Post on 20-May-2015
Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации. Денис Коденцев
Системный инженер, CCIE
dkodents@cisco.com
Июнь 2014
2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Обзор решения Service Control § SCE 10000
§ vSCE
§ URL-фильтрация
§ Контент-фильтрация
3 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Абоненты
SCE 10000
4 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ 8x10G ports § 60 G and 480G (Cluster) § Support 20 million bi-
directional application flows § Up to 2M concurrent
subscribers and 2500 TPS § Backward compatible with
SM/ CM/ Insight and SCA BB
Subs
crib
ers
Throughput 5 Gbps 60 Gbps
1M
30 Gbps
2M
SCE10K
§ Pure SW Installable § Running on top of
hypervisor
Virtual SCE
§ 100 – 300G § 100G interfaces
SCE14K
300 Gbps
4M
SCE8000 § 1G/10G ports § 30G/240G (Cluster)
§ Up to 1M concurrent subscribers and 800 TPS
Сегодня
Июль’14
Середина’15
Июль’14
10 Gbps
20M
5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000 и vSCE станут доступны к заказу в Июле ’14!
Q3CY13 Q4CY13 Q1CY14 Q2CY14 Q3CY14 Q4CY14
5.0.0
4.2.0
4.1.0
PP35
4.0.0
PP37 PP38 PP39 PP40 PP41 PP42 PP43 ! ! !
5.1.0
PP42 PP43
SCE 8000
SCE10000 и vSCE
SCE 8000 SCE10000 и
vSCE ! !
!
Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Обзор SCE10000
7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Производите-льность – 60G Больше абонентов– 2M
Меньше места в стойке – 2RU Меньше потребление – 1200W
Sca
le
Infra
Архитектура нового поколения
SCE10000 vSCE NG Cluster
SCE14000
Масштабируемость
Единая платформа
Быстрая интеграция
Быстрый выпуск новых продуктов и решений
Уменьшение Capex вложений
Уменьшение TTM сервисов
8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
9
Cisco SCE10K
S:N pair is part of the same NIC
10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
10
Автоматическая настройка интерфейса управления
11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Позиционирование § SP/Enterprise/Public Sector/ Higher Education
customers looking for
§ Производительность до 60Gbps в одном устройстве
§ Кластер до 480 Gbps
Скорая доступность к заказу § Июль 2014
12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Архитектура § SCE10000 использует архитектуру SCE8000
§ Результат: Уменьшение TTM до 12 месяцев в сравнении с 18-24 месяцами средними для индустрии
§ Программная архитектура SCE10000 использует аппаратную архитектуру SCE8000
§ Приоритезация трафика § Эффективность при большой пропускной
способности и сложности политик § Минимизация задержки
§ Эффективный пропуск трафика в случае congestion
13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Совместимость с SCE8000 § 70% CLI SCE10000 аналогичны SCE8000. Только
30% CLI созданы дополнительно
§ Обратная совместимость с SM/ CM/ SCA BB и Broadhop QNS/ 3rd party Policy Servers/ OSS системами с минимальными затратами
§ Унифицированные SM/CM для всей линейки SCE
14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Аппаратное обеспечение § Встроенные Optical Bypass и SFP
§ Хранилище большого объема § В дальнейшем планируется использовать эту
опцию для различных приложений SCE10000
§ Легко выбрать подходящее решение § Выбирается только тип оптики LR или SR NIC
вместо комбинации Line Card + Optical Bypass + Optics
§ Все фиксированные элементы объединены в бандлы – SCE10000-8x10G-E
§ Выбор при заказе
§ NICs (SR or LR)
§ Storage (SSD or HDD)
§ Power Module (AC or DC)
15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Функциональность § Полная функциональная совместимость с SCE8K*
§ Встроенный оптический bypass
§ Возможность по внесению изменений в URL списки и Зоны без применения политики
§ Отказоустойчивость для БП и хранилища
§ Мониторинг в реальном времени
* Кроме CNR LEG и ISG-SCE BUS
16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Компоненты Тип Память (512 GB) Фиксировано
Процессор (4 CPUs x 10 Cores каждый)
Фиксировано
NIC (4 карты каждая по 2x10G) Встроенный оптический байпас SFP встроенны
На выбор SR или LR
Блоки питания (Резервированные) На выбор AC или DC
Встроенное хранилище На выбор HDD или SSD
Cisco Confidential 17 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000 vs SCE8000 Сравнение платформ
18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000 SCE8000
Интерфейсы 2 or 4 - 10G
8 or 16 – 1GBE 8 x 10G
Интерфейсы управления 2 x 10/ 100/ 1000 4 x 10/ 100/ 1000
Хранилище 4 GB 2x200 GB SSD or 2x300 GB HDD
Шасси 5 RU 2 RU
Потребление 1600 W 1200 W
Производительность 30 Gbps 60 Gbps
Макс.абонентов 1,000,000 2,000,000 #
# The values would be increased to 4M in CY15 release
19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000 SCE8000
Макс. Flows (Bi-Directional) 16 M 20 M
TPS (Gx & SM) 850 3000#
Gx + Gy 850 1400#
Quota TPS - QM 1000 1400#
Зоны 20K for v4/ 5K for v6
32K for v4/ 8K for v6
Subscriber/ Global Counters 48/ 192 64/ 256
RDR Rate 35K/sec 70K/sec
# The values would be increased in subsequent release
20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Одновременная поддержка максимального числа абонентов и flow SCE8000
250k Subs 16 M
500k Subs 15 M
750k Subs 14 M
1M Subs 13 M
SCE10000 2M Subs 20 M
21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Ключевой фактор, влияющий на максимальную производительность
SCE8000 * Ограничение backplane16 Gbps безотносительно размера пакета
22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Ключевые факторы для SCE10K • Max packets to be handled at FP, SP and PD
o PD – 16 mpps o FD – 16 mpps o SP – 14.5 mpps
• Max 10G links Actual BW is throughput
achieved at SP
core #k
CPU
Management NIC
SP
FP
core #n
core #m
core #n
core #m
core #k
Data Path NIC
CP+MTP
core #k
23 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Регион Тип SP SIMBA status
64-127
128-256
256-511
512-1023
1024-1518
1519 and above
Средний размер пакета
Европа Cable Single SIMBA
30.80 5.59 2.05 2.32 59.22 Not present 988.09
Япония Broadband Dual SIMBA
36.61 6.27 2.83 2.70 51.56 0.027 835.92
Средний восток Broadband Dual SIMBA
41.75 5.62 2.47 2.83 32.37 15.05 824.60
Европа Broadband Single SIMBA
43.77 4.78 2.51 2.90 44.32 1.69 782.75
Япония Mobile provider
Single SIMBA
46.44 4.80 3.34 3.13 42.27 Not present 693.88
The data is picked from support files for 36 hour interval to eliminate discrepancies due to peak-hour and off-peak-hour
24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Source: Amsterdam Internet Exchange (https://www.ams-ix.net/technical/statistics/sflow-stats/frame-size-distribution)
Тенденция к увеличению среднего размера пакета
25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Средний размер пакета Bandwidth
512 60 Gbps
576 (IPv4 Min MTU) 65 Gbps
620 70 Gbps
SCE10000 отлично сбалансирован для реальных применений
Cisco Confidential 26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
SCE10000 Планы по развитию
27 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Решения
Parental Control
Video Caching
Targeted Advertisements
Infra
NG Clustering Solution
Improve TPS
2nd IP to Management Interface
DNS Assisted Classification
Аналитика
Quota Reporting
NG clustering architecture Design NG clustering solution without the need for exclusive load balancers. Targeted cluster throughput – 300 Gbps
TPS improvement – Both login/logout and Quota Improve the TPS of both login/logout and Quota for SM/QM and Gx/Gy
28 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
BRAS Internet Gateway
SCE 1
SCE 2
SCE 3
S to N
N to S
Cluster interface
Cluster interface Cluster
interface
• Flows redirected to the handling SCE based on the IP address load balancing
29 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Распределение интерфейсов
• 6 data ports and 12 cluster ports in each SCE10000 • 3 dual ports NICs for data
• 3 quad port NICs for cluster
• Max of 7 SCEs could be clustered
• All SCEs are connected in a mesh topology
• Max achievable throughput in 1st release is ~300 Gbps
• 6 data port à 3 S:N pair
• 45 Gbps throughput achievable in each SCE
• 2x10G connectivity between each pair of SCE in mesh topology
Cisco Confidential 30 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Обзор vSCE
31 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• SDN/NFV are driving a shift to virtualized platforms running on standard servers or dedicated hardware
NFV/ SDN
• Preference for common HW and SW • To reduce CAPEX and power consumption • To reduce dependency on specialized skills to deploy custom HC
Generic HW
• Accelerate deployment of services by reducing procure-design-integrate-deploy cycle
Скорость внедрения
• Ability to rapidly scale up/down services as required Масштабируемость
32 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Позиционирование § SP/Enterprise/Public Sector/ Higher Education
customers looking for
§ Производительность до 5Gbps для одной VM
§ Service chaining (NFV/SDN)
Скорая доступность к заказу
§ Июль 2014
33 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Функциональность § ПО запускается над гиперпизором KVM на любой x86 платформе
§ Полное функциональное соответствие с SCE10000
§ Network Function Virtualization (NFV) ready
§ Возможность опробовать решение до приобретения больших платформ – SCE8K, SCE10K
34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Standalone Application
vSCE running as standalone application
on any COTS HW
Suitable for customers opting for ‘try-before-
you-buy’ solution
Facilitates customer to trial new solutions/
services
NFV Solution vSCE acting as VNF component running in
VM
vSCE is officially part of Cisco Evolved Services
Platform
HW agnostic support
35 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Абоненты
vSCE is compatible with external elements such as SM/ CM and SCA BB Virtualization of external elements (SM/CM) is currently possible
Виртуальная среда
36 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Subscribers
Part of vSCE Virtual Appliance – On demand elasticity of independent elements is possible
Load
Bal
ance
r
37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Virtualization lends itself well for Functions that have high control plane complexity, require low Data Plane bandwidth, and where higher latency is acceptable
§ In DPI, examples are: – Where DPI function is already centralized (e.g
GiLAN) – Where Data Plane requirement is low (e.g
enterprise customers, managed services)
§ Complexity moves from the operational burden of managing hardware appliances to the software mediation layer
Cloud Datacenter
GI-LAN | Consumer
DPI CGN WWW
FW CDN IPS
Virtual Private Cloud
NfV Services
DPI CPE WAAS
FW NAM IPS
Evolved Programmable Network
SP Data Center
Service Controller
38 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ The mobile core of today is comprised of "many boxes" built on "constrained" sheet metal NEs often using custom "computer" blades
§ NfV maps those functions to ‒ COTS computer blades (no “custom” blade pricing) ‒ Unbounded data center (no chassis)
§ NfV also replaces ‒ Physical connectivity with flexible software defined
network
‒ Physical hosts with flexible virtualized compute
§ NfV results in lower TCO which allow the operators cost structure to align with OTT competitors ‒ Lower capex structure ‒ Simplified cloud based operations
GGSN/PGW
VRF Internet VRFPhysical Compute, Network Storage
Virtualized Compute, Network Storage
MME/SGSN
PCRF
QSB
VO
WO
Classification
SDNControl
NATFW
IDS/IDP
SON
...LTE
12ABC3DEF
4GHI5JKL6MNO
7PQRS
8TUV9WXYZ
*0#
Signal Strength
RAN
3G
2G
Wi-‐Fi
Virtualization
QuantumService Bus
QuantumPolicy Server
PDN
REST
PDN-‐GW/GGSN
Rx
Sd/Gx+Gx
REST
SPR/UDR
NEAF
Gx
API-‐GW REST/XMPP
Quantum vGi-‐LAN
WOVO
NATDPI
URLFilteringPolicy
VPNFW
MediaNet Services
Quantum SON
RATM CDE
WiFi3G
LTESmall Cell
12ABC3DEF
4GHI5JKL6MNO
7PQRS
8TUV9WXYZ
*0#
Signal Strength
MSI
RANMSI
QuantumAnalytics
AnalyticsDashboard
Data
AnalyticsEngine
39 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
40 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
10G* 5G
# Performance is obtained using Intel NICs leveraging DPDK and CPU speed is 2.9 Ghz * Will be available only in future releases, tentatively Dec ’14
Интерфейсы 8x1G 2x10G
Абоненты 225,000 450,000
Ядра CPU# 10 16
TPS (Login/ Logout) 300 500
VLinks 2048 2048
Flow Introduction/ Acquisition Rate
195,000 flows/sec
390,000 flows/sec
41 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Ядра: 10 @ 2.9 Ghz • Память: 32 GB • Сетевые карты: 8x1G
Пример конфигурации UCS (UCS C220)#
UCSC-C220-M3L= UCS C220 M3 LFF w/o CPU, mem, HDD, PCIe, PSU, rail kit 1 Unit
UCS-CPU-E5-2667= 2.90 GHz E5-2667/130W 6C/15MB Cache/DDR3 1600MHz/NoHeatSink 2 Units
UCSC-PCIE-IRJ45= Intel Quad GbE adapter 2 Units
UCS-MR-1X162RZ-A= 16GB DDR3-1866-MHz RDIMM/PC3-14900/dual rank/x4/1.5v 2 Units
UCSC-PSU-450W= 450W power supply for C-series rack servers 1 Unit
# The above configuration only lists essential components
Cisco Confidential 42 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Использование DPI для контент-фильтрации
43 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Задача фильтрации контента § URL-фильтрация (blacklisting)
§ Контент-фильтрация § Родительский контроль § Автоматизация URL-фильтрации
§ О чем стоит помнить
44 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Выполнение ФЗ-139 § http://78.rkn.gov.ru/directions/p4592/p11530/
§ Родительский контроль
Cisco Confidential 45 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
URL-фильтрация на базе SCE
46 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco SCE
Абоненты
Сеть Интернет
HTTP GET Разрешенный URL
HTTP GET Разрешенный URL Запрещенный URL
DROP
Cisco SCE – Обработка только исходящего HTTP трафика (ассиметричный режим) – Контроль на основе статических URL/Domain/IP списков – Высокая масштабируемость
47 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Предполагает, что список фильтруемых ресурсов статический либо обновляется редко и не требует мгновенного применения оператором
§ Метод применим для выполнения ФЗ-139 § Список обновляется 2 раза в сутки § ФЗ требует применить ограничение к ресурсу в течение суток с момента появления ресурса в списке
§ Описание процесса настройки: § http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/
rel41x/scabbug/scabbug/07_SCA_BB_UG.html#wp1175199
48 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 1. Получение списка запрещенных ресурсов § Шаг 2. Формирование CSV файла в требуемом формате
§ http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel41x/scabbrg/scabbrg/05_SCA_BB_RG.html#wp998977
§ Два варианта CSV - Standard (расширенный) и Easy (упрощенный) § Standard
§ flavor name,flavor index,flavor type,host suffix,params prefix,URI suffix,URI prefix § например - NEWS,0,HTTP_URL,*.reuters.com,,,/news/*
§ Easy § например http://*.rapidshare.com/cgi-bin/upload*
49 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 3. Создание Flavor в SCA-BB
50 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 3. Создание Flavor в SCA-BB
51 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 4. Импорт CSV-файла
52 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Шаг 5. Создание сервиса для URL-фильтрации
53 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ HTTPS трафик § Глубина поиска HTTP GET в одном TCP потоке – влияет на точность блокировки и производительность DPI
§ ClickStream – что делает сам абонент, а не web страница?
54 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Простой процесс настройки § Высокая масштабируемость
§ Требуется адаптация списка Роскомнадзора в формат «понятный» SCE § Возможно реализовать с помощью различного рода скриптов-парсеров для текстовых/csv файлов
§ При изменении списка требует применения сервисной политики на SCE § в следующих версиях ПО это ограничение будет снято
Cisco Confidential 55 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Использование DPI для контент-фильтрации
56 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Динамическая URL-фильтрация
• Cisco SCE • Управление абонентскими контекстами • экспорт URL для анализа с использованием специального вида RDR
• контроль HTTP трафика абонентов в соответствии с заданной сервисной политикой и текущим состоянием URL кэша
• Внешняя система категоризации • Определение категории URL, полученных от Cisco SCE
• Обновление URL кэша на Cisco SCE через API
57 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Родительский контроль
• Cisco SCE • Управление абонентскими контекстами
• экспорт URL для анализа • контроль HTTP трафика абонентов
• ЦАИР • Определение категории URL, полученных от Cisco SCE
• Обновление URL кэша на Cisco SCE
58 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Динамическая URL-фильтрация. Выводы.
• При наличии возможности внешняя система может быть реализована оператором самостоятельно.
• Необходимо реализовать всего 2 функции при взаимодействии с SCE:
• Интерпретировать URL RDR • По окончании процесса категоризации запустить API функцию
Cisco Confidential 59 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Заключение и выводы
60 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Линейка Cisco SCE получила долгожданное развитие § SCE10K и vSCE, которые дополняют, а НЕ замещают существующее решение SCE8K!
§ Богатые планы по дальнейшему развитию линейки – SCE14K, vSCE на ASR9K VSM
§ Реализация контентной и URL фильтрации § статической или динамической § самостоятельно или с помощью партнеров Cisco
Вопросы?
Спасибо!