Cisco Service Control Engine: Gestione del Traffico per l'abilitazione di nuovi servizi
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cisco Service Control Engine:
Gestione del Traffico per l’abilitazione
di nuovi servizi
17 Maggio 2005
Guido Motta
Cisco Systems Italia
gmotta@cisco.com
© 2004 Cisco Systems, Inc. All rights reserved. 1Agenda
• Introduzione al “Service Control”
• Esempi
• Descrizione della soluzione
• Considerazioni per il deployment
• Gestione e Integrazione
© 2004 Cisco Systems, Inc. All rights reserved. 2Architettura Cisco IP NGN
APPLICATION
VoD / HDTV WEB MOBILE IP CONTACT
GAMING STORAGE COMM SERVICES APPS CENTER
LAYER
OPERATIONAL LAYER
Service Control
Struttura aperta
CONTROL
SERVICE
LAYER
per l’abilitazione
del “Triple Play
On The Move”
(Dati, Voce, Video, Mobilità)
NETWORK
SECURE
Customer Access / Intelligent Multiservice
LAYER
Element Aggregation Edge Core
Transport
INTELLIGENT NETWORKING
© 2004 Cisco Systems, Inc. All rights reserved. 3Struttura “Service Control”
Controllo Servizi multimediale per convergenza Wireline/Wireless
Gestione IDENTITA’ Gestione delle POLICY
ID di Utente / Apparato Regole comportamento utenti
Locazione / Presenza Regole utilizzo applicazioni
CHI ?
Registrazione dei servizi COSA ?
Per-Sottoservizio
Audit / Logging
Autenticazione
Service
Control
Gestione MOBILITA’ Gestione dinamica SESSIONI
Mobilità apparato Call Control / Session Border Ctrl
Mobilità servizi Controllo Rich-Media
DOVE ?
Mobilità Utente
COME ?
Banda e QoS per Sessione
Accounting / Billing
© 2004 Cisco Systems, Inc. All rights reserved. 4Reti d’accesso moderne
CONTENT
PROVIDER
BROADBAND
ACCESS
INTERNET
NETWORK
ENTERPRISE
Applicazioni NETWORK
• Applicazioni Legacy
• SNA/DLSW
Utenza • Web Based HTTPS
• E-learning Centro Servizi
• Postazioni di lavoro
• Voice/Video over IP • Servizi Centralizzati
• Laptop • Internet • Infrastruttura ridondata
• IPPhone • P2P • Continuità dei servizi
• Video • Streaming • Accessi condivisi
• Palmari © 2004 Cisco Systems, Inc. All • Network
rights reserved. Management 5Esigenze del Cliente
• Visibilità in tempo reale delle applicazioni in rete
• Analisi e controllo per singolo utente e gruppi di utenti
• Analisi e controllo per applicazioni e servizi
• Prioritizzazione e differenziazione del traffico
• Garanzia per le applicazioni mission-critical
• Limitazione e blocco per servizi e utenti
© 2004 Cisco Systems, Inc. All rights reserved. 6La soluzione: Una rete intelligente in grado
di erogare “Servizi Controllati”
CONTENT
PROVIDER
INTELLIGENZA
BROADBAND
ACCESS
INTERNET
NETWORK
SERVICE
CONTROL
ENTERPRISE
NETWORK
Reti abilitate al CONTROLLO dei SERVIZI
• I servizi messi a disposizione dalla rete vengono gestiti o eventualmente fatturati nel modo
più appropriato agli utenti che ne hanno usufruito maggiormente
• Viene offerto un controllo granulare su bande differenziate, con capacità di controllo per-
sessione e per applicazione, gestione QoS …
© 2004 Cisco Systems, Inc. All rights reserved. 7Cosa è il “Controllo dei Servizi”?
Tecnologia Requisti
Conoscenza
Stateful deep-packet application inspection
Applicazioni
Conoscenza degli Gestione dello stato dell’utente (Gestione banda per-utente,
Utenti quota e integrazione OSS (via DHCP e Radius)
Dimensionamento della banda delle applicazioni a livello di
Controllo in tempo
sessione, blocco, redirezione
reale
(HTTP, RSTP, SIP)
Flessibilità dei Programmabilità per supportare nuove applicazioni e nuove
Servizi esigenze di business
ASPETTI FONDAMENTALI:
• ALTE PRESTAZIONI: Gestione a livello Applicazione e controllo a veloctà multi-Gigabit
senza impatto sulle prestazioni
• INDIPENDENZA DAL TRASPORTO: Funziona con qualsiasi rete e abilita servizi basati su
QoS
• INTEGRAZIONE OSS: API aperte per facile integrazione con sistemi OSS (es. Policy
service, AAA, ecc.)
• PROGRAMMABILE: Facilità di integrazione e supporto nuovi protocolli o applicazioni
© 2004 Cisco Systems, Inc. All rights reserved. 8Esempi di Servizi
Analisi Utilizzo:
• Pianificazione risorse
• Analisi andamento
Futuri Servizi • Market Intelligence Ottimizzazione Traffico:
•Controllo Peer-to-Peer
“Content-based”
• Miglior percezione da parte utente
•Controllo Abusi
Application
Aware network
Addebito in base Protezione Servizi:
ai contenuti: • Anti-DoS
• Servizi differenziati • Anti-Spam
• Basato su utilizzo Personalizzazione Servizi: • Anti-Worm
• Basato su transazioni
• Branded VoIP
• Branded Gaming
• Real-time admission
© 2004 Cisco Systems, Inc. All rights reserved. 9Esempio: Controllo utilizzo applicazioni
• Visibilità Applicazioni e utenti
Applicazioni più utilizzate, top 10, picchi di utilizzo
Viste globali e per singolo utente
Maggiori utilizzatori per applicazione, distribuzione demografica
• Benefici
Pianificazione risorse intelligente: Quando c’è veramente bisogno di
maggiore banda? Come si può ottimizzare?
Rilevamento abusi: Identificazione utenti che abusano delle risorse a
disposizione
Maggior sensibilità: Quali sono le killer-apps? Quali servizi interessano
o servono maggiormente agli utenti?
Gestione costi: Fatturazione per volume, sessione e contenuti
© 2004 Cisco Systems, Inc. All rights reserved. 10Completa analisi utilizzo applicazioni
60%-70% of the traffic is P2P!
© 2004 Cisco Systems, Inc. All rights reserved. 11Completa analisi utilizzo applicazioni
© 2004 Cisco Systems, Inc. All rights reserved. 12Analisi aggregata applicazioni per POP
Over 25 Terabytes of P2P traffic in 7 Days!
© 2004 Cisco Systems, Inc. All rights reserved. 13Esempio: Controllo della banda
• Controllo e Prioritizzazione della banda
Globale
Gruppo di utenti
Utente
Sessione applicativa
• Regole Dinamiche
Basate sul Tempo/Destinazione/Applicazione
Basate sulla quota utente
•• Esempio
Esempio
•• Turbo
TurboBoost
Boostper
perapplicazione
applicazione––es . Solo
es. SoloHttp
HttpooRTSP
RTSP
•• Abbassa
Abbassapriorit à P2P
priorità P2Pdurante
durantele
leore
oredidipicco
picco
•• Abbassa
Abbassapriorit à P2P
priorità P2Pdopo
dopoxxMByte/g
MByte/gper
perutente
utente
© 2004 Cisco Systems, Inc. All rights reserved. 14Esempio: Controllo della banda
Banda
Banda
Service
Service Bundles
Bundles HTTPS
HTTPS Telnet
Telnet Mail
Mail P2P
P2P …
…
Utente
Utente
I. Agenzie SMALL 384k
384k 48k
48k 64k
64k 64k
64k 64k
64k 64k
64k
64k
64k
TURBO! 128k
128k 128k
128k 128k
128k 128k
128k 128k
128k
512k
512k
II. Agenzie MEDIUM 1.5M
1.5M 1.5M
1.5M 3M
3M 3M
3M 1024k
1024k
TURBO! 1024k
1024k unlimited
unlimited unlimited
unlimited unlimited
unlimited unlimited
unlimited unlimited
unlimited
III. Agenzie LARGE Block
Block Block
Block Block
Block Block
Block Block
Block
1.5M
1.5M
Redirect
Redirect Redirect
Redirect Redirect
Redirect Redirect
Redirect direct
direct
III. Sedi Direzionali 3M
3M
Prioritize
Prioritize Prioritize
Prioritize Prioritize
Prioritize Prioritize
Prioritize Prioritize
Prioritize
© 2004 Cisco Systems, Inc. All rights reserved. 15Esempio: Gestione Quote
• Gestione completa delle “quote”
Multiple quote simultanee per utente
Tracciamento accurato di utilizzzo
• Integrazione OSS
Invia informazione a OSS in seguito a superamento quota
Controllo automatico e dinamico dei cambiamenti delle regole d’utente
Quota per Quota specifica
Pian
Accesso al per Azione Commenti
o
Servizio Applicazione
Ridurre banda
Gaming: Contenuto “Premium” e applicazioni escluse da
A 5GB a velocità
500min quote
dialup
Applicare
Contenuto “Premium” e applicazioni escluse da
B 5GB P2P: 1GB costo
quote
aggiuntivo
N/A
C Nessuna Nessuna Servizio critico non ha limite
© 2004 Cisco Systems, Inc. All rights reserved. 16La soluzione “Service Control”
SERVICES DHCP/AAA/
BILLING PORTAL RADIUS
COLLECTION SUBSCRIBER
MANAGER MANAGER
UTENTI PIATTAFORMA RETE
SERVICE CONTROL
© 2004 Cisco Systems, Inc. All rights reserved. 17Service Control Engine
SCE2020
SCE2020
44 GBE
GBE or
or 4/8
4/8 FE
FE
HA
HA Cascade
Cascade
22 External
External Bypass
Bypass
SCE1010
SCE1010
22 GBE
GBE
11 External
External Bypass
Bypass
© 2004 Cisco Systems, Inc. All rights reserved. 18Piattaforme Service Control
SCE1010 SCE2020
4-GBE (fiber SX/LX)
Interfacce 2-GBE (fiber SX/LX)
8-FE*
Interfaccia Mgmt. 10/100 FE 2 x 10/100 FE **
Memoria 768MB 1.5GB
Processore
2M flussi applicativi concorrenti 2M flussi applicativi concorrenti
N. Max. Flussi unidirezionali unidirezionali
N. Max. Contesti 40,000 100,000
Utenti
- Receive-only
Configurazione di - Receive-only
- Inline
Rete - Inline
- Cascade
* Versione futura ** Oggi non usata
© 2004 Cisco Systems, Inc. All rights reserved. 19Service Control Application
Collector
Collector Manager
Manager
Raccoglie
Raccoglie ii dati
dati generati
generati dal
dal SCE
SCE Row
Row Data
Data Records
Records
Memorizza
Memorizza ii dati
dati aa database
database oppure
oppure su
su CSV
CSV file
file
Bundle
Bundle Edition
Edition viene
viene fornito
fornito con
con database
database Sybase
Sybase ASE
ASE
Client
Client Reporter
Reporter per
per la
la generazione
generazione dei
dei report
report da
da database
database
Sistemi
Sistemi operativi
operativi supportati
supportati Solaris
Solaris ee Linux
Linux
Subscriber
Subscriber Manager
Manager
Gestione
Gestione degli
degli utenti,
utenti, necessario
necessario in
in architetture
architetture Subscriber
Subscriber Aware
Aware
Memorizza
Memorizza gli
gli utenti
utenti ee ilil profilo
profilo in
in un
un database
database
Sincronizza
Sincronizza la
la registrazione
registrazione degli
degli utenti
utenti sui
sui dispositivi
dispositivi SCE
SCE (PUSH/PULL)
(PUSH/PULL)
Integrazione
Integrazione con
con server
server Radius
Radius ee DHCP
DHCP
© 2004 Cisco Systems, Inc. All rights reserved. 20Protocol Support
•HTTP •Gnutella •SIP
• The table shows the •FTP •eDonkey •H323
most relevant •NNTP •BitTorrent •Skype
•SMTP •DirectConnect •RTSP
protocols supported
•POP3 •SoulSeek •MMS
by the Service Control
•Any IP •KazaA •XBOX
Engine. •Any TCP port •Manilito •Vonage
•Any UDP port •WinMX
• Protocols are
•Winny
periodically updated
•Share
by Cisco. •Filetopia
•Suribada
• Customers can also
•Kuro
define additional
•iTune
signatures. •Mute
•NodeZilla
New protocols added periodically
© 2004 Cisco Systems, Inc. All rights reserved. 21SCA: funzionalità
LA
LA SOLUZIONE
SOLUZIONE SI
SI BASA
BASA SULLA
SULLA DEFINIZIONE:
DEFINIZIONE:
dei
dei Servizi
Servizi IP
IP per
per classificare
classificare ilil traffico
traffico in
in base
base a:
a:
applicazione
applicazione utilizzata
utilizzata ((P2P,
P2P, Streaming,
Streaming, Browsing …))
Browsing …
Protocollo
Protocollo ee porta
porta ((TCP
TCP 8080,UDP
8080,UDP 53..)
53..)
Server
Server di
di destinazione
destinazione
Fasce
Fasce orarie
orarie
degli
degli Utenti
Utenti in
in base
base all’indirizzo
all’indirizzo IP
IP statico
statico oo dinamico
dinamico
dei
dei Profili
Profili utenti
utenti per
per associare
associare Utenti
Utenti ee Servizi
Servizi IP
IP in
in base
base a:
a:
permessi
permessi didi utilizzo
utilizzo
allocazione
allocazione della
della banda
banda
limitazione
limitazione della
della banda
banda
© 2004 Cisco Systems, Inc. All rights reserved. 22Schema a blocchi
P
P // D
D // R
R
B-RAS
Edge
Agg. Analysis
Analysis PoP
Engine
Engine Router
P
P // D
D // R
R
Subscriber SCE1010 SCE2020 Network GigE
GigE
Police/Drop/
Rewrite Actions
• “Stateful Analysis Engine” con capacità di riconoscimento delle applicazioni
— vede tutti I pacchetti in entrambe le direzioni
• Analysis Engine impiega Regole di Business attraverso la Dynamic Control
Policy su base utente (es. rate policing, scarto pacchetti o riscrittura header)
• Pacchetti non instradati nè commutati; I pacchetti dall’interfaccia utente
vanno sempre alla corrispondente interfaccia rete, e vice-versa
© 2004 Cisco Systems, Inc. All rights reserved. 23Flusso Logico
2.Flussi classificati per
applicazioni/contenuti:
1.Pacchetti classificati
- TCP state machine,
in flussi bi-direzionali - Signature detection,
- Tracciamento/classificazione
Applicazioni
Recieved Packets
john123
f1: peer-to-peer
f2: web-browsing
... mary612 3. Flussi mappati sul
fN: peer-to-peer contesto utente
(1) Classify (2) Classify flow (3) Map
Packet to to application by application-
flow layer3-7 patterns flow to
and messages subscirber
john123:
john123:
Transmitted Packets Total Daily
"unlimited
P2P: 44MB
p2p"
WEB: 12MB
mary612:
mary612:
Total Daily
"limit p2p to
P2P: 14MB
64kbps"
WEB: 33MB
(6) Perform (5) Select ( 4) Maintain
4. Stato dell’Utente:
Bandwidth Enforcement Subscriber - Insieme di Regole
Shaping & Policy State & Quota - Utilizzo/Quota
6. Applicazione Control
regole per
pacchetto 5. Regola/azione
selezionata:
Blocco, redirezione, controllo
bandl, coda, marcatura, rapporto
© 2004 Cisco Systems, Inc. All rights reserved. 24Flusso dei pacchetti—
Piattaforma Hardware Accelerata
• La maggior parte dei pacchetti (70- Port 1 Port 2 Port 3 Port 4
80%) sono processati in Hardware
• Le CPU sono usate quando viene
richiesta ulteriore capacità di LIC0 NIC (RX part) LIC1
processo (ma bypassate se non
richiesto) FF
DP0 DP1
• Bilanciamento “Stateful” assicura CLS
assenza “stati d’attesa” tra multiple
(4) CPU che condividono il carico di
processo Processing Unit 1 Processing Unit 1 Processing Unit 1 Processing Unit 1
RX RX RX RX
• Nessun campionamento; processo
completo di ogni pacchetto PPC PPC PPC PPC
• Ispezione pacchetti e decisioni basate
su regole programmabili TX
LIC0 NIC (TX part) LIC1
Port 1 Port 2 Port 3 Port 4
© 2004 Cisco Systems, Inc. All rights reserved. 25Classificazione/Policy in azione
Flow tuple End-User Protocol Service Subscriber Package Action
TCP, 128.33.1.1, General
HTTP Default Default None
61.2.3.4, 3122, 80 Browsing
TCP, 128.33.1.6, Redirect to:
HTTP Browsing-List1 maggie_simpson Kids
61.2.3.4, 4321, 80 www.xxx.com
Global Control:
TCP, 128.33.1.44, 30mbps/120mbps
eDonkey P2P Default Default
61.2.3.66, 13142, 80 (no limit between
1am-4am)
TCP, 128.33.1.7, Alert if more than
SMTP SMTP-Offnet 128.33.1.7@grp1 spam
61.2.3.4, 3122, 25 3,000 / hour
TCP, 128.33.1.99,
SIP SIP-Offnet Default Default Set Priority = 1
61.2.3.4, 3211, 5060
UDP, 128.33.1.99, RTP (bind to
SIP-OffNet Default Default Set Priority = 1
61.2.3.4, 3031, 30223 F:104)
© 2004 Cisco Systems, Inc. All rights reserved. 26Deployment
Configurazioni Inline e Receive-only
• Configurazione Receive-only
GIG-E: Usando Optical Splitters
/Port-Span
o.splitter o.splitter
FE: Port-Span
Solo monitoraggio del traffico
• Configurazione Inline
Engine installato nel “data-path”
Monitoraggio e controllo del
traffico
Subscribers Network
© 2004 Cisco Systems, Inc. All rights reserved. 27Deployment
Service Engine Bypass
• Hardware bypass interno Port 1 Port 2 Port 3 Port 4
• Converte l’apparato in un LIC0 NIC (RX part) LIC1
“filo”
FF
Bypass per ogni SCE ‘monopath’ DP0 DP1
CLS
• Test Watchdog per problemi
HW/SW Processing Unit 1 Processing Unit 1 Processing Unit 1 Processing Unit 1
• Modalità configurabile RX RX RX RX
PPC PPC PPC PPC
Fail Closed = Cut link on failure
Fail Opened = Bypass traffic
TX
on failure
• Differenti configurazioni si LIC0 NIC (TX part) LIC1
applicano a differenti topologie
Port 1 Port 2 Port 3 Port 4
* Optical bypass esterni disponibili per ovviare a problemi di alimentazione
© 2004 Cisco Systems, Inc. All rights reserved. 28Deployment
Topologie trasparenti
SCE2000
S1 N1 S2 N2
• Due Monopath Subscribers Network
Singolo SCE2000 su 2 link
Active Link
Bypass config: Fail Closed
Active Link
SCE2000
S1 N1 S2 N2
• Asimmetrico 1+1
Subscribers Network
Active/Active. SCE su ogni
link
S1 N1 S2 N2
SCE2000 cascade risolve SCE2000
problema routing Active Link Master
asimmetrico
Bypass config: Fail Open
© 2004 Cisco Systems, Inc. All rights reserved.
Active Link Slave 29Deployment
SCE2000 “Cascade” per Alta Affidabilità
• Risolve problema split flow tra due link
• La funzionalità SCE2000 cascade assicura la
consistenza dei flussi
Slave inoltra tutto il traffico al Master per il processo dei
dati
Master aggiorna lo Slave con informazioni sullo
Stato/regole per utente
I ruoli cambiano in caso di problema sul percorso primario
Master
Active Link
Active Link Slave
© 2004 Cisco Systems, Inc. All rights reserved. 30Active / Standby Schemes
• 1+0 (SCE1000, SCE2000)
Active/Standby. SCE sul link attivo
In caso di problema, la rete utilizza il
percorso alternativo
Standby Link
No ridondanza di servizio
Bypass config: Fail opened
Active Link
• 1+1 (SCE1000, SCE2000)
Active/Standby. SCE su ogni link
In caso di problema, la rete utilizza il
percorso alternativo
Standby Link
SCE in Standby riprende il servizio
Bypass config: Fail opened
© 2004 Cisco Systems, Inc. All rights reserved. 31Gestione e Integrazione
Network Configurazione
Gestione Utente Raccolta Dati
Management Policy/Servizi
Definizione di
Raccolta dati di
policy e Gestione
utilizzo per
Descrizione FCAPS propagazione dinamica dei
report e
agli apparati contesti utente
addebito
SCE
SC-API
Protocolli SM API
SNMP, CLI, SSH GUI, Scripts RDR-Protocol
e Tool Radius
XML
Service Control
Moduli Software Subscriber Collection
N/A Application
Esterni Manager Manager
Suite GUI
© 2004 Cisco Systems, Inc. All rights reserved. 32Collection Manager
• Le funzioni di analisi e processo dei dati dell’ SCE producono
i Raw Data Records (RDRs)
• RDR sono inviati al “Collection Manager” dove sono elaborati
Cisco Collection Manager
Third party
• Granularità dei dati configurabile
Intervallo tra RDR
Parametri di campionamento
© 2004 Cisco Systems, Inc. All rights reserved. 33Collection Manager—RDR Protocol
• I dati sull’utilizzo sono inviati dall’apparato tramite il protocollo RDR
TCP, codificato in binario
Supporto di multiple destinazioni, failover
• RDR-Protocol integrato direttamente in sistemi di terze parti
Policy-Control, Mediation, Home grown customer
RDR PROTOCOL
MEDIATION
COLLECTION
PLATFORM
TCP
RDR Stream RDR RDR RDR RDR RDR
RDR Header Field 0 Field 1 Field n
© 2004 Cisco Systems, Inc. All rights reserved. 34Collection Manager Software
• CM-Software
Unix (Solaris, Linux) Java software
Collection software memorizza I dati in qualsiasi database JDBC
Qualsiasi strumento di report di terze parti può essere usato per
interrogare il DB e generare report
• CM-Bundle
Cisco offre una versione software pre-pacchettizata con un DB (Sybase) e
Reporting tool (con 50 report)
© 2004 Cisco Systems, Inc. All rights reserved. 35Subscriber Management
• Soluzione “Subscriber-aware”
• Gestisce Contesti-Utente
Subscriber-ID
Network-ID
Policy-ID
Subscriber-quotas
• Integrazione back-office/AAA
Radius AAA
Policy Control Systems (Tazz Networks)
• Cisco Subscriber Manager (CSM) serve
come punto di integrazione
© 2004 Cisco Systems, Inc. All rights reserved. 36Subscriber Manager
Radius Un sistema di provisioning Policy Info.
Integrazione con AAA forza le policy su SM
Server—ottiene informazioni
utente dinamiche e le Provisioning
comunica a SM
System
Cisco Subscriber Manager
Event Manager
Radius/SM-API
Radius
Internal SDB
SM registra informazioni
utente e le policy tenendone SCE device Controller
traccia e le distribuisce agli
apparati SCE
SUBSCRIBERS NETWORK
B-RAS
© 2004 Cisco Systems, Inc. All rights reserved. 37Sommario
• La rete evolve e può includere maggiore “intelligenza” per
l’abilitazione e il controllo di servizi
• No impatto sulle prestazioni
• Integrazione con realtà esistente
• Capacità di :
¾ Analisi
Identificazione utenti / applicazioni / profili
¾ Controllo
Garanzia apps Mission Critical /Limite abusi /identificazione traffico
anomalo
¾ Report
Report dettagliati per utente / applicazione / sessione
© 2004 Cisco Systems, Inc. All rights reserved. 38© 2004 Cisco Systems, Inc. All rights reserved. 39
Puoi anche leggere
