1、New Era of Campus Networking园区 网络新时代 Cisco DNA 2.0 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential什么是新时代网络- 现有网络面临的 挑战- 新时代网络介绍及优势- 客户 Benefit- 主要时间表( When) 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential目前 IT系统的挑战95% 95%的变更由人工执行3个月发现 恶意 漏洞需要3个月61%
2、到 2020年网络设备数量增加 61%14%生产效率因网络错误降低 14%网络有效性差距 增加复杂性: 附加系统需要更多时间和金钱来保持运行 新的设备类型: 无人操控设备需要前瞻性的服务管理 不断增加的威胁: 新用户和物联网设备带来更多渗透点 资源受限: 资源不足或减少降低回报无法与业务保持同步复杂性互联设备威胁面资源 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialWhy Cisco DNA? Why Now?提升业务部署速递85%更快的威胁防护从平均 100+ 天到平均 17.5小时100X降
3、低网络安装 、 运维的成本79%业务敏捷 更低的成本 降低风险让网络为业务带来更多的帮助开始数字化之旅 面向数字化的基础架构 IT自动化 安全的企业网投资保护让网络为业务提供更多的帮助 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialDNA 2.0框架 Overlay解决方案 -SDA及SD-WAN解决方案 -IWANDNA图形化控制中心网络大数据分析系统强化的威胁防御系统全新Catalyst 9000系列交换机DNA Software Capabilities自动化 大数据分析虚拟化网元为 DN
4、A定制的物理及虚拟基础架构整体安全设计基于云的网络服务及编排系统 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialDNA 2.0网络服务组件Base Automation, Monitoring & TroubleshootingPlug and Play | EasyQoS | Path Analysis DNA Center (统一图形化界面 )IWAN SD-Access AssuranceIdentity &Access PolicyISEAutomationAPIC-EMAnalytic
5、sNetwork Data Platform (Tesseract)NewNew NewNew 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialDNA 2.0发布带来了什么智能 | 自动化 | 安全产品体系 系统框架 智能分析业界最佳的 最完善的 创新的SDA NDPCatalyst 9K 2017 Cisco and/or its affiliate
6、s. All rights reserved. Cisco Confidential全新的 Catalyst交 换 机2960X/XRC1-2960X3650C1-36503850C1-38504500C1-45003850 FiberC1-3850 Fiber6800C1-6800当前产品线 新一代产品线9300基 础订阅许 可 /高 级订阅许 可9400基 础订阅许 可 /高 级订阅许 可9500基 础订阅许 可 /高 级订阅许 可迁移升 级迁移升 级迁移升 级UADP 2.0 Open IOS-XE首次采用 x86 CPU支持更多 应 用 可 编 程 ASIC芯片 软 件 补 丁日后支持
7、 IEEE 802.11ax下一代WiFi IEEE 802.3bt 71W PoE IEEE 802.3by 25G以太网 行 业 第一 高可用性 mGig端口密度 UPoE能力48Gbps 80Gbps数字化网 络 架构(DNA)软 件定 义 接入(SDA) 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialDNA Center:用户的统一及唯一的交互界面DNA Center:在一个地点设计、配置、执行策略和保障 DNA服务设计、配置、制定策略的逻辑工作流程 更快回应变化 监控端对端网络性能 在
8、发生前预测问题更快定位问题 通过端对端视图而非逐跳传输减少停机时间管理硬件和软件生命周期保持更新、符合法规并持续更新12 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential当今的企业网络未来的园区网络架构: Software Defined Access- 逻辑虚拟网络功能 虽 多 但 太过复杂 运营成本投入巨大软件定义访问 (SDA)业务灵活性 自动化
9、企业 一致 的策略 投资保护Overlay用 户 和 设备 组 成 设备移 动 网 络 协 作 安全用 户 和 设备根据业务需要进行用户分组提供所需服务底层网络自动建立极低的运营成本投入 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialAssurance(Network Data Platform)通过可执行的洞察和简化实现网络运营转型无 线路由 跟踪 系 统 日志旧 型 AAACLIPingDHCPSNMP路由器Netflow MIBDNSIPSLA远 程登 录交 换 机数据 洞察网络数据平台保
10、障能力大数据分析应用 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential全新的网络分析 工具 - NDPInsights-洞察即时发现网络中的问题Troubleshoot-排障通过数据关联分析,直接命中故障原因Automate-自动通过机器自学习方法提供网络优化建议Predictive Performance-性能预测理解网络应用所需的服务质量等级Visibility-可视学习和了解网络以及终端的状态14 2017 Cisco and/or its affiliates. All rights re
11、served. Cisco Confidential了解现在 , 预测将来 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential2017年 11月2017年 6月内部发布DNA创新产品推出时间Cat 9300 & 9500 大规模生产 FCS保障 网络数据平台 更大的规模2017年 9月中国 FCS对外发布 网络品牌宣传活动 最终客户需求生成JUN 2017 有限部署 FCS自动化 软件定义访问 EFT保障 不超过 500台设备2017年 7月末DNA Center:SDADNA Center: As
12、surance Cat 94002017年 11月中国 FCS 6月 20日 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialSoftware Defined Access按需构建的园区网络 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential现有园区网面临的挑战接入网络的设备数量飞速增长,如何快速的横向扩展如何解决大二层的需求,让网络任意的区隔如何规避 spanning tree的风险,避免网络环路AC
13、L过多,过于分散,如何统一管理1234有线无线如何统一接入,统一策略,统一管理分析5 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential当今的企业网络未来的园区网络架构: Software Defined Access- 逻辑虚拟网络功能虽多 但 太过复杂 运营成本投入巨大软件定义访问 (SDA)业务灵活性 自动化企业 一致 的策略 投资保护Overlay用户和设备 组成 设备移动 网络 协作 安全用户和设备根据业务需要进行用户分组提供所需服务底层网络自动建立极低的运营成本投入 2017 Cisco
14、 and/or its affiliates. All rights reserved. Cisco ConfidentialCisco Software Defined Access更加 稳定,更加敏捷的园区网接入解决方案1: Underlay设备仅需配置 ISIS,配置精简,稳定,快速横向扩展,规避 spanning tree风险2:通过 VXLan替代 Vlan,实现大二层,与终端接入位置无关,任意漫游3:通过 SGT标签,替代 ACL,极大降低 ACL条目数量,同时 SGT标签全网自动同步,而无需维护4:有线 交换机与无线 AP统一使用 VXLan作为 data plane,有线网无线
15、网真正实现统一5:通过 控制器统一图形化配置, Underlay设备零配上线, Overlay网络快速创建及调整6:集中 策略服务器用于存放全网统一身份 SGT策略信息,与网络设备实时同步,避免分布式 ACL风险Underlay NetworkOverlay NetworkVXLan+SGT封装EMAPIC-EMISE 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential第一层标签( VXLAN),确保各虚拟网之间完全隔离Virtual Networks-虚拟网络第二层标签( SGT),可以通过基于角
16、色的策略,控制相互之间的互访Groups-用户组IoT 虚拟网络Group 3员工虚拟网络Group 1 Group 2路由器 交换机 无线Group 4Group 5Default PermitCustom DenyDefault Deny物理网络虚拟网络Deny HttpPermit HttpsCisco Software Defined Access虚拟网络 以及策略 模型虚拟网络Group 1 Group 2虚拟网络Group 1 Group 2虚拟网络 NGroup M Group NDefault Permit 2017 Cisco and/or its affiliates. A
17、ll rights reserved. Cisco ConfidentialSD-Access 设备支持ASR-1000-XASR-1000-HXISR 4430ISR 4450无线路由器交换机AIR-CT5520AIR-CT8540Wave 2 APs (1800, 2800,3800)Wave 1 APs* (1700, 2700,3700)Catalyst 9400Catalyst 9300Catalyst 9500Catalyst 4500E Catalyst 6K Nexus 7700Catalyst 3850 and 3650NEWNEWNEW AIR-CT3504CSR 1000
18、VNEW*with Caveats 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialNetwork Data Platform园区网大数据分析平台 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential现有园区网运维的挑战网管平台只能监控网元的状态,而无法反映系统和应用的状态基于 SNMP的方法无法实时反馈网络的状态网络服务:例如 DHCP、 AAA是独立的监控平面需要专业的网络人员才能对网络事件进行关联性
19、分析1234欠缺对网络系统进行预测的方法5 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential园区网大数据分析系统架构Stream ProcessingMetadata extractionComplex Correlation分析引擎Network Assurance netWorth收集及分析流程开发包数据模型及北向 Restful APIs基于时段的分析系统管理界面数据关联及分析 数据展现.SNMP NetFlow SyslogStreamingTelemetryFW LB WLC Senso
20、r NetworkTelemetry数据收集AAADNS DHCPLDAP TOPOLOGYINVENTORYLOCATIONPOLICY设备信息网络服务信息Network Data Platform1:收集所有网络设备的状态信息,包含NetFlow, Syslog等2: 统一收集网络服务系统的信息,包含 DHCP, AAA等3:设备状态信息可由设备主动发出,频率可达10秒一次,可避免SNMP Polling间隔时间过长问题4: 所有信息交由统一的分析系统关联,分析。使用大数据及机器自学习技术,实时、准确的提供分析结果,而无需专业人员介入5:分析结果可由北向接口输出,采用 Restful+Js
21、on通用接口规范以及 SDK,易于用户二次开发6: 思科同时提供前段展示图形化界面 2017 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialTOP 10 TRENDS大数据分析的威力 -场景一1:网络整体状态:伦敦有 20%的终端有认证的故障;圣何塞有 40个终端 webex应用有故障;网络中一共有 10个 AP宕机,影响到 200个客户端2:今天最紧急的故障是在旧金山有14个 AP不能访问,大约 140个终端受到影响3:其它的网络故障以及网络的趋势 2017 Cisco and/or its affil
22、iates. All rights reserved. Cisco Confidential大数据分析的威力 -场景二1: GeorheBaker的 iphone在黄线所显示的时间段,使用体验出现不良状况2: GeorheBaker的 iphone在红线所显示的时间点无法接入网络,时间大概是在上午 9:30左右3: GeorheBaker的 iphone无法接入的原因是没有收到 DHCP Server 分配的 IP地址4: 同样的故障影响到 1K个客户端,分布在 10个建筑中5:通过路径示意图,可以发现网络联通性没有问题,故障原因是 DHCP Server出现故障 2017 Cisco and
23、/or its affiliates. All rights reserved. Cisco ConfidentialCatalyst 9000面向数字化时代的园区网交换平台 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential园区网交换机的新需求大二层是趋势,能解决现有网络的关键问题IOT,下一代无线网对 POE能力和接入带宽的需求交换机需要成为安全网元,这样才能实现网络整体防御Devops的出现,要求交换机具备更高的运算能力1234系统平滑升级,在线打补丁,减少维护时间5 2017 Cisco a
24、nd/or its affiliates. All rights reserved. Cisco Confidential安全Catalyst 9K 系列创新平台 Encrypted Traffic Analytics 256bit MacSec / IPSec Trustworthy Systems Group based policy Full Netflow for StealthWatchIoT CoAP / IoT Device profiling SD Bonjour Perpetual PoE IEEE 1588 / AVB Emerging Standards (e.g MUD
25、)云管理 /自动化 DevOps Toolkit Netconf/Yang Models Streaming telemetry Patching/GIR Application Hosting移动性 Fabric Enabled Wireless Embedded WLC Distributed Wireless Scale Unified Control & Policy Wired & Wireless GuestUADP 2.0Open IOS-XEX86 CPUCatalyst 9300替代 3850Catalyst 9400替代 4500Catalyst 9500替代 4500X/
26、3850 10G 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential功能Catalyst 交换机家族产品定位语音数据新时代网络功能安全IOT 移动性接入交换机固定配置交换机9300Up to 480G Stacking模块化交换机94009Tbps System b/w Performance: mGig, 1/10G uplink, 40G uplinks PoE Leadership: UPOE, Fast/Perpetual PoE High Availability: NSF/SSO, IS
27、SU (9400), PatchingSecurity: ETTA, MacSec 256, IPSecTrustworthy SystemsIoT Convergence: Perpetual PoE, IEEE 1588/AVB, SD BonjourCloud: Netconf/Yang models, Streaming Telemetry, App Hosting 接入交换机2960-X2960-XR电源和风扇冗余On-device Management, PnP, APIC EM, Prime Infra Stacking Routed Access DNS-AS, NaaS, Full Netflow 1/10/40G interfaces with Comprehensive Features at Scale High Availability: NSF/SSO, VSS大表项模块化交换机6800核心交换机视频传统网络功能性能固定配置交换机9500Mobility: eWLCSoftware Defined Access (SD-Access)接入交换机固定配置交换机3650Up to 160G Stacking mGig, 1/10G 10G uplinks NSF/SSO
