Принципы построения кампусных сетей для внедрения...

Максим Хаванкинсистемный инженер[email protected]

Принципы построения кампусных сетей для внедрения виртуализированных десктопов

Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI• Заключение

Традиционные ПК и виртуализация десктопов

Интернет

Эволюция виртуализации рабочих мест

2010+1995-20101980-19951960-1980

Размещение пользователя

Штаб-квартира корпорации

Филиал/ Отделение

Домашний офис Где угодно

Роль сети Отсутствует Доступность Ограниченныйинтеллект Стратегическая

Сложность IT Низкая Средняя Высокая Низкая

Интерфейс Только текст Windows (GUI) Web Любой

Мобильность Отсутствует Ограниченная Улучшенная Полная

Мэнфрейм Клиент/Сервер Виртуализация

Что такое виртуализация десктопа?• Отделение физического устройства от логического десктопа• Запуск (хостинг) логического десктопа в Центре Обработки

Данных (ЦОД)• Возможность доступа к логическому десктопу при помощи

сети• Физические устройства различных типов обеспечивают

непрерывный доступ к логическому десктопу, предоставляя пользователю возможность продолжать работу с момента его последнего подключения

ЦОД

Виртуализированныйдесктоп, работающий в ЦОД

Общие компоненты виртуализации десктопов

Подключе-ние к брокерусоединений

1

Тонкий клиент

Толстый клиент

Смартфон/iPad

Запрос наполитикипользова-теля

2 Запускцеле-вой ВМ

4Иденти-фикация целевой ВМ

3

Терминальный протокол

Аутентификация

Connection BrokerБрокер соединений

Active Directory

Управлениевирт.

инфра-ой

5НазначениеВМ

клиенту

Вирт. ннфра-ра

Подклю-чение ВМ к клиенту

6 7 Соединение установлено

Архитектура Cisco VXIВиртуализированный ЦОДВиртуализированный ЦОД

ГипервизорыГипервизоры

Системы храненияСистемы хранения

Продукты Cisco

Системы виртуализацииСистемы виртуализации рабочих местрабочих мест

Сквозное управление, оптимизация и сервис

Сеть без границСеть без границ

IdentityIdentityServices Services EngineEngine

IdentityIdentityServices Services EngineEngine

RoutingRouting((ISRISR) ) RoutingRouting((ISRISR) )

WAASWAASWAASWAAS

AnyConnectAnyConnectAnyConnectAnyConnect

КоммутаторыКоммутаторыКоммутаторыКоммутаторы

PoEPoEPoEPoE

Виртуализированное рабочееВиртуализированное рабочееместоместо

Tablets Tablets СмартфоныСмартфоны

ЛэптопыЛэптопыУльтрабукиУльтрабуки

VXC 4000 VXC 4000 Программный Программный

клиентклиент

VXCVXC 6215 6215 ТонкийТонкийклиентклиент

VXCVXC 22xx22xx & & 21xx21xx Ноль Ноль клиентыклиенты

JabberJabber

MSOffice

Приложения/ОСПриложения/ОС

CollabCollab FinesseFinesse CTIOSCTIOS

Security Security GatewayGateway

vWAASvWAASUCUC MgrMgr

ACEACE

ASAASA

WAASWAAS UCSUCS

Nexus Nexus 1000v 1000v

Contact CenterContact Center

Cloud ComputeCloud ComputeDCN

Архитектура VXI – дополнительная информация• 3-й день CiscoExpo 2012: 22 ноября• Поток: Центры Обработки Данных• Время: 15-25 – 17-30• Сессия: Архитектура Cisco VXI для виртуализации

рабочих мест пользователей и её внедрение– Введение и базовые элементы 15-25 – 16-25– Сервисные элементы, масштабирование и

управление 16-30 – 17-30

VDI Протоколы и их выбор• Протокол отображения экрана (display protocol) определяет

пользовательские характеристки и используемые ресурсы• Уровень поддержки мультимедиа может определять выбор протокола

– Голос: Использование USB гарнитур или аналоговый• Перенаправление USB (Redirection)• Видео

– потоковое, телефония и совместная работа, графика• Печать

– учет местоположения и мобильность

RDPv7 ICA PCoIP ДругиеX11 (X Windows)ALP (Sun)ARD (Apple)VNC

Транспорт

Полоса

TCP 3389 TCP 2598TCP 1494

UDP 50002UDP 4172

384 Кбит/сек 120 Кбит/сек 192 Кбит/сек

Протокол Citrix ICA

Небольшойразмер пакета

Порт 2598 (CGP)

Надежность сессии обеспечивается при помощи инкапсуляции ICA трафика в TCP 2598 (Citrix Common Gateway Protocol)

при трассировке отображается порт 2598, а не 1494

Протокол VMware View PCoIP• PCoIP это высокопроизводительный терминальный протокол,

являющийся частью архитектуры Vmware View: лицензирован у компании Teradici

• PCoIP адаптируется к увеличивающейся в сети задержке и уменьшению полосы пропускания, обеспечивая конечных пользователей подключением к их рабочим столам независимо от состояния сети.

• PCoIP поддерживает следующие функции:– Поддержка до 4 мониторов и разрешение до 2560 x 1600– PCoIP поддерживает 32-битную глубину цвета– PCoIP поддерживает 128-битное шифрование– PCoIP поддерживает стандарт Advanced Encryption Standard (AES),

который включен по умолчанию• PCoIP использует протокол User Datagram Protocol (UDP) для

передачи аудио и видео данных

11

Выбор VDI клиентовНоль клиентыТолстые клиенты Тонкие клиенты

• Встроенная локальная ОС

• Допустимы локальныеприложения

• Локальная поддержка обработки мультимедиа трафика (голос и видео)

• Минималистическая ОС

• Для передачи отлика от сервера используется сеть

• Ресурсов для поддержки локальныхприложений нет

• Ограниченная поддержка обработкимультимедиа

• Существующие/повторноиспользуемые ПК с установленными клиентами VDI

• На ПК могут быть установлены локальные приложения

Гибридные клиентыСуществующие/повторно используемые ПК

Загрузка ОС из сетиПриложения хранятся удаленно, а запускаются локально

Влияние требований пользователей...Типичный

пользовательПриоритеты/

ПреимуществаТехнология

Сотрудники call-центров, секретариОграниченный набор приложений, ограниченные требования к производительности

Терминальный сервис Ноль клиент

Низкая стоимость Безопасность &

compliance Простота

развертывания и управления

Консультанты, юристы, продавцы, менеджеры Стандартный набор

приложений Средние требования к

производительности

Виртуализированный десктоп Стриминг приложения

или десктопа целиком Тонкий клиент

Мобильность, offline доступ Хороший

пользовательский опыт Персонализация

Инженеры, финансовые трейдеры, графические дизайнеры

Приложения использующие интенсивные вычисления Высокие требования к

производительности

Виртуализированный десктоп Стриминг приложения

или десктопа целиком Тонкий клиент Акселерация

мультимедиа

Безопасность & compliance Выделенные

вычислительныересурсы Безкомпромисный

пользовательский опыт

Task Worker

Knowledgeworker

Poweruser

Требования к сети

Особенности VDI трафикаДанные Видео Голос

Взрывной/Равномерный IMIX среднее:

300 байт Отсутствие

чувствительности к задержками и потерям Механизм

TCP Retransmits

Взрывной Средний размер

пакета: 800-1500 байт Mostly Variable Bit

Rate Чувствительность

и к задержками и потерям UDP приоритет

Равномерный Малый средний

размер пакета: 480 байт или меньше Чувствительность

и к задержками и потерям UDP приоритет

VDI

Взрывной/Равномерный Микс пакетов

большого и малого размера Чувствительность

и к задержками и потерям TCP Retransmits

(RDP & ICA) UDP приоритет

(PCoIP)

Традиционные ПК – потоки данных

ДоступSiSi

РаспределениеSiSi

КАМПУС

ЦОД Интернетграница

ДоступSiSi


Unified Communications

Приложения

Internet

ASA

EmailWeb

Security

VoIP/Collaboration


Internet

Internet

VDI – потоки данных

ДоступSiSi



ДоступSiSi




Internet

ASA

VoIP/Collaboration


Internet

VDI

VDIКампус

Internet

EmailWeb

Security

VDI + Традиционные ПК – потоки данных

ДоступSiSi



ДоступSiSi




Internet

ASA

VoIP/Collaboration


Internet

VDI

VDIКампус

Internet

EmailWeb

Security

Требования к кампусной сетиВлияние

• Профиль трафика изменяется

• Идентификация и обспечечение политик безопасности для пользователей, переместившихся в ЦОД

• Функциональность функций кампуса необходима на устройствах ЦОД (виртуализированный коммутатор для гипервизора)

Проблемы• Высокая доступность – для

передаваемых данных и питания• Безопасность конечных клиентов• Дисплей протоколы могут быть

«невидимы» для сетевых сервисов (QoS, безопасность, акселерация)

• Проблемы задержки критичны но более актуальны для удаленных пользователей,задержка более 200* мс не дает возможности пользователям нормально работать

* Источник: Тесты VMWare/Citrix/Gartner

Принципы построения кампусных сетей для VDI

Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI

– Снижение стоимости владения• Обеспечение высокой доступности• Обеспечение питания PoE• Автоматическая настройка

– Безопасность– Управление

• Заключение

Снижение стоимости владения• Постоянная доступность! – Высокая

доступность – Снижение времени простоя сети == $$

• Упрощенное управление питанием – UPOE, EnergyWise

• Автоматическая настройка по шаблонам –“Zero Touch installation”

23

Дизайн сети с высокой доступностью• Структурированность, модульность и

иерархия – ключевые основы дизайна сети с высокой доступностью

• Структурированный дизайн позволяет управлять

– Потоками данных– Поведением сети в случае сбоев

• Модульный дизайн– Более простое развитие и изменения в сети

• Иерархический дизайн– Обеспечивает предсказуемую масштабируемость– Выделение сетевых сервисов в отдельный строительный

блок

SiSi SiSi

SiSi SiSi

SiSi SiSi

Non-Stop Forwarding / StatefulSwitchover (NSF/SSO)Stateful Switchover (SSO)• Механизм SSO обеспечивает синхронизацию состояния IOS между Активным и

Резервным модулями Супервизоров для минизации перерыва в передаче данных в момент переключения между Активным и Резервным супервизором

• Перерыв в передачи данных: <200 мсек• IOS образы должны быть идентичны

Non Stop Forwarding (NSF)• Механизм NSF дает возможность протоколам маршрутизации реформировать

соседские отношения (gracefully restart ) после события SSO• Модуль супервизора ставший активным продолжает передавать данные на

основе синхронизированных до момента переключения TCAM таблиц и таблиц маршрутизации

• Протокол маршрутизации с поддержкой NSF запрашивает у соседа graceful neighbor start

• Соседские отношения протоколов маршрутизации реформируются (reform)

Stateful Switchover (SSO) – настройка

4507_Sup7E(config)#redundancy 4507_Sup7E(config-red)#mode sso4507_Sup7E(config-red)#^Z4507_Sup7E#show moduleChassis Type : WS-C4507R+E

Power consumed by backplane : 40 Watts

Mod Ports Card Type Model Serial No.---+-----+--------------------------------------+------------------+-----------2 12 10GE SFP+ WS-X4712-SFP+E CAT1428L01D3 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1436L05J4 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1436L0566 12 10GE SFP+ WS-X4712-SFP+E CAT1428L02W

M MAC addresses Hw Fw Sw Status--+--------------------------------+---+------------+----------------+---------2 0026.0b79.81f5 to 0026.0b79.8200 1.0 Ok 3 c84c.75b4.1240 to c84c.75b4.1243 1.0 15.0(1r)SG1 03.01.00.SG Ok 4 c84c.75b4.1244 to c84c.75b4.1247 1.0 15.0(1r)SG1 03.01.00.SG Ok 6 0026.0b79.8105 to 0026.0b79.8110 1.0 Ok

Mod Redundancy role Operating mode Redundancy status----+-------------------+-------------------+----------------------------------3 Active Supervisor SSO Active 4 Standby Supervisor SSO Standby hot

Настройка SSO

Режим SSO настроен

NSF настройка

4510_Sup7E(config)#router eigrp 1004510_Sup7E(config-router)#nsf4510_Sup7E(config-router)#timers nsf ?converge EIGRP time limit for convergence after switchoversignal EIGRP time limit for signaling NSF restart

4510_Sup7E(config-router)#router ospf 1004510_Sup7E(config-router)#nsf4510_Sup7E(config-router)#nsf cisco ?enforce Cancel NSF restart when non-NSF-aware neighbors detectedhelper helper support<cr>

4510_Sup7E(config-router)#nsf ietf ?helper helper supportrestart-interval Graceful restart interval<cr>

4510_Sup7E(config-router)#router bgp 1004510_Sup7E(config-router)#bgp graceful-restart ?restart-time Set the max time needed to restart and come back upstalepath-time Set the max time to hold onto restarting peer's stale paths<cr>

EIGRP

OSPF

BGP

In Service Software Upgrade (ISSU)• Автоматизированная процедура обновления IOS• Простой <200 мсек не влияет на обработку трафика и

подачу PoE питания VDI клиентам• Возможность отката на предыдущую версию в случае

ошибки при обновлении• На Catalyst 4500E Sup 7E IOS XE запускается одной

командой:

issu changeversion bootflash:<image> quick

• Функция eFSU доступна в Catalyst 6500http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/issu_efsu.pdf

• Функция Rolling Stack доступна в Catalyst 3750Xhttp://www.cisco.com/en/US/docs/switches/lan/catalyst3750x_3560x/software/release/12.2_58_se/configuration/guide/swstack.html#wp1295104

Control Plane Policing (CoPP) – настройкаCoPP настройка

Вывод Show комманд CoPP

Switch(config)# macro global apply system-cpp

Switch(config)# policy-map system-cpp-policy

Switch(config-pmap)# class system-cpp-cdp

Switch(config-pmap-c)# police 32000 1000 conform-action transmit exceed-action drop

Switch(config-pmap-c)# end

Switch # show policy-map control-plane

..<SNIP>..

Class-map: system-cpp-cdp (match-all)

21 packetsMatch: access-group name system-cpp-cdp

police:

cir 32000 bps, bc 1000 bytes

conformed 3120 bytes; actions:

transmit

exceeded 0 bytes; actions:

drop

conformed 0000 bps, exceed 0000 bps

..<SNIP>..

Почему PoE на уровне доступа?• Простота развертывания

– Один и тот же кабель используется для данных и питания• Централизованное управление питанием

– EnergyWise• Высокая доступность

– Централизованное резервирование, непрерывность работы– В большинстве сетевых устройств отказоустойчивые

блоки питания– Широко распространено резервирование при помощи

Генераторов/ИБП/Батарейных блоков• Минимизация TCO

ИБП для резервирования

Настенная розетка

SiSi

Эффективность системы питания- Общий блок питания более эффективен, чем

индивидуальные- Кривая эффективности общего блока питания

оптимизирована для средней загрузки- Общий блок питания стоиот дешевле, чем

индивидуальные блоки для каждого устройства

Характеристики UPOE

• Максимальная мощность= 60Вт

• Поддержка всеми кабельными стандартами

• Совместим с PoE и PoE+

Cat5e

30Вт

IEEE 802.3at (PoE+)

• Максимальнаямощность = 30Вт

Cat5e

30Вт 30Вт

60Вт

Универсальная природа• Стандартный RJ45

коннектор

• Никаких изменений в СКС по сравнению с PoE+

Высокая доступность• Uptime for critical apps

(e911)

• Снижение TCO при помощи консолидации ИБП

Green• На 10% эффективнее чем

автономный источникпитания

• Управление при помощи EnergyWise

UPOE

Cisco UPOE и VDI клиенты

Клиентыинтегрированные

с мониторомВыделенные

клиентыИнтегрированные

клиенты

Cisco UPOE

Cisco UPOE

UPOE Splitter

Cisco VXC-2200

Cisco UPOE

UPOE Splitter

телефона и VDI клиентаОтказоустойчивое питание

телефона и VDI клиента

Cisco EnergyWise

Устройства с поддержкой EnergyWise при помощи SDK

EnergyWise Toolkit Management API

PC клиенты(Lenovo) Smart PDU

Wireless

IP телефоны

Приложения для управления1ECA ecoMeterPrime LMS 4.2 Verdiem Surveyor

(ранее: Orchestrator)Joulex JEM

EnergyWise домен(коммутаторы и маршрутизаторы)

IP Camera

Не-Energywise, PoE устройства VDI

Настройка Cisco EnergyWise

Глобальныенастройки

Настройки на интерфейсе

Мониторинг при помощи CLI

energywise domain Campus security shared-secret 0 cisco energywise importance 70energywise name Switch_Accessenergywise keywords 4507_Sup7Eenergywise role Switch_Accessenergywise management security shared-secret 0 cisco

interface GigabitEthernet2/3energywise importance 60energywise role vdi-client-1energywise keywords Campus.switch2.port0/3 energywise name vxc-client-1

Switch#energywise query importance 70 name Switch* collect usage

EnergyWise query, timeout is 6 seconds:

Host Name Usage Level Imp---- ---- ----- ----- ---172.28.103.136 Switch_Access 735.0 (W) 10 70172.28.103.235 Switch_Dist 840.0 (W) 10 70

Queried: 2 Responded: 2 Time: 5.263 seconds

Автоматическая настройкаAuto Smart Ports• Технология дает возможность

автоматического применения определяемых пользователем макросов к интерфейсу на основе типа подключаемого устройства, а так же дополнительных тригеров событий (MAB, 802.1x и т.д.)

• Конфигурация удаляется когда устройство отключается от порта или пользовательская сессия разрывается

• Например когда коммутатор обнаруживает Cisco IP телефон к этому порту применяется макрос, который настраивает голосовой VLAN, политики Port Security и QoS

Auto Smart Ports – упрощение настройки

Switch#show run int gi 2/1description IP 9971 VDIswitchport access vlan 30switchport mode accessswitchport voice vlan 50switchport port-security maximum 3switchport port-security maximum 2 vlan accessswitchport port-securityswitchport port-security aging time 1 switchport port-security violation restrictswitchport port-security aging type inactivityload-interval 30auto qos voip cisco-phonestorm-control broadcast level pps 1kstorm-control multicast level pps 2kstorm-control action trapspanning-tree portfastspanning-tree bpduguard enableip dhcp snooping limit rate 15

Switch#macro auto global processing fallback cdp

Switch#macro auto execute CISCO_PHONE_EVENT builtin CISCO_PHONE_AUTO_SMARTPORT ACCESS_VLAN=30 VOICE_VLAN=50

Auto Smart Port – включение порта4500_Sup7E#show shell functions CISCO_PHONE_AUTO_SMARTPORTfunction CISCO_PHONE_AUTO_SMARTPORT () {

if [[ $LINKUP -eq YES ]]; thenconf t

interface $INTERFACEno macro description $TRIGGERswitchportswitchport access vlan $ACCESS_VLANswitchport mode accessif [[ $AUTH_ENABLED -eq NO ]]; then

switchport voice vlan $VOICE_VLANfiauto qos voip Cisco-phoneswitchport port-securityswitchport port-security max 2switchport port-security violation restrictswitchport port-security aging time 2switchport port-security aging type inactivityspanning-tree portfastspanning-tree bpduguard enablemacro description $TRIGGER

exitend

fi

Auto Smart Port – отключение портаif [[ $LINKUP -eq NO ]]; then

conf tinterface $INTERFACE

no auto qos voip Cisco-phoneno switchport port-securityno switchport access vlan $ACCESS_VLANno switchport port-security max 2no switchport port-security violation restrictno switchport port-security aging time 2no switchport port-security aging type inactivityno spanning-tree portfastno spanning-tree bpduguard enableif [[ $AUTH_ENABLED -eq NO ]]; then

no switchport mode accessno switchport voice vlan $VOICE_VLAN

fi no macro description $TRIGGER

exitend

fi}


– Снижение стоимости владения– Безопасность

• Аутентификация, Авторизация и Местоположение

• Доступ на основе политик: TrustSec• Изоляция

– Управление• Заключение

802.1x сценарии внедрения• Несколько способов реализовать сетевую аутентификацию

• Аутентификация устройств доступа к виртуализированным столам при помощи IEEE 802.1X

– Стандартный и широко распространенный подход– Использование Extensible Authentication Protocol (EAP)

• Резервный механизм при помощи MAC Authentication Bypass (MAB)

– Реализуется в случае, если устройство не поддерживает 802.1X. Производится сверка с БД корпоративных MAC адресов.

802.1X

MABSupplicant

Cisco® Catalyst®Switch

Кампус

Терминальныекампусныеустройства

Radius Сервер

Кампуснаясеть

Кампуснаясеть

Сервискаталога

802.1x – настройка

Порт неавторизован

802.1X

Global Configaaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radius

radius-server host 10.100.100.100 radius-server key cisco123

dot1x system-auth-control

interface GigabitEthernet1/0/1authentication port-control autodot1x pae authenticator

Interface GigabitEthernet0/1switchport mode accessswitchport access vlan 2908switchport port-security maximum 3authentication control-direction inauthentication host-mode multi-hostauthentication event fail action authorize vlan 2909authentication event server dead action authorize vlan 2909authentication event no-response action authorize vlan 2909authentication event server alive action reinitializeauthentication port-control autoauthentication periodicauthentication timer reauthenticate 300authentication timer inactivity 60mab eapdot1x pae authenticatordot1x timeout tx-period 30

Interface Config

802.1x – проверка конфигурацииSwitch#show authentication session interface gi 1/1

Interface: GigabitEthernet1/1

MAC Address: 58bc.2775.a728

IP Address: 10.2.1.2

User-Name: CP-9951-SEP58BC2775A728Status: Authz SuccessDomain: VOICE

Oper host mode: multi-auth

Oper control dir: both

Authorized By: Authentication Server

Session timeout: N/A

Idle timeout: N/A

Common Session ID: 0A0201010000000B404A3684

Acct Session ID: 0x00000016

Handle: 0x8900000C

Runnable methods list:

Method State

dot1x Authc Successmab Not run

Полный доступ к корпоративной сети

Доступ к корпоративной сети отсутствует

• Низкая стоимость поддержки• Высокий риск

• Низкая стоимость поддержки• Низкий риск

• VXI сервис• Internet Управление

унифицированным доступом

Могу ли я подключить мой собственный iPadк сети?

ЦентрализованнаяСистема

управления политикой доступа

Сотрудник

Дифференци-ированный доступ

• Конвергентный мониторинг и устранение неисправностей

• Простые, масштабируемые политики доступа

• Корпоративное устройство с AD credential и сертификатом (EAP-TLS)получает доступ к корпоративным ресурсам

• Персональное устройство (BYOD) получит ограниченный доступ

Доступ на базе политик: TrustSec

Доступ на базе политик: TrustSec

CAPWAPCAPWAPОдин и тот же SSID

802.1Q Транк

VLAN 20

VLAN 30

EAP аутентификация1

Accept -> VLAN 202

EAP аутентификация3

Accept -> VLAN 304

ISEISE

Корпоративные ресурсы

Internet

Сотрудник

Сотрудник

• Конвергентный мониторинг и устранение неисправностей

• Простые, масштабируемые политики доступа

• Корпоративное устройство с AD credential и сертификатом (EAP-TLS)получает доступ к корпоративным ресурсам

• Персональное устройство (BYOD) получит ограниченный доступ

Изоляция• Посредством VDI пользователи

становятся ближе к внутренней доверенной сети. Традиционные десктопы изолируются при помощи VLAN и МСЭ. Для VDI среды должны быть выделены VLAN и МСЭ, хотя фактически VDI «контейнер» будет находится внутри ЦОД

• Необходимо изолировать трафик зоны, в которой находятся web сервера и сервера приложений от зоны в которой находятся виртуальные десктопы и наоборот

• VRF-lite, EVN -> для маршрутизируемого уровня доступа или уровня распределения

• На базе VLAN -> для L2 доступа Распределительные блоки

SiSiSiSiSiSiSiSi

SiSi

SiSi SiSi

SiSi

InternetWAN

Кампус

Здание 1 Здание 2

Использование EVN для изоляции VDI

Ядро кампуса

L2транки

VLAN 21 VDIVLAN 22 VoIPVLAN 23 Data

VLAN 31 VDIVLAN 32 VoIPVLAN 33 Data

g1/0

g1/1interface vlan 21vrf forwarding VDIinterface vlan 22vrf forwarding VoIPinterface vlan 23vrf forwarding Data

interface vlan 31vrf forwarding VDIinterface vlan 32vrf forwarding VoIPinterface vlan 33vrf forwarding Data

SiSi SiSiУровнь 3

Уровнь 2

vrf definition VDIvnet tag 101

vrf definition VoIPvnet tag 102

vrf definition Datavnet tag 103

interface g1/0vnet trunk


– Снижение стоимости владения– Безопасность– Управление

• QoS• Мониторинг


Quality of Service (QoS)Качество обслуживания

• VDI трафик зашифрован и протоколы являются частными (закрытыми)

• Недостаточная прозрачность приложений внутри дисплей протокола

• Как следствие, весь VDI трафик нуждается в приоритезации, поскольку по своей природе чувствителен к потерям/задержкам

QoS - классификаторы

ip access-list RDPpermit tcp any eq 3389 anyip access-list PCoIP-UDPpermit udp any eq 50002 anyip access-list PCoIP-TCPpermit tcp any eq 50002 anyip access-list PCoIP-UDP-newpermit udp any eq 4172 anyip access-list PCoIP-TCP-newpermit tcp any eq 4172 anyip access-list ICApermit tcp any eq 1494 any!ip access-list View-USBpermit tcp any eq 32111 any

ip access-list MMRpermit tcp any eq 9427 any!ip access-list NetworkPrinterpermit ip any host 10.1.128.10permit ip any host 10.1.2.201!ip access-list CUPCDesktopControlpermit tcp any host 10.0.128.125 eq 2748permit tcp any host 10.0.128.123 eq 2748

QoS – Class Maps и Policy Maps

class-map type qos match-any CALL-SIGNALINGmatch access-group name CUPCDesktopControl

class-map type qos match-any MMR-STREAMINGmatch access-group name MMR

class-map type qos match-any TRANS-DATAmatch access-group name RDPmatch access-group name PCoIP-UDPmatch access-group name PCoIP-TCPmatch access-group name PCoIP-UDP-newmatch access-group name PCoIP-TCP-new

class-map type qos match-any BULK-DATAmatch access-group name View-USBmatch access-group name NetworkPrinter

policy-map type qos pmap-HVDPortclass CALL-SIGNALING

set cos 3set dscp cs3! dscp = 24

class MMR-STREAMINGset cos 4set dscp af31! dscp = 26

class TRANS-DATAset cos 2set dscp af21! dscp = 18

class BULK-DATAset cos 1set dscp af11! dscp = 10

Policy-mapClass-maps

QoS – вывод show команд• Просмотр статистики использования политик QoS

DC-WAN#show policy-map interface

GigabitEthernet0/0Service-policy input: HQ-LAN-EDGE-IN

Class-map: MMR-STREAMING (match-any)3532 packets, 5249960 bytes30 second offered rate 9000 bps, drop rate 0Match: dscp af31 (26) af32 (28) af33 (30)0 packets, 0 bytes30 second rate 0 bpsMatch: access-group name MMR3532 packets, 5249960 bytes30 second rate 9000 bpsQoS Setdscp af31Packets marked 3532

Serial0/0/0:0Service-policy output: WAN-EDGE

Class-map: MMR-STREAMING (match-any)5456 packets, 8052828 bytes30 second offered rate 393000 bps, dropMatch: dscp af31 (26) af32 (28) af33 (30)5456 packets, 8052828 bytes30 second rate 393000 bpsMatch: access-group name MMR0 packets, 0 bytes30 second rate 0 bpsQueueingqueue limit 64 packets(queue depth/total drops/no-buffer drops) 0/0/0(pkts output/bytes output) 5456/8052828bandwidth 5% (76 kbps)Exp-weight-constant: 9 (1/512)Mean queue depth: 25 packets


– Снижение стоимости владения– Безопасность– Управление

• QoS• Мониторинг


Мониторинг при помощи Mediatrace• Mediatrace обнаруживает и

опрашивает L2 и L3 узлы сети по направлению передачи потока

• Mediatrace преимущественно используется для видео трафика,но может быть использован для сбора статистки, которая аутальна и для VDI

Loss of measurement confidence: FALSE Media Stop Event Occurred: FALSE

Media Byte Rate Average (Bps): 168

initiator#show mediatrace session stats 1Session Index: 1…Mediatrace Hop: 2 (host=responder2, ttl=253)

Metrics Collection Status: SuccessReachability Address: 10.10.34.3Ingress Interface: Gi0/1Egress Interface: Gi0/2Metrics Collected:

Flow Sampling Start Timestamp: 23:45:56Loss of measurement confidence: FALSE Media Stop Event Occurred: FALSE IP Packet Drop Count (pkts): 0 IP Byte Count (Bytes): 6240 IP Packet Count (pkts): 60

IP Byte Rate (Bps): 208 Packet Drop Reason: 0 IP DSCP: 0 IP TTL: 57 IP Protocol: 17 Media Byte Rate Average (Bps): 168 Media Byte Count (Bytes): 5040 Media Packet Count (pkts): 60 RTP Jitter Average (usec): 3911 RTP Packets Lost (pkts): 0 RTP Packets Expected (pkts): 60 RTP Packet Lost Event Count: 0 RTP Loss Percent (%): 0.00

Использование встроенного в IP SLA симулятора трафика

Готова ли моя сеть к

развертыванию VDI?

Коммутатор AМаршрутизатор BМаршрутизатор C

Коммутатор DSiSi

SiSi

• IP SLA признанное индустрией средство для измерения джиттера, характеристк ICMP и т.д. и т.п.

• Используется для фоновых замеров и не влияет на трафик реальных данных

• Рекомендуется использовать IP SLA Video Operation (VO) пробник, профиль которого напоминает VDI трафик

• Возможность удаленного мониторинга и планирования• IP SLA CLI и MIB интерфейсы обеспечивают простую

интеграцию продуктами NMS

Содержание• Традиционные ПК и виртуализация десктопов• Требования к сети• Принципы построения кампусных сетей для VDI• Заключение

Заключение• Идентифицировать группы пользователей VDI• Определить клиентское оборудование для конечных пользователей

– Task Worker: Тонкий/Ноль клиент– Knowledge Worker: Тонкий/Толстый клиент– Power User: Толстый клиент

• Ресурсы ЦОД– Увеличивается число серверных портов– Функции уровня доступа «переезжают» в ЦОД– Задачи сегментации трафика

• Вьбор протокола (RDP/ICA/PCoIP)• Запланировать пилот для группы пользователей• Спроектировать кампусную сеть

– Высокая доступность и Power over Ethernet (PoE)– Безопасность 802.1x и TrustSec для BYOD– Высокая производительность при помощи QoS и поиск и

устранение неисправностей при помощи функций MediaNet

Архитектура VXI – дополнительная информация• 3-й день CiscoExpo 2012: 22 ноября• Поток: Центры Обработки Данных• Время: 15-25 – 17-30• Сессия: Архитектура Cisco VXI для виртуализации

рабочих мест пользователей и её внедрение– Введение и базовые элементы 15-25 – 16-25– Сервисные элементы, масштабирование и

управление 16-30 – 17-30

Спасибо!

Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!

Принципы построения кампусных сетей для внедрения...

Technology

Transcript of Принципы построения кампусных сетей для внедрения...