1 / 106

Réseau WAN vu de l’entreprise

http://dl.free.fr/kFB3ljra4/cours3-WAN.pdf. Réseau WAN vu de l’entreprise. Gilles Clugnac. SALES. HR. MANUFACTURING. FINANCE. PROCESSES BUSINESS. ERP. E-SALES. STORAGE. IPT. CORE. SUPPLY CHAIN. SECURITY. WIRELESS. INFRASTRUCTURE TECHNOLOGIQUE. APPLICATIONS ET SERVICES.

cutter
Télécharger la présentation

Réseau WAN vu de l’entreprise

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. http://dl.free.fr/kFB3ljra4/cours3-WAN.pdf Réseau WAN vu de l’entreprise Gilles Clugnac

  2. SALES HR MANUFACTURING FINANCE PROCESSES BUSINESS ERP E-SALES STORAGE IPT CORE SUPPLY CHAIN SECURITY WIRELESS INFRASTRUCTURE TECHNOLOGIQUE APPLICATIONSET SERVICES Quelles demandes pour un fournisseur d’infrastructure de communication? La quadrature du cercle ? • Je veux pouvoir accéder à mon SI où et quand je le désire avec le terminal le plus adapté !! • Flexibilité, Agilité Mon travail a évolué de la production vers les transactions et maintenant les interactions => Valeur ajoutée vers le client Plus de services pour moins cher => Contrôle des coûts, risques & complexité

  3. Convergence des réseaux

  4. Changement de paradigmeExemple : Vidéosurveillance intégrée Major Segments of Security INTRUSION INTRUSION DETECTION ID CREDENTIAL ID CREDENTIAL MANAGEMENT CCTV & DIGITAL CCTV & DIGITAL VIDEO SURVEILLANCE VIDEO SURVEILLANCE DATA & NETWORK SECURITY SECURITY ACCESS CONTROL VISITOR FIRE MANAGEMENT ALARM

  5. L’Internet des objets Temperature La vague suivante L’Internet des ordinateurs Products Cartons Shipping containers Objets connectés à travers les tags PCs Pallets Tires Pharmaceuticals PDAs/Handhelds Medical Assets People Pets IP Telephones Currency Weapons Rations Livestock Barcode Scanners Location Video Cameras Informations connectées à travers les capteurs Elevation Intrusion Speed Shock/movement Direction Pressure Light Chemicals

  6. Le réseau va connecter des milliards d’objets !! Users 2005 Forecast, Million Units Réseaux Actuels 500 Computers Phones 1,500 Réseaux Etendus Mobile Assets 350 Les nouveaux systèmes seront connectés sur le réseau IP universel Static Assets 375 Controllers 500 750 Smart Sensors Microprocessors and Microcontrollers 35,000 Source: Harbor Research, Inc., Forrester Research, Inc., IBSG

  7. Disponibilité et conformité Gestion de l’information Internet Data Center Internet Data Center Conformité Enterprise Data Center Enterprise Data Center Public Web Site Public Web Site Virtualisation 100s of Servers with Integrated Storage 100s of Servers with Integrated Storage Data Classification Engineering Services Engineering Services E-Mail IP Services E-Mail IP Services DNS DNS RADIUS RADIUS LDAP LDAP Operations Center Operations Center NAS Filers NAS Filers Securité E-Commerce Application E-Commerce Application 4-Tier Application App. Server 4-Tier Application App. Server E-Mail Appliances E-Mail Appliances JBOD JBOD Contrôle des coûts Multiple 2-Tier ERP Instances Multiple 2-Tier ERP Instances SLAs applicatifs Finance, HR, Payroll and EDI Tape Backup Finance, HR, Payroll and EDI Tape Backup Agilité Business Internet Data Center Internet Data Center Supply-Chain Management Supply-Chain Management Agilité Performance Mainframe Systems Mainframe Systems Disponibilité NCR DB Server Traditional Voice PBX In-House Developed Apps 2-Tier CRM Application NCR DB Server Traditional Voice PBX In-House Developed Apps 2-Tier CRM Application Croissance Data Warehousing Data Warehousing Un environnement IT complexe Automatisation Content Delivery Continuité d’activités Consolidation Tiered Storage • Operational Risk Management • Information Lifecycle Management • On-Demand, Utility Infrastructure Intégration applicative • Application Awareness and Optimization Infrastructure actuelle • Service Oriented Architecture

  8. Fondamentaux du réseau Extranet Internet Télétravailleur Agence WAN/MAN Campus Data Center Approche modulaireArchitectures de bout-en-bout Networked Infrastructure Layer Network Areas Server Storage Devices • Règles d’architecture • Architectures de référence par zone • Interopérabilité forte entre les zones • Continuité des Services • Garantie des SLAs de bout-en-bout • Solution Cisco • Recommandations validées par zone • Orientées déploiement de Services • Architectures cohérentes et globales Site B Modules du réseau Campus Agence Data Center Extranet Internet WAN/MAN Télétravailleur COUCHE D’INFRASTRUCTURE EN RESEAU Serveur Stockage Clients

  9. BGP between PEs BGP between PEs Users MPLS MAN (L1/2 P-P or Ring) MPLS MAN (L1/2 P-P or Ring) NG WAN P 7600 P 7600 LAN/WAN RR 7301 RR 7301 VPN opéré VPN déployé par l’Entreprise IGP between VRFs IGP between VRFs Compute MPLS-BGP VPN (2547-bis) VRF-Data VRF-Data VRF-Data VRF-Data MPLS-BGP VPN (2547-bis) 802.1Q 802.1Q 802.1Q 802.1Q P 12000 P 12000 VRF-Voice VRF-Voice SAN VRF-Voice VRF-Voice RS RS RS ORG-A Voice PE 7600 PE 7600 ORG-A Voice EoMPLS EoMPLS Disk/ Tape L3 Switch with VRF-Lite L3 Switch with VRF-Lite Adaptable Campus NG WAN NG WAN ORG-A Data Services de Virtualisation du réseau ORG-A Data Agence Télétravail Data Center Campus MAN/WAN Infrastructure Réseau WANEvolution des architectures de bout-en-bout Consolidated Data Center COUCHE D’INFRASTRUCTURE EN RESEAU WAN

  10. Multi-cast QoS HA Sécurité Network Management/Provisioning Construire une infrastructure cohérenteL’exemple de l’IP Communications

  11. Architectures WAN Pourquoi une Nouvelle Génération? Hier Aujourd’hui • Le WAN est un problème de transport • Facteurs critiques • Coût • Disponibilité • Débit • Approche architecturale fragmentée • Le WAN est un problème de généralisation de la fourniture de services • Facteurs critiques: • Coût/Disponibilité/Débit • Sécurité • Intégration de Services • Approche architecturale intégrée Le WAN fait partie de l’architecture globale du réseau

  12. Un Besoin de Segmentation • Accès invité • Internet access for customers, visitors, etc. • Contrôle d’Accès au Réseau • Quarantine and/or isolation during remediation • Accès partenaires • Onsite partners, limited server/application access • Séparation Groupes/Départments • Closed User Groups for divisions/teams sharing common work locations (e.g. Financial Banking/Trading) • Isolation des Applications/Systèmes • Isolating critical applications or devices, such as IPC, factory robots, point-of-sale terminals, etc. • Services Externalisés • Participating in multiple client networks (e.g. India ITS model) • Filiales / Fusions & Acquisitions • Enabling staged network consolidation, while companies are being merged • Entreprise Fournisseur de Services Réseaux (éventuellement source de revenus) • Shared service locations (e.g. Munich Airport “virtual” gate access) • Retail stores providing kiosk/on-location network access (e.g. Best Buy, Albertson’s, etc.) • Cisco Connected Real Estate (CCRE) (e.g. multi-tenant, strip malls, etc.) • Dynamique forte de création de projets • Closed User Groups between multiple companies during joint-ventures/collaborations L‘isolation des groupes est le principal besoin. Les attaques, virus, vers sont plus facilement confinés.Ils ne se progagent pas partout

  13. Enjeux du WANACHETER un service VPN ou CONSTRUIRE son réseau VPN? ACHETER UN SERVICE L3, IP VPN ACHETER un Service L1 ou L2 VPN Ratio is moving to 64% Mgd-VPN / 36%

  14. Enjeux de l’agenceAmener les Services aux utilisateurs • Information disponible dans tous les sites de l’entreprise • Besoin de performances dans le DataCenter comme pour l’utilisateur • Fiabilité de tout le système d’information • Architecture et Services réseaux transparents pour l’utilisateur • Les sites distants ou de télétravail ont des besoins au-delà de la simple connexion !

  15. IPNetwork Au global :Concentration des serveurs + utilisateurs distants 20% des utilisateurs 80% des utilisateurs Backup Client Workstations Consolidation des Ressources Tape Drives And Libraries NAS Disk Arrays ApplicationServers Consolidation Engine Optimisation de l’accès Printer Siège Agence

  16. Combien de routeurs ? Siège Opérateurs Agence IP VPN Campus/ Data Center Internet (ISP, Broadband, etc.) • WAN principalement fourni (IP, MPLS VPN, IPSEC) par un opérateur de connectivité [driver principal : le coût; services: IP, VPN (+ QoS)] • Services d’entreprises fournis par un intégrateur ou un opérateur à valeur ajouté [driver principal: le contrat de services; services: VPN chiffré, QoS, sécurité, IP Com, mobilité, optimisation applicative] • Délégation de Services via Role Based Access Control

  17. Combien de routeurs ? HSRP GLBP Siège Opérateurs Agence IP VPN Campus/ Data Center Internet (ISP, Broadband, etc.) • WAN principalement fourni (IP, MPLS VPN, IPSEC) par un opérateur de connectivité [driver principal : le coût; services: IP, VPN (+ QoS)] • Services d’entreprises fournis par un intégrateur ou un opérateur à valeur ajouté [driver principal: le contrat de services; services: VPN chiffré, QoS, sécurité, IP Com, mobilité, optimisation applicative] • Délégation de Services via Role Based Access Control

  18. VPN OPERE

  19. VPN A VPN A VPN C VPN B VPN C VPN B MP-iBGP or LDP IP data IP data VPN label VPN label IP IP data data IP data VPN label Core label MPLS – VirtualisationUne hiérarchie de labels MPLS Core

  20. Branch INTERNET Home Travel PSTN ISDN Branch ADSL/Cable Home Home Branch L3 VPN – MPLS-VPN Même service sur tous types de liens Regional Site TDM MUX LL INTERNET Remote Sites Frame-Relay ATM MPLS (Fiber / WDM / POS / Ethernet / ATM / FR / PPP, Tunnel) Central Site IPSec SharedServices Travel

  21. L3 VPN – MPLS-VPNQos de bout en bout Sites Regionaux Sites Distants QoS de bout en bout QoS niveau Application Modèle Par Classe Service Level Agreement Transparence QoS MPLS IP-VPN L2 VPN QoS Sites Distants Site Central End-to-End SLA mesurement Domaine DiffServ Hiérarchique / Ajout de TE pour le core

  22. L3 VPN – Exemple Typique de QoS5 profiles et 4 Cos 100 150 140 135 120 RELATIVE PORT PRICE First Executive Business Classic Standard 100% 25% 25% 50% 75% 75% Port % 50% 100% 50% # CoS 75% Real-Time 50% 25% Data-Interactive Data-LAN2LAN 25% 25% Best-Effort 0% Evolution vers 5 ou 6 Classes de Service PE-CE

  23. mpls mpls mpls mpls mpls mpls L3 VPN –Carrier Supporting Carrier • SP offre uniquement une VRF au client entreprise • Utilisation de labels entre le PE et CE (et non pas IP) • Le client utilise le backbone MPLS de l’opérateur pour construire son propre service MPLS VPN Customer VRF Sub-VPNs MPLS IP VPN Internet Customer routing

  24. 802.1q VRF VRF VRF L3 VPN – Multi-VRF CE (VRF-lite) • VRF : Création de plusieurs tables de routage et commutation séparées • Tables de routage séparées • Tables de forwarding séparées (FIB) • Association des interfaces (physiques ou logiques) dans les VRFs • Aujourd’hui, une solution assez classique • Demande plusieurs VRF sur le PE – Dépendance forte envers le SP • Exige plusieurs liens physiques ou logiques entre le PE et le CE – xDSL ? (utilisation possible de tunnels GRE CE-PE) GRE

  25. L3 VPN –Multi-VRF (VRF-Lite) Multi-VRF CE Extension de la fonctionnalité VPN dans le CPE et dans le campus pour continuer à fournir une segmentation sans avoir à mettre en place les fonctionnalités d’un PE complet PE2 Resources PE1 Partners SP IP VPN Multi-VRF CE2 Site 2 Contractors PE3 Guests/NAC Quarantine Multi-VRF CE1 Site 1 Séparation logique de niveau 3 à l’intérieur du CE au travers de la fonction Multi-VRF Séparation Logique dans le campus via des VLANs ou même VRF sur les Catalyst Le SP fournit plusieurs VPNs pour la même entreprise Multi-VRF CE3 Site 3

  26. PE PE PWES L2 VPNsLe modèle de référence Pseudo Wire Site A2 Site A1 PSN Tunnel Pseudo Wires PWES PWES PWES Site B1 PWES Site B2 EMULATED SERVICE Un Pseudo Wire (PW) est une connexion entre deux PE permettant de connecter deux Pseudo Wire End-Services (PWESs) Les types de service Point à Point: • Ethernet • 802.1Q (VLAN) • ATM VC or VP • HDLC • PPP • Frame Relay VC

  27. Any Transport over MPLS AToM • Service Point à point • Hub and Spoke au travers de plusieurs circuits P2P circuits depuis le site central • Support interworking pour des circuits de type différents • Idéal pour • Remplacement du WAN traditionnel (Modèle Frame Relay) • Liaison dédiée P2P dans le MAN Remote Sites Central Site L2VPN L2 Hub and Spoke— Point-to-Point Virtual Private LAN Service VPLS • Service Multipoint • Access Ethernet vers le SP • Le backbone SP émule un bridge LAN (réseau commuté à plat) • Evolutivité ? • Traitement des flux Multicast Remote Sites Central Site L2VPN L2 Full mesh— Point-to-Multipoint L2 VPNsAToM vs VPLS

  28. VPN DEPLOYE PAR L’ENTREPRISE

  29. Tunnel Label VC Label Red-6500 Red-6500 103 89 Payload L2VPN – Interconnexion de DataCentersUtilisation de EoMPLS pseudowire-class eompls encapsulation mpls interface GigabitEthernet1/4.601 encapsulation dot1Q 601 xconnect 125.1.125.13 601 pw-class eompls Loop0 125.1.125.13 CE1 CE2 PE1 PE2 Data Center 1 MPLS Network Data Center 2 7600-LC-PE2#sh mpls l2transport vc det Local interface: Gi1/4.601 up, line protocol up, Eth VLAN 601 up Destination address: 125.1.125.13, VC ID: 601, VC status: up Tunnel label: 103, next hop 125.1.103.26 Output interface: Gi1/3, imposed label stack {103 89} Create time: 1w3d, last status change time: 1d02h Signaling protocol: LDP, peer 125.1.125.13:0 up MPLS VC labels: local 49, remote 89 Group ID: local 0, remote 0 MTU: local 9000, remote 9000 Remote interface description: Sequencing: receive disabled, send disabled Jumbo frame support: Ensure all interfaces have it enabled in the forwarding path

  30. Service de L3 VPN MPLS-VPN par l’entreprise elle-même CE VRF CE iBGP—VPNv4 Label Exchange VRF PE-CE Routing Protocol LDP LDP PE LDP PE CE iBGP—VPNv4 iBGP—VPNv4 PE CE VRF CE

  31. IPSec VPN dans le WAN EnterpriseApplicationsClients Pourquoi utiliser un VPN IPSec ? • Encryption sur les liens WAN traditionnels (par exemple FR, ATM, LL) • Conformité aux nouvelles législations : HIPAA, Sarbanes-Oxley (S-Ox), Basel Agreement (Europe), etc. • Migration d’un WAN traditionnel vers un service bas-coût (exemple Internet, broadband) • Utilisation d’un service Internet comme WAN secondaire, comme backup ou comme lien pour le trafic non critique et bande passante importante • Extension des services de sites vers les télétravailleurs

  32. Utilisation d’un IP-VPN OpérateurArchitecture Typique SPIP VPN eBGP Internet HSRP Or iBGP eBGP

  33. Utilisation de Tunnels sur IP-VPNs Multi-point GRE mGRE avec NHRP (RFC2332) IP VPN eBGP mptp Internet eBGP mptp • Backup avec les fonctionnalités de l’IGP • rapidité, réglable avec les backoff timers • Routage site isolé du SP • Support des flux multicast

  34. Utilisation de Tunnels sur IP-VPNsMulti-point GRE + IPSEC DMVPN sur MPLS-VPN IP VPN mptp eBGP Internet eBGP mptp • Backup avec les fonctionnalités de l’IGP • rapidité, réglable avec les backoff timers • Routage site isolé du SP • Support des flux multicast • Les flux sont encryptés • Les PKI sont gérées par l’entreprise

  35. VPN OPERE Stratégie d’outsourcing (CPE/Routage/QoS managés) Pas de MPLS demandé sur le CE Bien adapté pour un petit nombre de VRFs Possibilité de garder la main sur quelques services, mais assez peu Mais Augmentation dépendance envers le SP L’ajout d’un VPN se traduit par la création d’une sous-interface sur tous les sites concernés Le coût peut devenir prohibitif en fonction du nombre de VRF et de sites VPN DEPLOYE PAR ENTREPRISE Stratégie d’insourcing Services de Segmentation IP Accroissment de la Sécurité (Closed Users Groups) Isolation/réduction des vers Construction d’un réseau de type SP à destination de clients internes à l’entreprise Facilité d’intégration des nouvelles entités ou des partenaires Consolidation datacenter Virtualisation accès Front-end Centralisation services réseaux extension VLAN via MAN/WAN SynthèseOpéré versus Déployé par l’Entreprise

  36. Qualité de service

  37. VoIP ERP Multimedia VPN Web/URL Multiservice IP Applications Bandwidth in 10Kbps Rare Loss Latency < 150ms Jitter < 30ms Bandwidth in 10Kbps TCP Controlled Loss Latency < 300ms No Jitter sensitivity Bandwidth in Mbps Rare Loss Latency < 300ms Jitter < 300ms Latency in S Jitter in S Bursty Bandwidth Resilient to Loss No Latency control Do not care of Jitter Non-Uniform Network Traffic Demands QoS

  38. So, What Is Quality of Service? “Collection of technologies which allows applications/users to request and receive predictable service levels in terms of data throughput capacity (bandwidth), latency variations(jitter) and delay”

  39. QoS Factors Delay (Latency) Delay- Variation (Jitter) Packet Loss

  40. Delay Target Effects of Latency on Voice Hello? Hello? Avoid the “Human Ethernet” CB Zone Satellite Quality Fax Relay, Broadcast High Quality 0 100 200 300 400 500 600 700 800 Time (msec) ITU’s G.114 Recommendation: ≤ 150msec One-Way Delay

  41. CODEC Queuing Serialization Propagation& Network Jitter Buffer G.729A: 25 ms Variable Variable Fixed (6.3 s / Km) +Network Delay(Variable) 20-50 ms Elements That Affect Latency and Jitter PSTN SRST router IP WAN Branch Office Campus End-to-End Delay (Must be ≤ 150 ms)

  42. Router Latency: less than 100 usec for Cisco 7500 (64-byte packets, varies with packet sizes) Insertion Delay (a.k.a. Serialization Delay) Example with 250-byte packet: 16 msec on 256 Kbps link 1 msec on 2 Mbps link 0,2 msec on 10 Mbps link 0,02 msec on 100Mbps link Queuing Delay= queue depth x insertion delay Example: Queue-length = 40 at 256Kbps = 640ms delay Queue-length = 40 at 2 Mbps = 80ms delay Delay and Latency • Effect of RTT with 16k window • 500µs  270 Mbps • 12ms  10 Mbps • 120ms  1 Mbps

  43. Voice 3 Reconstructed Voice Sample Voice 1 Voice 2 Voice 4 Voice 1 Voice 2 Voice 3 Voice 4 Voice 3 Voice 3 Packet Loss Limitations • Cisco DSP Codecs can use predictor algorithms to compensate for a single lost packet in a row • two lost packets in a row will cause an audible clip in the conversation

  44. Latency ≤ 150 ms Jitter ≤ 30 ms Loss ≤ 1% 17-106 kbps guaranteed priority bandwidth per call 150 bps (+ layer 2 overhead) guaranteed bandwidth for Voice-Control traffic per call Voice One-way requirements Smooth Benign Drop Sensitive Delay Sensitive UDP Priority QoS Requirements for Voice

  45. One-way requirements QoS Requirements for Video-Conferencing Video • Latency ≤ 150 ms • Jitter ≤ 30 ms • Loss ≤ 1% • Minimum priority bandwidth guarantee required is: Video-Stream + 20% • e.g. a 384 kbps stream would require 460 kbps of priority bandwidth Bursty Greedy Drop Sensitive Delay Sensitive UDP Priority

  46. Different applications have different traffic characteristics Different versions of the same application can have different traffic characteristics Classify Data into relative-priority model with no more than four classes: Gold: Mission-Critical Apps (ERP Apps, Transactions) Silver: Guaranteed-Bandwidth (Intranet, Messaging) Bronze: Best-Effort (Email, Internet) Less-Than-Best-Effort: Scavenger (FTP, Backups, Napster/Kazaa) QoS Requirements for Data Data Smooth/Bursty Benign/Greedy Drop Insensitive Delay Insensitive TCP Retransmits

  47. IntServ / DiffServ Models IntServ / RSVP Best Effort DiffServ 2. Per applicationflow reservation 1. The original IP service 5. Per Class of Service Bandwidth Reservation SLA Per-flow state No state state

  48. DS field RFC 2474 Differentiated ServicesShare ressources via Classes of Services DSCP CU Voice (ToIP / Video) Real time queue(EF=RFC 3246) Platinium Guaranted service,(AF=RFC 2597) Minimum / Maximum controled Video distribution Streaming Guaranted service,(AF=RFC 2597) Guaranted bandwidth low level ofdrop Legacy(SNA, …) Gold E-Commerce, E-business (ERP, SCM, ...) Premium IP,(AF=RFC 2597) Guaranted bandwidth Silver Best effort Minimum bandwidth guaranted High level of Overbooking E-mail,Web Bronze Architecture RFC 2474, 2475

  49. Classification Shaping VoIP VoIP Bus Bus Best- Effort Best- Effort Access queueing VoIP VoIP Bus Bus Policing Best- Effort Best- Effort Core Queueing Diffserv Architecture: RFC2475

  50. Classification: Mark the packets with a specific priority denoting a requirement for class of service from the network Trust Boundary: Define and enforce a trust boundary at the network edge Scheduling: Assign packets to one of multiple queues (based on classification) for expedited treatment throughout the network; use congestion avoidance for data Provisioning: Accurately calculate the required bandwidth for all applications plus element overhead Design Approach to Enabling QoS PSTN IP WAN Branch Office Campus

More Related