированность, модульность и
иерархия – ключевые основы дизайна сети с высокой доступностью
• Структурированный дизайн позволяет управлять
– Потоками данных– Поведением сети в случае сбоев
• Модульный дизайн– Более простое развитие и изменения в сети
• Иерархический дизайн– Обеспечивает предсказуемую масштабируемость– Выделение сетевых сервисов в отдельный строительный
блок
SiSi SiSi
SiSi SiSi
SiSi SiSi
Non-Stop Forwarding / StatefulSwitchover (NSF/SSO)Stateful Switchover (SSO)• Механизм SSO обеспечивает синхронизацию состояния IOS между Активным и
Резервным модулями Супервизоров для минизации перерыва в передаче данных в момент переключения между Активным и Резервным супервизором
• Перерыв в передачи данных: <200 мсек• IOS образы должны быть идентичны
Non Stop Forwarding (NSF)• Механизм NSF дает возможность протоколам маршрутизации реформировать
соседские отношения (gracefully restart ) после события SSO• Модуль супервизора ставший активным продолжает передавать данные на
основе синхронизированных до момента переключения TCAM таблиц и таблиц маршрутизации
• Протокол маршрутизации с поддержкой NSF запрашивает у соседа graceful neighbor start
• Соседские отношения протоколов маршрутизации реформируются (reform)
Stateful Switchover (SSO) – настройка
4507_Sup7E(config)#redundancy 4507_Sup7E(config-red)#mode sso4507_Sup7E(config-red)#^Z4507_Sup7E#show moduleChassis Type : WS-C4507R+E
Power consumed by backplane : 40 Watts
Mod Ports Card Type Model Serial No.---+-----+--------------------------------------+------------------+-----------2 12 10GE SFP+ WS-X4712-SFP+E CAT1428L01D3 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1436L05J4 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1436L0566 12 10GE SFP+ WS-X4712-SFP+E CAT1428L02W
M MAC addresses Hw Fw Sw Status--+--------------------------------+---+------------+----------------+---------2 0026.0b79.81f5 to 0026.0b79.8200 1.0 Ok 3 c84c.75b4.1240 to c84c.75b4.1243 1.0 15.0(1r)SG1 03.01.00.SG Ok 4 c84c.75b4.1244 to c84c.75b4.1247 1.0 15.0(1r)SG1 03.01.00.SG Ok 6 0026.0b79.8105 to 0026.0b79.8110 1.0 Ok
Mod Redundancy role Operating mode Redundancy status----+-------------------+-------------------+----------------------------------3 Active Supervisor SSO Active 4 Standby Supervisor SSO Standby hot
Настройка SSO
Режим SSO настроен
NSF настройка
4510_Sup7E(config)#router eigrp 1004510_Sup7E(config-router)#nsf4510_Sup7E(config-router)#timers nsf ?converge EIGRP time limit for convergence after switchoversignal EIGRP time limit for signaling NSF restart
4510_Sup7E(config-router)#router ospf 1004510_Sup7E(config-router)#nsf4510_Sup7E(config-router)#nsf cisco ?enforce Cancel NSF restart when non-NSF-aware neighbors detectedhelper helper support<cr>
4510_Sup7E(config-router)#nsf ietf ?helper helper supportrestart-interval Graceful restart interval<cr>
4510_Sup7E(config-router)#router bgp 1004510_Sup7E(config-router)#bgp graceful-restart ?restart-time Set the max time needed to restart and come back upstalepath-time Set the max time to hold onto restarting peer's stale paths<cr>
EIGRP
OSPF
BGP
In Service Software Upgrade (ISSU)• Автоматизированная процедура обновления IOS• Простой <200 мсек не влияет на обработку трафика и
подачу PoE питания VDI клиентам• Возможность отката на предыдущую версию в случае
ошибки при обновлении• На Catalyst 4500E Sup 7E IOS XE запускается одной
командой:
issu changeversion bootflash:<image> quick
• Функция eFSU доступна в Catalyst 6500http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/issu_efsu.pdf
• Функция Rolling Stack доступна в Catalyst 3750Xhttp://www.cisco.com/en/US/docs/switches/lan/catalyst3750x_3560x/software/release/12.2_58_se/configuration/guide/swstack.html#wp1295104
Control Plane Policing (CoPP) – настройкаCoPP настройка
Вывод Show комманд CoPP
Switch(config)# macro global apply system-cpp
Switch(config)# policy-map system-cpp-policy
Switch(config-pmap)# class system-cpp-cdp
Switch(config-pmap-c)# police 32000 1000 conform-action transmit exceed-action drop
Switch(config-pmap-c)# end
Switch # show policy-map control-plane
..<SNIP>..
Class-map: system-cpp-cdp (match-all)
21 packetsMatch: access-group name system-cpp-cdp
police:
cir 32000 bps, bc 1000 bytes
conformed 3120 bytes; actions:
transmit
exceeded 0 bytes; actions:
drop
conformed 0000 bps, exceed 0000 bps
..<SNIP>..
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения• Обеспечение высокой доступности• Обеспечение питания PoE• Автоматическая настройка
– Безопасность– Управление
• Заключение
Почему PoE на уровне доступа?• Простота развертывания
– Один и тот же кабель используется для данных и питания• Централизованное управление питанием
– EnergyWise• Высокая доступность
– Централизованное резервирование, непрерывность работы– В большинстве сетевых устройств отказоустойчивые
блоки питания– Широко распространено резервирование при помощи
Генераторов/ИБП/Батарейных блоков• Минимизация TCO
ИБП для резервирования
Настенная розетка
SiSi
Эффективность системы питания- Общий блок питания более эффективен, чем
индивидуальные- Кривая эффективности общего блока питания
оптимизирована для средней загрузки- Общий блок питания стоиот дешевле, чем
индивидуальные блоки для каждого устройства
Характеристики UPOE
• Максимальная мощность= 60Вт
• Поддержка всеми кабельными стандартами
• Совместим с PoE и PoE+
Cat5e
30Вт
IEEE 802.3at (PoE+)
• Максимальнаямощность = 30Вт
Cat5e
30Вт 30Вт
60Вт
Универсальная природа• Стандартный RJ45
коннектор
• Никаких изменений в СКС по сравнению с PoE+
Высокая доступность• Uptime for critical apps
(e911)
• Снижение TCO при помощи консолидации ИБП
Green• На 10% эффективнее чем
автономный источникпитания
• Управление при помощи EnergyWise
UPOE
Cisco UPOE и VDI клиенты
Клиентыинтегрированные
с мониторомВыделенные
клиентыИнтегрированные
клиенты
Cisco UPOE
Cisco UPOE
UPOE Splitter
Cisco VXC-2200
Cisco UPOE
UPOE Splitter
телефона и VDI клиентаОтказоустойчивое питание
телефона и VDI клиента
Cisco EnergyWise
Устройства с поддержкой EnergyWise при помощи SDK
EnergyWise Toolkit Management API
PC клиенты(Lenovo) Smart PDU
Wireless
IP телефоны
Приложения для управления1ECA ecoMeterPrime LMS 4.2 Verdiem Surveyor
(ранее: Orchestrator)Joulex JEM
EnergyWise домен(коммутаторы и маршрутизаторы)
IP Camera
Не-Energywise, PoE устройства VDI
Настройка Cisco EnergyWise
Глобальныенастройки
Настройки на интерфейсе
Мониторинг при помощи CLI
energywise domain Campus security shared-secret 0 cisco energywise importance 70energywise name Switch_Accessenergywise keywords 4507_Sup7Eenergywise role Switch_Accessenergywise management security shared-secret 0 cisco
interface GigabitEthernet2/3energywise importance 60energywise role vdi-client-1energywise keywords Campus.switch2.port0/3 energywise name vxc-client-1
Switch#energywise query importance 70 name Switch* collect usage
EnergyWise query, timeout is 6 seconds:
Host Name Usage Level Imp---- ---- ----- ----- ---172.28.103.136 Switch_Access 735.0 (W) 10 70172.28.103.235 Switch_Dist 840.0 (W) 10 70
Queried: 2 Responded: 2 Time: 5.263 seconds
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения• Обеспечение высокой доступности• Обеспечение питания PoE• Автоматическая настройка
– Безопасность– Управление
• Заключение
Автоматическая настройкаAuto Smart Ports• Технология дает возможность
автоматического применения определяемых пользователем макросов к интерфейсу на основе типа подключаемого устройства, а так же дополнительных тригеров событий (MAB, 802.1x и т.д.)
• Конфигурация удаляется когда устройство отключается от порта или пользовательская сессия разрывается
• Например когда коммутатор обнаруживает Cisco IP телефон к этому порту применяется макрос, который настраивает голосовой VLAN, политики Port Security и QoS
Auto Smart Ports – упрощение настройки
Switch#show run int gi 2/1description IP 9971 VDIswitchport access vlan 30switchport mode accessswitchport voice vlan 50switchport port-security maximum 3switchport port-security maximum 2 vlan accessswitchport port-securityswitchport port-security aging time 1 switchport port-security violation restrictswitchport port-security aging type inactivityload-interval 30auto qos voip cisco-phonestorm-control broadcast level pps 1kstorm-control multicast level pps 2kstorm-control action trapspanning-tree portfastspanning-tree bpduguard enableip dhcp snooping limit rate 15
Switch#macro auto global processing fallback cdp
Switch#macro auto execute CISCO_PHONE_EVENT builtin CISCO_PHONE_AUTO_SMARTPORT ACCESS_VLAN=30 VOICE_VLAN=50
Auto Smart Port – включение порта4500_Sup7E#show shell functions CISCO_PHONE_AUTO_SMARTPORTfunction CISCO_PHONE_AUTO_SMARTPORT () {
if [[ $LINKUP -eq YES ]]; thenconf t
interface $INTERFACEno macro description $TRIGGERswitchportswitchport access vlan $ACCESS_VLANswitchport mode accessif [[ $AUTH_ENABLED -eq NO ]]; then
switchport voice vlan $VOICE_VLANfiauto qos voip Cisco-phoneswitchport port-securityswitchport port-security max 2switchport port-security violation restrictswitchport port-security aging time 2switchport port-security aging type inactivityspanning-tree portfastspanning-tree bpduguard enablemacro description $TRIGGER
exitend
fi
Auto Smart Port – отключение портаif [[ $LINKUP -eq NO ]]; then
conf tinterface $INTERFACE
no auto qos voip Cisco-phoneno switchport port-securityno switchport access vlan $ACCESS_VLANno switchport port-security max 2no switchport port-security violation restrictno switchport port-security aging time 2no switchport port-security aging type inactivityno spanning-tree portfastno spanning-tree bpduguard enableif [[ $AUTH_ENABLED -eq NO ]]; then
no switchport mode accessno switchport voice vlan $VOICE_VLAN
fi no macro description $TRIGGER
exitend
fi}
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения– Безопасность
• Аутентификация, Авторизация и Местоположение
• Доступ на основе политик: TrustSec• Изоляция
– Управление• Заключение
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения– Безопасность
• Аутентификация, Авторизация и Местоположение
• Доступ на основе политик: TrustSec• Изоляция
– Управление• Заключение
802.1x сценарии внедрения• Несколько способов реализовать сетевую аутентификацию
• Аутентификация устройств доступа к виртуализированным столам при помощи IEEE 802.1X
– Стандартный и широко распространенный подход– Использование Extensible Authentication Protocol (EAP)
• Резервный механизм при помощи MAC Authentication Bypass (MAB)
– Реализуется в случае, если устройство не поддерживает 802.1X. Производится сверка с БД корпоративных MAC адресов.
802.1X
MABSupplicant
Cisco® Catalyst®Switch
Кампус
Терминальныекампусныеустройства
Radius Сервер
Кампуснаясеть
Кампуснаясеть
Сервискаталога
802.1x – настройка
Порт неавторизован
802.1X
Global Configaaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radius
radius-server host 10.100.100.100 radius-server key cisco123
dot1x system-auth-control
interface GigabitEthernet1/0/1authentication port-control autodot1x pae authenticator
Interface GigabitEthernet0/1switchport mode accessswitchport access vlan 2908switchport port-security maximum 3authentication control-direction inauthentication host-mode multi-hostauthentication event fail action authorize vlan 2909authentication event server dead action authorize vlan 2909authentication event no-response action authorize vlan 2909authentication event server alive action reinitializeauthentication port-control autoauthentication periodicauthentication timer reauthenticate 300authentication timer inactivity 60mab eapdot1x pae authenticatordot1x timeout tx-period 30
Interface Config
802.1x – проверка конфигурацииSwitch#show authentication session interface gi 1/1
Interface: GigabitEthernet1/1
MAC Address: 58bc.2775.a728
IP Address: 10.2.1.2
User-Name: CP-9951-SEP58BC2775A728Status: Authz SuccessDomain: VOICE
Oper host mode: multi-auth
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A0201010000000B404A3684
Acct Session ID: 0x00000016
Handle: 0x8900000C
Runnable methods list:
Method State
dot1x Authc Successmab Not run
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения– Безопасность
• Аутентификация, Авторизация и Местоположение
• Доступ на основе политик: TrustSec• Изоляция
– Управление• Заключение
Полный доступ к корпоративной сети
Доступ к корпоративной сети отсутствует
• Низкая стоимость поддержки• Высокий риск
• Низкая стоимость поддержки• Низкий риск
• VXI сервис• Internet Управление
унифицированным доступом
Могу ли я подключить мой собственный iPadк сети?
ЦентрализованнаяСистема
управления политикой доступа
Сотрудник
Дифференци-ированный доступ
• Конвергентный мониторинг и устранение неисправностей
• Простые, масштабируемые политики доступа
• Корпоративное устройство с AD credential и сертификатом (EAP-TLS)получает доступ к корпоративным ресурсам
• Персональное устройство (BYOD) получит ограниченный доступ
Доступ на базе политик: TrustSec
Доступ на базе политик: TrustSec
CAPWAPCAPWAPОдин и тот же SSID
802.1Q Транк
VLAN 20
VLAN 30
EAP аутентификация1
Accept -> VLAN 202
EAP аутентификация3
Accept -> VLAN 304
ISEISE
Корпоративные ресурсы
Internet
Сотрудник
Сотрудник
• Конвергентный мониторинг и устранение неисправностей
• Простые, масштабируемые политики доступа
• Корпоративное устройство с AD credential и сертификатом (EAP-TLS)получает доступ к корпоративным ресурсам
• Персональное устройство (BYOD) получит ограниченный доступ
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения– Безопасность
• Аутентификация, Авторизация и Местоположение
• Доступ на основе политик: TrustSec• Изоляция
– Управление• Заключение
Изоляция• Посредством VDI пользователи
становятся ближе к внутренней доверенной сети. Традиционные десктопы изолируются при помощи VLAN и МСЭ. Для VDI среды должны быть выделены VLAN и МСЭ, хотя фактически VDI «контейнер» будет находится внутри ЦОД
• Необходимо изолировать трафик зоны, в которой находятся web сервера и сервера приложений от зоны в которой находятся виртуальные десктопы и наоборот
• VRF-lite, EVN -> для маршрутизируемого уровня доступа или уровня распределения
• На базе VLAN -> для L2 доступа Распределительные блоки
SiSiSiSiSiSiSiSi
SiSi
SiSi SiSi
SiSi
InternetWAN
Кампус
Здание 1 Здание 2
Использование EVN для изоляции VDI
Ядро кампуса
L2транки
VLAN 21 VDIVLAN 22 VoIPVLAN 23 Data
VLAN 31 VDIVLAN 32 VoIPVLAN 33 Data
g1/0
g1/1interface vlan 21vrf forwarding VDIinterface vlan 22vrf forwarding VoIPinterface vlan 23vrf forwarding Data
interface vlan 31vrf forwarding VDIinterface vlan 32vrf forwarding VoIPinterface vlan 33vrf forwarding Data
SiSi SiSiУровнь 3
Уровнь 2
vrf definition VDIvnet tag 101
vrf definition VoIPvnet tag 102
vrf definition Datavnet tag 103
interface g1/0vnet trunk
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения– Безопасность– Управление
• QoS• Мониторинг
• Заключение
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения– Безопасность– Управление
• QoS• Мониторинг
• Заключение
Quality of Service (QoS)Качество обслуживания
• VDI трафик зашифрован и протоколы являются частными (закрытыми)
• Недостаточная прозрачность приложений внутри дисплей протокола
• Как следствие, весь VDI трафик нуждается в приоритезации, поскольку по своей природе чувствителен к потерям/задержкам
QoS - классификаторы
ip access-list RDPpermit tcp any eq 3389 anyip access-list PCoIP-UDPpermit udp any eq 50002 anyip access-list PCoIP-TCPpermit tcp any eq 50002 anyip access-list PCoIP-UDP-newpermit udp any eq 4172 anyip access-list PCoIP-TCP-newpermit tcp any eq 4172 anyip access-list ICApermit tcp any eq 1494 any!ip access-list View-USBpermit tcp any eq 32111 any
ip access-list MMRpermit tcp any eq 9427 any!ip access-list NetworkPrinterpermit ip any host 10.1.128.10permit ip any host 10.1.2.201!ip access-list CUPCDesktopControlpermit tcp any host 10.0.128.125 eq 2748permit tcp any host 10.0.128.123 eq 2748
QoS – Class Maps и Policy Maps
class-map type qos match-any CALL-SIGNALINGmatch access-group name CUPCDesktopControl
class-map type qos match-any MMR-STREAMINGmatch access-group name MMR
class-map type qos match-any TRANS-DATAmatch access-group name RDPmatch access-group name PCoIP-UDPmatch access-group name PCoIP-TCPmatch access-group name PCoIP-UDP-newmatch access-group name PCoIP-TCP-new
class-map type qos match-any BULK-DATAmatch access-group name View-USBmatch access-group name NetworkPrinter
policy-map type qos pmap-HVDPortclass CALL-SIGNALING
set cos 3set dscp cs3! dscp = 24
class MMR-STREAMINGset cos 4set dscp af31! dscp = 26
class TRANS-DATAset cos 2set dscp af21! dscp = 18
class BULK-DATAset cos 1set dscp af11! dscp = 10
Policy-mapClass-maps
QoS – вывод show команд• Просмотр статистики использования политик QoS
DC-WAN#show policy-map interface
GigabitEthernet0/0Service-policy input: HQ-LAN-EDGE-IN
Class-map: MMR-STREAMING (match-any)3532 packets, 5249960 bytes30 second offered rate 9000 bps, drop rate 0Match: dscp af31 (26) af32 (28) af33 (30)0 packets, 0 bytes30 second rate 0 bpsMatch: access-group name MMR3532 packets, 5249960 bytes30 second rate 9000 bpsQoS Setdscp af31Packets marked 3532
Serial0/0/0:0Service-policy output: WAN-EDGE
Class-map: MMR-STREAMING (match-any)5456 packets, 8052828 bytes30 second offered rate 393000 bps, dropMatch: dscp af31 (26) af32 (28) af33 (30)5456 packets, 8052828 bytes30 second rate 393000 bpsMatch: access-group name MMR0 packets, 0 bytes30 second rate 0 bpsQueueingqueue limit 64 packets(queue depth/total drops/no-buffer drops) 0/0/0(pkts output/bytes output) 5456/8052828bandwidth 5% (76 kbps)Exp-weight-constant: 9 (1/512)Mean queue depth: 25 packets
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI
– Снижение стоимости владения– Безопасность– Управление
• QoS• Мониторинг
• Заключение
Мониторинг при помощи Mediatrace• Mediatrace обнаруживает и
опрашивает L2 и L3 узлы сети по направлению передачи потока
• Mediatrace преимущественно используется для видео трафика,но может быть использован для сбора статистки, которая аутальна и для VDI
Loss of measurement confidence: FALSE Media Stop Event Occurred: FALSE
Media Byte Rate Average (Bps): 168
initiator#show mediatrace session stats 1Session Index: 1…Mediatrace Hop: 2 (host=responder2, ttl=253)
Metrics Collection Status: SuccessReachability Address: 10.10.34.3Ingress Interface: Gi0/1Egress Interface: Gi0/2Metrics Collected:
Flow Sampling Start Timestamp: 23:45:56Loss of measurement confidence: FALSE Media Stop Event Occurred: FALSE IP Packet Drop Count (pkts): 0 IP Byte Count (Bytes): 6240 IP Packet Count (pkts): 60
IP Byte Rate (Bps): 208 Packet Drop Reason: 0 IP DSCP: 0 IP TTL: 57 IP Protocol: 17 Media Byte Rate Average (Bps): 168 Media Byte Count (Bytes): 5040 Media Packet Count (pkts): 60 RTP Jitter Average (usec): 3911 RTP Packets Lost (pkts): 0 RTP Packets Expected (pkts): 60 RTP Packet Lost Event Count: 0 RTP Loss Percent (%): 0.00
Использование встроенного в IP SLA симулятора трафика
Готова ли моя сеть к
развертыванию VDI?
Коммутатор AМаршрутизатор BМаршрутизатор C
Коммутатор DSiSi
SiSi
• IP SLA признанное индустрией средство для измерения джиттера, характеристк ICMP и т.д. и т.п.
• Используется для фоновых замеров и не влияет на трафик реальных данных
• Рекомендуется использовать IP SLA Video Operation (VO) пробник, профиль которого напоминает VDI трафик
• Возможность удаленного мониторинга и планирования• IP SLA CLI и MIB интерфейсы обеспечивают простую
интеграцию продуктами NMS
Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI• Заключение
Заключение• Идентифицировать группы пользователей VDI• Определить клиентское оборудование для конечных пользователей
– Task Worker: Тонкий/Ноль клиент– Knowledge Worker: Тонкий/Толстый клиент– Power User: Толстый клиент
• Ресурсы ЦОД– Увеличивается число серверных портов– Функции уровня доступа «переезжают» в ЦОД– Задачи сегментации трафика
• Вьбор протокола (RDP/ICA/PCoIP)• Запланировать пилот для группы пользователей• Спроектировать кампусную сеть
– Высокая доступность и Power over Ethernet (PoE)– Безопасность 802.1x и TrustSec для BYOD– Высокая производительность при помощи QoS и поиск и
устранение неисправностей при помощи функций MediaNet
Архитектура VXI – дополнительная информация• 3-й день CiscoExpo 2012: 22 ноября• Поток: Центры Обработки Данных• Время: 15-25 – 17-30• Сессия: Архитектура Cisco VXI для виртуализации
рабочих мест пользователей и её внедрение– Введение и базовые элементы 15-25 – 16-25– Сервисные элементы, масштабирование и
управление 16-30 – 17-30
Спасибо!
Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!