Cisco Catalyst 8000V
 

Cisco Catalyst 8000V to wysoce wydajna i elastyczna platforma wirtualna urządzenia brzegowego. Może działać na dowolnej platformie x86 zarówno w środowisku chmury publicznej, jak i prywatnej. Nadaje się do pracy jako firewall i urządzenie UTD (Unified Threat Defense) chroniące niewielką sieć, bezpieczna brama do usług chmurowych (Cloud OnRamp i SASE) czy router. Pozycjonuje się je na brzeg chmur prywatnych i publicznych.



Wykorzystują system Cisco IOS XE z dodatkową obsługą SD-WAN. Dzięki temu można nimi zarządzać w trybie autonomicznym lub z użyciem scentralizowanego kontrolera Cisco SD-WAN. 

Cisco Catalyst 8000V posiada o wiele większą funkcjonalność i skalowalność, względem standardowych bram (ang. gateway), jakie dostępne są w znanych paltformach chmurowych. Jego dodatkową zaletą jest możliwość ujednolicenia stosowanych polityk bezpieczeństwa i jakości dla ruchu aplikacyjnego w ramach całej organizacji, łącznie z jej usługami w chmurach publicznych. Cisco Catalyst 8000V mogą być zarządzanie w sposób autonomiczny lub scentralizowany z użyciem Cisco SD-WAN lub własnego kontrolera SDN. Jeżeli wybierzemy Cisco SD-WAN to także pierwszorazowe wdrożenie ich wewnątrz chmur publicznych czy potem dalsza konfiguracja będzie mogła odbywać się bezpośrednio z interfejsu kontrolera vManage (Cisco SD-WAN).


Oczywiście można też stosować własne rozwiązania do zarządzania i monitorowania. Urządzenia brzegowe z serii Cisco Catalyst 8000 obsługują model danych YANG i protokoły NETCONF i RESTCONF. Dzięki temu można je samodzielnie skonfigurować wedle własnego uznania, czy to ręcznie z użyciem CLI, czy poprzez jakiś inny systemu do automatyzacji, jak dla przykładu Red Hat Ansible Automation czy Cisco NSO.

Rozwiązania firmy Cisco Systems, są bardzo elastyczne. Można korzystać tylko z tradycyjnych i dostępnych w innych rozwiązaniach technologii i protokołów. W niektórych miejscach można dodatkowo wesprzeć sieć tym, co jest unikalne dla Cisco, ale jest czymś kluczowym dla bezpieczeństwa i działania naszej organizacji.

Można opracować swoją architekturę przy użyciu tradycyjnych protokołów routingu czy rozwiązań VPN lub skorzystać z gotowej architektury "zrób to sam", jak Cisco IWAN (Intelligent WAN) i skonfigurować wszystko ręcznie. Można też skorzystać z własnego rozwiązania SDN lub z rozwiązania "pod klucz", jakim jest Cisco SD-WAN.

Budowanie z Cisco, to więcej niż jeden wybór. Lepiej go mieć!


Pojedyncze urządzenie brzegowe Cisco Catalyst 8000V można elastycznie skalować, zwiększając ilość vCPU i pamięci RAM wraz ze wzrostem wymagań. W chmurach publicznych dostępne są instancje o różnej wielkości. Cisco Catalyst 8000V może posiadać od 1 do 16 vCPU i od 4 do 16GB RAM. Musi posiadać minimum 2 interfejsy sieciowe, a ich maksymalna ilość zależna jest od limitów wybranego środowiska do wirtualizacji czy chmury.

Cisco Catalyst 8000V to urządzenie VNF (Network Function Virtualization), zajmujące się m.in. rozkładem obciążenia, obsługą VPN, wykrywaniem zagrożeń w ruchu, analizą i filtrowaniem ruchu, kierowaniem ruchu czy jego akceleracją. Do podłączania jego interfejsów możemy wykorzystać parawirtualizację NIC, interfejs o bezpośrednim dostępie (PCI Pass-Through), SR-IOV lub VM-FEX.

Dzięki SR-IOV (Single-Root Input/Output Virtualization) możliwe jest oddanie Cisco Catalyst 8000V bezpośredniego dostępu do urządzeń w gnieździe PCI Express (PCIe), gdzie między innymi obsługiwane są karty sieciowe. Bezpośredni, czyli taki, który pomija całkiem wirtualny przełącznik na poziomie platformy do wirtualizacji. Karta sieciowa z obsługą SR-IOV może być współużytkowana przez wiele systemów wirtualnych. Oprócz fizycznych portów PF (Physical Function), które umożliwiają przyłączenie do sieci zewnętrznej, posiada ona wiele wirtualnych kart sieciowych, nazywanych VF (Virtual Function).
 
 
Wewnątrz karty sieciowej z obsługą SR-IOV działa przełącznik do którego doprowadzone są wszystkie jej fizyczne i wirtualne porty. Należy pamiętać, że wydajność oraz funkcjonalność SR-IOV może być w dużej mierze zależna od użytych kart sieciowych. W wykorzystaniu SR-IOV trzeba o wiele bardziej zwracać uwagę na kompatybilność sterowników przy aktualizacji oraz zgodność kart sieciowych hostów przy migracji VM.

vDPA (vHost Data Path Acceleration) standaryzuje obsługę warstwy kontrolnej SR-IOV u różnych producentów. Udostępnia uniwersalny interfejs warstwy kontrolnej, który komunikuje się warstwą kontrolną kart różnych producentów. Na poziomie hosta nadal jest potrzebny odpowiedni sterownik dla karty sieciowej danego producenta, natomiast na poziomie systemu gościa (VM lub kontener) wystarczy, że będzie dostępny tylko sterownik vDPA. Ścieżka danych w SR-IOV i vDPA nie zmienia się, gdyż vDPA zmienia tylko sposób obsługi warstwy kontrolnej.

Cisco Catalyst 8000V obsługuje także Cisco VM-FEX (Virtual Machine Fabric Extender). Dzięki VM-FEX, każda maszyna wirtualna ma swój dedykowany interfejs na fizycznym przełączniku Cisco Nexus lub Cisco Fabric Interconnect, do którego podłączony jest host. Na tym przełączniku jest też terminowany i obsługiwany cały ruch z VM. Posiada ona do niego bezpośredni i bardzo szybki dostęp. Wyciągnięcie kart sieciowych VM bezpośrednio do przełącznika fizycznego umożliwia eliminację przełączników na poziomie jądra i oprogramowania, co poprawia wydajność dostępu do sieci oraz ujednolica zarządzanie siecią w ramach całego środowiska.
 
Z związku z tym, że niektóre operacje wymagają interakcji z przestrzenią użytkownika, co z kolei ma wpływ na spadek wydajności, została opracowana architektura na bazie DPDK (Data Plane Development Kit), która daje:
  • dostęp aplikacji z przestrzeni użytkownika do karty sieciowej z pominięciem jądra (pominięcie przełączania kontekstu użytkownika/jądra oraz obsługi całego stosu sieciowego i sterowników na poziomie jądra),
  • dostęp do karty sieciowej bez żadnych przerwań i blokad (zamiast czekać na przerwanie od karty sieciowej, dedykowany dla Poll Mode Driver (PMD) rdzeń procesora cały czas sprawdza i odpytuje jej kolejkę, do której ma wyłączny dostęp, bez żadnych blokad).
Jest to oczywiście kosztem wspomnianego rdzenia procesora, który zajmuje się ciągłym odpytywaniem kolejki karty sieciowej. Najczęściej dla PMD (Poll Mode Driver) rezerwowany jest jeden lub więcej rdzeni procesora, z których użyciem odpytuje on nieustannie kolejki wejściowe przypisanych mu portów kart sieciowych.
 
W ten sposób mamy możliwość oddania Cisco Catalyst 8000V bezpośredniego, współdzielonego lub wyłączonego dostępu do karty sieciowej w gnieździe PCI Express (PCIe). Wyłączny dostęp rezerwuje kartę sieciową dla pojedynczej wirtualnej instancji, a współdzielony umożliwia jej współdzielenie przez wiele instancji wirtualnych równocześnie. Współdzielony dostęp dla urządzeń wirtualnych oraz kontenerów realizowany jest z SR-IOV i vDPA.
 
Urządzenia brzegowe Cisco Catalyst 8000V mogą działać wewnątrz chmury publicznej Google Cloud Platform (GCP), Amazon Web Services (AWS) i Microsoft Azure, a także w ramach posiadanych środowisk do wirtualizacji czy chmur prywatnych na bazie VMware vSphere, Red Hat Virtualization czy Red Hat OpenStack Platform. Da się je także uruchomić na platformie Cisco NFVIS (Network Function Virtualization Infrastructure Software).
 
Cisco NFVIS można uruchomić na serwerach rackowych Cisco UCS-C, modułach Cisco UCS-E, urządzeniach Cisco ENCS (Enterprise Network Compute System) oraz platformie Cisco Catalyst 8200 uCPE.

Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.

Do połączeń pomiędzy oddziałami stosowane są najczęściej dzierżawione linie światłowodowe, usługi MPLS VPN lub bezpieczne połączenia VPN poprzez sieć Internet. Seria urządzeń brzegowych Cisco Catalyst 8000V obsługuje wszystkie potrzebne do tego technologie, jak m.in. DMVPN (Dynamic Multipoint VPN), FlexVPN, GETVPN (Group Encrypted Transport VPN), IPsec VPN, MPLS VPN czy EVPN (Ethernet VPN).
 
 
W większości są to technologie umożliwiające realizację bardzo elastycznych i funkcjonalnych połączeń pomiędzy oddziałami (Site-to-Site VPN). Do obsługi VPN RA (Remote Access) dla zdalnych pracowników można wykorzystać obsługiwany przez nie Easy VPN Server, FlexVPN czy IPsec VPN.

Tradycyjny routing nie zawsze się sprawdza. Szczególnie, gdy jakość używanych łącz zmienia się dynamicznie bez żadnej zapowiedzi. Inteligenta kontrola ścieżek możliwa jest dzięki zastosowaniu PfR (Performance Routing) w ramach DMVPN (Dynamic Multipoint VPN) pomiędzy lokalizacjami oraz na łączach do sieci Internet.
 
DMVPN umożliwia dynamiczne budowanie tuneli pomiędzy oddziałami, obsługę wysokiej dostępności, a także realizację routingu dynamicznego. PfR zajmuje się rozkładem obciążenia i kierowaniem ruchu w sposób, który pozwala zapewnić odpowiednią jakość pasma i opóźnienia dla wykorzystywanych w sieci aplikacji. PfR kieruje ruch aplikacyjny tym łączem, które spełnia w danej chwili zdefiniowane dla niej wymagania.
 
 
Tunele IPSec VPN oparte na mechanizmie Crypto Map czy Policy-Based Tunnels mają sporo ograniczeń, które wynikają z ich powiązania z jednym interfejsem wyjściowym. Należy do nich m.in. brak możliwości przypisania dla każdego z połączeń VPN oddzielnych parametrów QoS (Quality of Service), ZBF (Zone Based Firewall), VRF (Virtual Routing and Forwarding), ACL (Access Control Lists), czy wielkości MTU (Maximum Transmission Unit). Nie da się używać protokołów routingu i przesyłać ruchu multicast, a też zarządzanie i diagnoza jest bardziej złożona.
 
Dzięki Cisco FlexVPN mamy możliwość budowy wysoce granularnej konfiguracji, w tym użycia różnych parametrów QoS, ZBF, VRF, ACL, MTU dla każdego z połączeń VPN. Nawet, kiedy te dziesiątki, czy nawet tysiące zdalnych lokalizacji łączy się do jednego dynamicznego interfejsu tunelowego. Dostępny też jest routing dynamiczny, transmisja ruchu multicast i dynamiczne tworzenie tuneli pomiędzy oddziałami.
 
Autoryzacja w FlexVPN może być oparta o certyfikaty, PSK (Pre-Shared Key), a także użytkownika i hasło. Tam, gdzie zarządzanie certyfikatami bywa kłopotliwe, wygodnie i bezpiecznie można korzystać z kluczy współdzielonych.
 
Zarządzanie kluczami, jak i parametrami dla każdego z połączeń VPN można realizować w Cisco ISE. Cisco FlexVPN udostępnia także funkcje wysokiej dostępności i rozkładu obciążenia. W razie awarii potrafi przełączyć się na inny router agregujący, wybierając taki, który jest najmniej obciążony. W przypadku awarii łącza podstawowego, potrafi też użyć do nawiązania połączenia VPN adresu z innego interfejsu.
Na styku różnych sieci mamy najczęściej do czynienia z wymianą ruchu pomiędzy różnymi strefami zaufania, stąd bardzo ważne jest zapewnienie w tym miejscu odpowiedniej widoczności i ochrony.

Dzięki mechanizmowi RTBH (Remotely Triggered Black Hole), który dostępny jest w urządzeniach brzegowych serii Cisco Catalyst 8000V, możliwe jest wdrożenie ochrony przed atakami DDoS (Distributed Denial of Service). Ataki te potrafią unieruchomić całą organizację lub udostępniane przez nią usługi.
 

Urządzenia brzegowe do oddziałów Cisco Catalyst 8000V mają możliwość uruchomienia systemu IPS (Instrusion Prevention System) do ochrony przed znanymi atakami i podatnościami na bazie silnika Snort, ochrony i retrospekcji dla plików z wykrywaniem złośliwego oprogramowania z Cisco Advanced Malware Protection (AMP) i Cisco Threat Grid oraz filtrowania URL (reputacje i kategorie). Rozwiązania te wspierane są danymi na temat inteligencji zagrożeń (ang. Threat Intelligence). Pochodzą one z Cisco Talos, jednego z największych na świecie centrów badań nad zagrożeniami, złośliwym oprogramowaniem i podatnościami.
 
Cisco Catalyst 8000V udostępniają też aplikacyjny Firewall oraz możliwość integracji z usługą bezpieczeństwa dla ruchu webowego i DNS o nazwie Cisco Umbrella.

Dziś bardzo ważne jest zapewnienie jednolitego i bezpiecznego dostępu do usług chmur publicznych. Nie jedna organizacja pracuje w modelu hybrydowym, gdzie oprócz własnego centrum danych i własnej chmury prywatnej korzysta z dodatkowych usług chmur zewnętrznych. Urządzenia brzegowe Cisco Catalyst 8000 potrafią zaadresować prawie każdy scenariusz i architekturę dostępu do usług chmur publicznych.
 
 
W ramach chmur publicznych Google Cloud Platform (GCP), Amazon Web Services (AWS) i Microsoft Azure, a także chmur prywatnych na bazie VMware vSphere, Red Hat Virtualization czy Red Hat OpenStack Platform możemy uruchamiać urządzenia brzegowe o tej samej funkcjonalności, co w siedzibie głównej, centrum danych czy oddziale. Oprócz wygody w obsłudze, pozwala to zachować spójność w obszarze sposobu realizacji połączenia, wykorzystanych mechanizmów bezpieczeństwa oraz polityce obsługi ruchu aplikacyjnego.

Pojedyncze urządzenie brzegowe Cisco Catalyst 8000V może obsługiwać wiele VRF (Virtual Routing and Forwarding), a co za tym idzie obsługiwać wielu niezależnych klientów/najemców (ang. tenants) chmury publicznej, dla każdego obsługując m.in. niezależną tablicę routingu, połączenia VPN i reguły Firewall. Oczywiście dla każdego klienta/najemcy (ang. tenant) można też uruchomić oddzielną instancję Cisco Catalyst 8000V. W ten sposób może osiągnąć bardzo dużą elastyczność i skalowalność w udostępnianiu różnych usług
.

Bardzo ważne jest zachowanie adresów IP w trakcie przenoszenia aplikacji z centrum danych do chmury zewnętrznej i w drugą stronę. Dzięki temu nie będzie wymagana rekonfiguracja aplikacji czy systemu operacyjnego, w którym ona działa. Zmiana adresacji IP ma też negatywny wpływ na zachowanie ciągłej łączności od strony jej użytkowników. Urządzenia brzegowe Cisco Catalyst 8000, w tym Cisco Catalyst 8000V obsługują protokół LISP (Locator ID Separation Protocol), który umożliwia pełną mobilność adresów IP i zachowanie identyfikatora aplikacji.

Cisco Catalyst 8000V może także pracować jako urządzenie brzegowe OTV (Overlay Transport Virtualization), rozciągając dostępne wewnątrz lokalnego centrum danych sieci VLAN do chmur zewnętrznych.

Z tradycyjnymi VLAN mamy tylko 4094 unikalnych identyfikatorów, a z VXLAN aż 16 milionów. Technologia VXLAN (Virtual Extensible LAN) zwykle stosowana była przez większe przedsiębiorstwa i dostawców usług, którzy potrzebują zapewnić izolację milionom klientów. Obecnie jest też chętnie stosowana przez mniejsze organizacje, które szukają wygodnych i elastycznych metod wirtualizacji swojej infrastruktury sieciowej czy centrum danych. Urządzenia brzegowe Cisco Catalyst 8000V mogą pracować jako VTEP (VXLAN Tunnel Endpoint), łącząc ze sobą na poziomie L2 dostępne sieci VXLAN czy VXLAN i VLAN, a nawet realizując ich obsługę na poziomie L3.

Cisco Catalyst 8000V umożliwiają także rozciągnięcie usługi MPLS z lokalizacji klienta, aż do chmury publicznej.

Cisco Catalyst 8000V także sprawdzają się jako wirtualne reflektory tras (ang. vRR - virtual Route Reflectors), gdzie potrzebna jest duża moc obliczeniowa, a niekoniecznie obsługa dużej ilości ruchu. Dzięki możliwości wirtualizacji, wiele niezależnych vRR może działać w ramach jednego serwera fizycznego.
 
Cisco Catalyst 8000V jest zbudowany na tej samej platformie oprogramowania co reszta urządzeń brzegowych z serii Cisco Catalyst 8000. Dzięki temu oferuje bardzo bogaty zestaw funkcjonalności, jak m.in. routing, różne technologie VPN, aplikacyjny Firewall, NAT/PAT, QoS, AVC, NetFlow czy optymalizację ruchu aplikacyjnego.

Wirtualizacja tych wszystkich złożonych funkcji zapewnia dostawcom usług konsolidację wielu instancji na jednym serwerze i łatwe skalowanie w miarę pojawiania się nowych klientów czy rozbudowy sieci.

Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.

Cisco SD-WAN Cloud OnRamp rozszerza aktualną infrastrukturę o usługi chmur publicznych, zapewniając do nich szybki i bezpieczny dostęp. Pomiędzy lokalizacją główną, oddziałami i usługami chmurowymi można zbudować siatkę VPN, dzięki której ruch do usług chmur publicznych będzie kierowany zawsze najlepszą w danej chwili drogą.
 
 
Da się także dla tego ruchu zapewnić DIA (Direct Internet Access) i wypuszczać go lokalnie na łączu w oddziale. Dzięki architekturze SASE taki dostęp może być w pełni bezpieczny.
 
SASE (Secure Access Service Edge) jest architekturą przeznaczoną dla organizacji, które w głównej mierze opierają swoje działanie na usługach chmur publicznych. Jej zadaniem jest dostarczenie użytkownikom pracującym z różnych lokalizacji bezpiecznego i ujednoliconego sposobu dostępu do usług chmurowych. Łączy ona scentralizowane zarządzanie bezpieczeństwem oraz łącznością pomiędzy oddziałami i do oddziałów z użyciem rozwiązań SD-WAN, z rozwiązaniami bezpieczeństwa opartymi na chmurze publicznej.

Korzystając z usług chmur publicznych głównie używamy protokołów HTTP/HTTPS i DNS. Stąd Cisco Systems oparło fragment swojej architektury SASE na usłudze chmury publicznej Cisco Umbrella Secure Internet Gateway (SIG). W architekturze tej wykorzystywany jest także Cisco SD-WAN.


Cisco Umbrella Secure Internet Gateway (SIG) zapewnia bardzo kompleksową ochronę. Łączy w sobie technologie i rozwiązania wykorzystywane m.in. w ramach Cisco Cloudlock, Cisco Talos, Cisco Advanced Malware Protection (AMP), Cisco Threat Grid oraz Cisco Umbrella. Wiedza z tych wszystkich obszarów pozwala podejmować bardzo trafne i precyzyjne decyzje.
 
Usługa chmurowa Cisco Umbrella SIG udostępnia kilka warstw ochrony, jak blokowanie znanych zagrożeń i złowrogich miejsc, blokowanie reputacyjne oraz określonych kategorii kontentu, możliwość badania plików o nieznanej reputacji, firewall aplikacyjny, a także moduł SWB (Secure Web Gateway) oraz CASB (Cloud Access Security Broker). Posiada też bardzo rozbudowaną analitykę, powiadomienia i wizualizację zachodzących zdarzeń.

CASB pośredniczy pomiędzy użytkownikami i usługami chmurowymi. Monitoruje wszelkie aktywności, zgłaszając potencjalne niebezpieczeństwa oraz wymusza przestrzeganie narzuconych zasad bezpieczeństwa. Moduł ten dostępny jest także niezależnie, jako Cisco Cloudlock.
 

Dziś większość ruchu jest szyfrowana end-to-end. W związku z tym, że nie zawsze jest możliwe czy realne jego deszyfrowanie, analiza pod kątem zagrożeń i ponowne szyfrowanie, Cisco Catalyst 8000V udostępniają zarówno TLS/SSL Proxy do deszyfrowania i szyfrowania, jak i ETA (Encrypted Traffic Analytics). Dzięki ETA wykrywanie zagrożeń w ruchu wymienianym na brzegu sieci i pomiędzy oddziałami jest możliwe, nawet bez jego deszyfrowania.
 
 
Urządzenia brzegowe Cisco Catalyst 8000V mogą wykrywać zagrożenia nawet w zaszyfrowanym ruchu, bez jego deszyfrowania, bez naruszania prywatności i bez spadku wydajności transmisji. Służy do tego ETA, która rozszerza funkcjonalność NetFlow oraz Cisco Stealthwatch z obsługą zaawansowanej telemetrii, znajomości zachowania zagrożeń i ciągłemu uczeniu maszynowemu, który zajmuje się analizą i korelacją otrzymywanych danych.

Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.

Wiele lokalizacji, różnego typu łącza i różnego typu połączenia pomiędzy nimi to dziś coś normalnego. Niestety, tradycyjny routing w takich scenariuszach nie zawsze jest wystarczający. Zwłaszcza, gdy parametry tych połączeń ulegają zmianie bez żadnej zapowiedzi. Dlatego w urządzeniach brzegowych Cisco Catalyst 8000V oprócz tradycyjnych protokołów routingu, jak RIP, OSPF, EIGRP, IS-IS, OMP czy BGP, obsługiwane jest również AppQoE.
 
Pełne AppQoE (Application Quality of Experience) obsługiwane jest w ramach Cisco SD-WAN. AppQoE to zbiór technologii, których zadaniem jest poprawa odbioru jakości działających w sieci aplikacji. Składa się na niego m.in. Application Aware Routing (AAR), Forward Error Correction (FEC), Packet Duplication i TCP Flow Optimization.

Application Aware Routing (AAR) na bieżąco śledzi i bada jakość dostępnych pomiędzy lokalizacjami ścieżek. Bierze pod uwagę ilość zgubionych pakietów, opóźnienia, pojawiające się odchylenia w opóźnieniach, wysycenie, koszt i przepustowość łącz. Na tej podstawie stara się wybrać najlepsze w danej chwili ścieżki dla różnych aplikacji.

Tradycyjny routing oparty na stałych metrykach nie bierze pod uwagę dynamicznej natury sieci. Jeżeli jest połączenie na drugą stronę, to jest ono wykorzystywane. Nie jest weryfikowana jakość tego połączenia.

AAR jest w stanie wykryć chwilowe problemy czy spadek wydajności danego połączenia i stosownie temu zaradzić. Jest świadomy potrzeb aplikacji. Dzięki temu, pomimo ciągłej aktywności i działania problematycznego połączenia, jest w stanie automatycznie wykryć problemy i przekierować wybranych ruch na inne łącza, które w danej chwili spełniają wymagania danej aplikacji. Kiedy problematyczne łącze powróci do normalnego działania, AAR jest w stanie znowu dostosować rozkład ruchu do optymalnego wykorzystania wszystkich łącz.

 
Forward Error Correction (FEC) umożliwia rekonstrukcję 1 z 4 zgubionych pakietów. Możliwe jest to dzięki piątemu pakietowi, który zawiera sumy parzystości (XOR) i jest wysyłany nadmiarowo dla każdych czterech pakietów. FEC może być włączony cały czas (FEC Always) lub być aktywowany dynamicznie, za każdym razem, gdy ilość zgubionych na łączu pakietów przekracza 2% (FEC Adaptive).

Packet Duplication wykorzystuje dwa różne tunele pomiędzy tymi samymi lokalizacjami. Wysyła wszystkie pakiety na obu, a druga strona eliminuje duplikaty. Działa to tak, że wykorzystywany jest pakiet z tego tunelu, który pierwszy go dostarczy. Jeżeli pakiet zginie, to automatycznie wykorzystywany jest duplikat z drugiego tunelu. Sprawdza się w miejscach, gdzie mamy dostęp do dwóch niezależnych łącz, których jakość nie zawsze jest taka, jak powinna.

Zarówno Forward Error Correction, jak i Packet Duplication można aktywować dla wszystkich lub tylko wybranych adresów IP, typów ruchu czy aplikacji.
 
Aby udostępnić większą przepustowość i zapewnić mniejsze opóźnienia TCP Flow Optimization wykorzystuje nowy algorytm TCP o nazwie BBR (Bottleneck Bandwidth and Round-trip propagation time)O prędkości transmisji z użyciem TCP w dużym stopniu decydują algorytmy kontroli zatorów (ang. congestion control algorithms). Duża ilość systemów serwerowych i stacji końcowych wciąż korzysta z CUBIC.
 
CUBIC jest powszechnie stosowanym algorytmem obsługi zatorów dla protokołu TCP (Transmission Control Protocol). Wykorzystywany do transmisji w TCP rozmiar okna (ang. window size), jest w nim funkcją sześcienną (ang. cubic function) w czasie od ostatniego wystąpienia zatoru. Miejscem zerowym/punktem załamania (ang. inflection point) tej funkcji jest rozmiar okna przed zatorem.

Przykład funkcji sześciennej

Ma ona przestrzeń wklęsłą (ang. concave - concave downward) i wypukłą (ang. convex - concave upward). Wklęsła daje możliwość szybkiego powrotu rozmiaru okna do stanu bliskiego przed ostatnim wykryciem zatoru w sieci i dalej powolny wzrost do tego miejsca. W ten sposób sieć dostaje czas na ustabilizowanie się. Zaraz po tym przechodzi do części wypukłej, która o ile początkowo rośnie powoli, to przyśpiesza coraz bardziej, jeżeli nie ma oznak zatoru.
 
Otrzymanie podwójnego potwierdzenia (zduplikowany ACK) lub jego brak w czasie RTO (Retransmission TimeOut), jest uznawany przez CUBIC jako objaw zatoru w sieci. O ile fakt ten oznacza zwykle zgubienie pakietu, to niekoniecznie musi oznaczać zator w sieci. Do czynienia możemy mieć z łączem 10Gbps, na którym z innych powodów niż obciążenie łącza ginie 0,01% pakietów. Zwalnianie transmisji w takim przypadku niekoniecznie ma sens.

Wykorzystanie CUBIC w TCP przyczynia się także do pełnego wysycania buforów interfejsów urządzeń sieciowych i co za tym idzie wzrostu opóźnień. Algorytm CUBIC nie bierze pod uwagę czasu RTT (Round Trip Time), stąd nie są faworyzowane ani połączenia o małych, ani o dużych opóźnieniach. Mają tą samą szansę wzrostu. Nagły wzrost opóźnień dla wszystkich połączeń 
ma negatywny wpływ na działanie aplikacji wymagających do pracy niskich opóźnień. Im większe są bufory, tym powstają większe opóźnienia. 
 
Podsumowując działanie algorytmu CUBIC w TCP, przy niewielkim rozmiarze buforów szybko dochodzi do złej interpretacji zatoru w sieci i znaczącego spadku prędkości transmisji, a przy dużym rozmiarze buforów do znaczącego wzrostu opóźnień.

Bufory obecnych urządzeń sieciowych są coraz większe, stąd proces wykrywaniu zatoru w sieci powinien brać pod uwagę wzrost opóźnień. Z drugiej strony, algorytm bazujący tylko na opóźnieniach nie byłby traktowany w sieci sprawiedliwie. Połączenia TCP stosujące inne algorytmy, jak dla przykładu CUBIC, przejęłyby całkowiecie łącze.
 
Z rozwiązaniem przyszedł BBR (Bottleneck Bandwidth and Round-trip propagation time), nowy algorytm wykrywania zatorów w TCP. W dużych skrócie, algorytm BBR stara się wysycać coraz bardziej łącze monitorując jednocześnie wzrost opóźnień. Kiedy dojdzie do momentu, w którym opóźnienia drastycznie wzrastają, stara się delikatnie zmniejszać transmisję do momentu w którym będą one miały rozsądne wartości. Dzięki temu, gdy:
  • transmisja nie gubi pakietów, przepustowość jest podobna z zachowaniem kilkukrotnie niższych opóźnień,
  • transmisja gubi pakiety, przepustowość potrafi być nawet kilkukrotnie większa.

Wykorzystanie nowego algorytmu obsługi zatorów w TCP pozwala utrzymać niską zajętość buforów urządzeń sieciowych i co za tym idzie zachować niskie opóźnienia przesyłanych pakietów, nawet przy dużej ilości ruchu. Dla niektórych usług jest to naprawdę bardzo istotne. 

Użycie BBR w TCP ma kluczowe znaczenia także dla ruchu HTTP/2, gdzie cała transmisja pomiędzy klientem, a serwerem może odbywać się w ramach jednego połączenia. Przy HTTP/1 nie ma to tak dużego znaczenia, gdyż pomiędzy klientem, a serwerem otwierana jest duża ilość relatywnie krótkich połączeń. BBR powinien być aktywowany od strony, która udostępnia dużą ilość danych, jak serwery usługowe.
 
Dzięki TCP Flow Optimization z nowego algorytmu na łączach WAN mogą korzystać wszyscy. Urządzenia brzegowe Cisco Catalyst 8000 mogą terminować sesje TCP i wykorzystywać pomiędzy sobą nowy algorytm BBR

Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.

Urządzenia brzegowe należące do serii Cisco Catalyst 8000 obsługują także m.in. NAT/PAT, Access Control List (ACL), Zone-Based Firewall (ZBF), Control Plane Policing (CoPP), Unicast Reverse Path Forwarding (uRPF), Policy Based Routing (PBR), Hot Standby Router Protocol (HSRP), Virtual Router Redundancy Protocol (VRRP), Locator ID Separation Protocol (LISP), Bidirectional Forwarding Detection (BFD), Protocol Independent Multicast Sparse Mode (PIM SM), PIM Source-Specific Multicast (SSM), Internet Group Management Protocol Version 3 (IGMPv3), Generic Routing Encapsulation (GRE), Virtual Routing and Forwarding (VRF), Quality of Service (QoS), Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED), Hierarchical QoS, Policy-Based Routing (PBR), Performance Routing (PfR) czy Network-Based Application Recognition (NBAR).
 
Nie są to wszystkie dostępne na tych platformach funkcjonalności czy obsługiwane technologie i protokoły. Wybraliśmy tylko kilka z nich, które według nas warte były uwagi. Po więcej odsyłamy do strony producenta.

Na rynku jest zbyt dużo sprzętu z szarego kanału, stąd koniecznie sprawdzaj, czy firma sprzedająca produkty Cisco Systems jest na 100% jej partnerem handlowym. Sprawdzić można to w Cisco Partner Locator, gdzie też jesteśmy.

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.