Развитие решений Cisco Service Control. Использование DPI для...

Развитие решений Cisco Service Control. Использование DPI для контент-фильтрации. Денис Коденцев

Системный инженер, CCIE

[email protected]

Июнь 2014

2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

§  Обзор решения Service Control §  SCE 10000

§  vSCE

§  URL-фильтрация

§  Контент-фильтрация


Абоненты

SCE 10000


§  8x10G ports §  60 G and 480G (Cluster) §  Support 20 million bi-

directional application flows §  Up to 2M concurrent

subscribers and 2500 TPS §  Backward compatible with

SM/ CM/ Insight and SCA BB

Subs

crib

ers

Throughput 5 Gbps 60 Gbps

1M

30 Gbps

2M

SCE10K

§  Pure SW Installable §  Running on top of

hypervisor

Virtual SCE

§  100 – 300G §  100G interfaces

SCE14K

300 Gbps

4M

SCE8000 § 1G/10G ports § 30G/240G (Cluster)

§ Up to 1M concurrent subscribers and 800 TPS

Сегодня

Июль’14

Середина’15

Июль’14

10 Gbps

20M


SCE10000 и vSCE станут доступны к заказу в Июле ’14!

Q3CY13 Q4CY13 Q1CY14 Q2CY14 Q3CY14 Q4CY14

5.0.0

4.2.0

4.1.0

PP35

4.0.0

PP37 PP38 PP39 PP40 PP41 PP42 PP43 ! ! !

5.1.0

PP42 PP43

SCE 8000

SCE10000 и vSCE

SCE 8000 SCE10000 и

vSCE ! !

!

Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Обзор SCE10000


Производите-льность – 60G Больше абонентов– 2M

Меньше места в стойке – 2RU Меньше потребление – 1200W

Sca

le

Infra

Архитектура нового поколения

SCE10000 vSCE NG Cluster

SCE14000

Масштабируемость

Единая платформа

Быстрая интеграция

Быстрый выпуск новых продуктов и решений

Уменьшение Capex вложений

Уменьшение TTM сервисов


9

Cisco SCE10K

S:N pair is part of the same NIC


10

Автоматическая настройка интерфейса управления


Позиционирование §  SP/Enterprise/Public Sector/ Higher Education

customers looking for

§  Производительность до 60Gbps в одном устройстве

§  Кластер до 480 Gbps

Скорая доступность к заказу §  Июль 2014


Архитектура §  SCE10000 использует архитектуру SCE8000

§  Результат: Уменьшение TTM до 12 месяцев в сравнении с 18-24 месяцами средними для индустрии

§  Программная архитектура SCE10000 использует аппаратную архитектуру SCE8000

§  Приоритезация трафика §  Эффективность при большой пропускной

способности и сложности политик §  Минимизация задержки

§  Эффективный пропуск трафика в случае congestion


Совместимость с SCE8000 §  70% CLI SCE10000 аналогичны SCE8000. Только

30% CLI созданы дополнительно

§  Обратная совместимость с SM/ CM/ SCA BB и Broadhop QNS/ 3rd party Policy Servers/ OSS системами с минимальными затратами

§  Унифицированные SM/CM для всей линейки SCE


Аппаратное обеспечение §  Встроенные Optical Bypass и SFP

§  Хранилище большого объема §  В дальнейшем планируется использовать эту

опцию для различных приложений SCE10000

§  Легко выбрать подходящее решение §  Выбирается только тип оптики LR или SR NIC

вместо комбинации Line Card + Optical Bypass + Optics

§  Все фиксированные элементы объединены в бандлы – SCE10000-8x10G-E

§  Выбор при заказе

§  NICs (SR or LR)

§  Storage (SSD or HDD)

§  Power Module (AC or DC)


Функциональность §  Полная функциональная совместимость с SCE8K*

§  Встроенный оптический bypass

§  Возможность по внесению изменений в URL списки и Зоны без применения политики

§  Отказоустойчивость для БП и хранилища

§  Мониторинг в реальном времени

* Кроме CNR LEG и ISG-SCE BUS


Компоненты Тип Память (512 GB) Фиксировано

Процессор (4 CPUs x 10 Cores каждый)

Фиксировано

NIC (4 карты каждая по 2x10G) Встроенный оптический байпас SFP встроенны

На выбор SR или LR

Блоки питания (Резервированные) На выбор AC или DC

Встроенное хранилище На выбор HDD или SSD


SCE10000 vs SCE8000 Сравнение платформ


SCE10000 SCE8000

Интерфейсы 2 or 4 - 10G

8 or 16 – 1GBE 8 x 10G

Интерфейсы управления 2 x 10/ 100/ 1000 4 x 10/ 100/ 1000

Хранилище 4 GB 2x200 GB SSD or 2x300 GB HDD

Шасси 5 RU 2 RU

Потребление 1600 W 1200 W

Производительность 30 Gbps 60 Gbps

Макс.абонентов 1,000,000 2,000,000 #

# The values would be increased to 4M in CY15 release


SCE10000 SCE8000

Макс. Flows (Bi-Directional) 16 M 20 M

TPS (Gx & SM) 850 3000#

Gx + Gy 850 1400#

Quota TPS - QM 1000 1400#

Зоны 20K for v4/ 5K for v6

32K for v4/ 8K for v6

Subscriber/ Global Counters 48/ 192 64/ 256

RDR Rate 35K/sec 70K/sec

# The values would be increased in subsequent release


•  Одновременная поддержка максимального числа абонентов и flow SCE8000

250k Subs 16 M

500k Subs 15 M

750k Subs 14 M

1M Subs 13 M

SCE10000 2M Subs 20 M


Ключевой фактор, влияющий на максимальную производительность

SCE8000 * Ограничение backplane16 Gbps безотносительно размера пакета


Ключевые факторы для SCE10K •  Max packets to be handled at FP, SP and PD

o  PD – 16 mpps o  FD – 16 mpps o  SP – 14.5 mpps

•  Max 10G links Actual BW is throughput

achieved at SP

core #k

CPU

Management NIC

SP

FP

core #n

core #m

core #n

core #m

core #k

Data Path NIC

CP+MTP

core #k


Регион Тип SP SIMBA status

64-127

128-256

256-511

512-1023

1024-1518

1519 and above

Средний размер пакета

Европа Cable Single SIMBA

30.80 5.59 2.05 2.32 59.22 Not present 988.09

Япония Broadband Dual SIMBA

36.61 6.27 2.83 2.70 51.56 0.027 835.92

Средний восток Broadband Dual SIMBA

41.75 5.62 2.47 2.83 32.37 15.05 824.60

Европа Broadband Single SIMBA

43.77 4.78 2.51 2.90 44.32 1.69 782.75

Япония Mobile provider

Single SIMBA

46.44 4.80 3.34 3.13 42.27 Not present 693.88

The data is picked from support files for 36 hour interval to eliminate discrepancies due to peak-hour and off-peak-hour


Source: Amsterdam Internet Exchange (https://www.ams-ix.net/technical/statistics/sflow-stats/frame-size-distribution)

Тенденция к увеличению среднего размера пакета


Средний размер пакета Bandwidth

512 60 Gbps

576 (IPv4 Min MTU) 65 Gbps

620 70 Gbps

SCE10000 отлично сбалансирован для реальных применений


SCE10000 Планы по развитию


Решения

Parental Control

Video Caching

Targeted Advertisements

Infra

NG Clustering Solution

Improve TPS

2nd IP to Management Interface

DNS Assisted Classification

Аналитика

Quota Reporting

NG clustering architecture Design NG clustering solution without the need for exclusive load balancers. Targeted cluster throughput – 300 Gbps

TPS improvement – Both login/logout and Quota Improve the TPS of both login/logout and Quota for SM/QM and Gx/Gy


BRAS Internet Gateway

SCE 1

SCE 2

SCE 3

S to N

N to S

Cluster interface

Cluster interface Cluster

interface

•  Flows redirected to the handling SCE based on the IP address load balancing


Распределение интерфейсов

•  6 data ports and 12 cluster ports in each SCE10000 •  3 dual ports NICs for data

•  3 quad port NICs for cluster

•  Max of 7 SCEs could be clustered

•  All SCEs are connected in a mesh topology

•  Max achievable throughput in 1st release is ~300 Gbps

•  6 data port à 3 S:N pair

•  45 Gbps throughput achievable in each SCE

•  2x10G connectivity between each pair of SCE in mesh topology


Обзор vSCE


• SDN/NFV are driving a shift to virtualized platforms running on standard servers or dedicated hardware

NFV/ SDN

• Preference for common HW and SW • To reduce CAPEX and power consumption • To reduce dependency on specialized skills to deploy custom HC

Generic HW

• Accelerate deployment of services by reducing procure-design-integrate-deploy cycle

Скорость внедрения

• Ability to rapidly scale up/down services as required Масштабируемость


Позиционирование §  SP/Enterprise/Public Sector/ Higher Education

customers looking for

§  Производительность до 5Gbps для одной VM

§  Service chaining (NFV/SDN)

Скорая доступность к заказу

§  Июль 2014


Функциональность §  ПО запускается над гиперпизором KVM на любой x86 платформе

§  Полное функциональное соответствие с SCE10000

§  Network Function Virtualization (NFV) ready

§  Возможность опробовать решение до приобретения больших платформ – SCE8K, SCE10K


Standalone Application

vSCE running as standalone application

on any COTS HW

Suitable for customers opting for ‘try-before-

you-buy’ solution

Facilitates customer to trial new solutions/

services

NFV Solution vSCE acting as VNF component running in

VM

vSCE is officially part of Cisco Evolved Services

Platform

HW agnostic support


Абоненты

vSCE is compatible with external elements such as SM/ CM and SCA BB Virtualization of external elements (SM/CM) is currently possible

Виртуальная среда


Subscribers

Part of vSCE Virtual Appliance – On demand elasticity of independent elements is possible

Load

Bal

ance

r


§  Virtualization lends itself well for Functions that have high control plane complexity, require low Data Plane bandwidth, and where higher latency is acceptable

§  In DPI, examples are: –  Where DPI function is already centralized (e.g

GiLAN) –  Where Data Plane requirement is low (e.g

enterprise customers, managed services)

§  Complexity moves from the operational burden of managing hardware appliances to the software mediation layer

Cloud Datacenter

GI-LAN | Consumer

DPI CGN WWW

FW CDN IPS

Virtual Private Cloud

NfV Services

DPI CPE WAAS

FW NAM IPS

Evolved Programmable Network

SP Data Center

Service Controller


§  The mobile core of today is comprised of "many boxes" built on "constrained" sheet metal NEs often using custom "computer" blades

§  NfV maps those functions to ‒  COTS computer blades (no “custom” blade pricing) ‒  Unbounded data center (no chassis)

§  NfV also replaces ‒  Physical connectivity with flexible software defined

network

‒  Physical hosts with flexible virtualized compute

§  NfV results in lower TCO which allow the operators cost structure to align with OTT competitors ‒  Lower capex structure ‒  Simplified cloud based operations

GGSN/PGW

VRF Internet VRFPhysical Compute, Network Storage

Virtualized Compute, Network Storage

MME/SGSN

PCRF

QSB

VO

WO

Classification

SDNControl

NATFW

IDS/IDP

SON

...LTE

12ABC3DEF

4GHI5JKL6MNO

7PQRS

8TUV9WXYZ

*0#

Signal Strength

RAN

3G

2G

Wi-‐Fi

Virtualization

QuantumService Bus

QuantumPolicy Server

PDN

REST

PDN-‐GW/GGSN

Rx

Sd/Gx+Gx

REST

SPR/UDR

NEAF

Gx

API-‐GW REST/XMPP

Quantum vGi-‐LAN

WOVO

NATDPI

URLFilteringPolicy

VPNFW

MediaNet Services

Quantum SON

RATM CDE

WiFi3G

LTESmall Cell

12ABC3DEF

4GHI5JKL6MNO

7PQRS

8TUV9WXYZ

*0#

Signal Strength

MSI

RANMSI

QuantumAnalytics

AnalyticsDashboard

Data

AnalyticsEngine


10G* 5G

# Performance is obtained using Intel NICs leveraging DPDK and CPU speed is 2.9 Ghz * Will be available only in future releases, tentatively Dec ’14

Интерфейсы 8x1G 2x10G

Абоненты 225,000 450,000

Ядра CPU# 10 16

TPS (Login/ Logout) 300 500

VLinks 2048 2048

Flow Introduction/ Acquisition Rate

195,000 flows/sec

390,000 flows/sec


•  Ядра: 10 @ 2.9 Ghz •  Память: 32 GB •  Сетевые карты: 8x1G

Пример конфигурации UCS (UCS C220)#

UCSC-C220-M3L= UCS C220 M3 LFF w/o CPU, mem, HDD, PCIe, PSU, rail kit 1 Unit

UCS-CPU-E5-2667= 2.90 GHz E5-2667/130W 6C/15MB Cache/DDR3 1600MHz/NoHeatSink 2 Units

UCSC-PCIE-IRJ45= Intel Quad GbE adapter 2 Units

UCS-MR-1X162RZ-A= 16GB DDR3-1866-MHz RDIMM/PC3-14900/dual rank/x4/1.5v 2 Units

UCSC-PSU-450W= 450W power supply for C-series rack servers 1 Unit

# The above configuration only lists essential components


Использование DPI для контент-фильтрации


§  Задача фильтрации контента §  URL-фильтрация (blacklisting)

§  Контент-фильтрация §  Родительский контроль §  Автоматизация URL-фильтрации

§  О чем стоит помнить


§  Выполнение ФЗ-139 §  http://78.rkn.gov.ru/directions/p4592/p11530/

§  Родительский контроль


URL-фильтрация на базе SCE


Cisco SCE

Абоненты

Сеть Интернет

HTTP GET Разрешенный URL

HTTP GET Разрешенный URL Запрещенный URL

DROP

Cisco SCE –  Обработка только исходящего HTTP трафика (ассиметричный режим) –  Контроль на основе статических URL/Domain/IP списков –  Высокая масштабируемость


§  Предполагает, что список фильтруемых ресурсов статический либо обновляется редко и не требует мгновенного применения оператором

§  Метод применим для выполнения ФЗ-139 §  Список обновляется 2 раза в сутки §  ФЗ требует применить ограничение к ресурсу в течение суток с момента появления ресурса в списке

§  Описание процесса настройки: §  http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/

rel41x/scabbug/scabbug/07_SCA_BB_UG.html#wp1175199


§  Шаг 1. Получение списка запрещенных ресурсов §  Шаг 2. Формирование CSV файла в требуемом формате

§  http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel41x/scabbrg/scabbrg/05_SCA_BB_RG.html#wp998977

§  Два варианта CSV - Standard (расширенный) и Easy (упрощенный) §  Standard

§  flavor name,flavor index,flavor type,host suffix,params prefix,URI suffix,URI prefix §  например - NEWS,0,HTTP_URL,*.reuters.com,,,/news/*

§  Easy §  например http://*.rapidshare.com/cgi-bin/upload*


§  Шаг 3. Создание Flavor в SCA-BB


§  Шаг 4. Импорт CSV-файла


§  Шаг 5. Создание сервиса для URL-фильтрации


§  HTTPS трафик §  Глубина поиска HTTP GET в одном TCP потоке – влияет на точность блокировки и производительность DPI

§  ClickStream – что делает сам абонент, а не web страница?


§  Простой процесс настройки §  Высокая масштабируемость

§  Требуется адаптация списка Роскомнадзора в формат «понятный» SCE §  Возможно реализовать с помощью различного рода скриптов-парсеров для текстовых/csv файлов

§  При изменении списка требует применения сервисной политики на SCE §  в следующих версиях ПО это ограничение будет снято


Использование DPI для контент-фильтрации


Динамическая URL-фильтрация

•  Cisco SCE •  Управление абонентскими контекстами •  экспорт URL для анализа с использованием специального вида RDR

•  контроль HTTP трафика абонентов в соответствии с заданной сервисной политикой и текущим состоянием URL кэша

•  Внешняя система категоризации •  Определение категории URL, полученных от Cisco SCE

•  Обновление URL кэша на Cisco SCE через API


Родительский контроль

•  Cisco SCE •  Управление абонентскими контекстами

•  экспорт URL для анализа •  контроль HTTP трафика абонентов

•  ЦАИР •  Определение категории URL, полученных от Cisco SCE

•  Обновление URL кэша на Cisco SCE


Динамическая URL-фильтрация. Выводы.

•  При наличии возможности внешняя система может быть реализована оператором самостоятельно.

•  Необходимо реализовать всего 2 функции при взаимодействии с SCE:

•  Интерпретировать URL RDR •  По окончании процесса категоризации запустить API функцию


Заключение и выводы


§  Линейка Cisco SCE получила долгожданное развитие §  SCE10K и vSCE, которые дополняют, а НЕ замещают существующее решение SCE8K!

§  Богатые планы по дальнейшему развитию линейки – SCE14K, vSCE на ASR9K VSM

§  Реализация контентной и URL фильтрации §  статической или динамической §  самостоятельно или с помощью партнеров Cisco

Вопросы?

Спасибо!

Развитие решений Cisco Service Control. Использование DPI для...

Technology

Transcript of Развитие решений Cisco Service Control. Использование DPI для...