Лекция 8. SDN и NFV. от абонента до Internet Exchange (россия)

SDN и NFV: от абонента до Internet eXchangeМосква, 22 апреля 2016Сергей МонинЦПИКСЦентр прикладных исследований компьютерных сетейПервый Центр Компетенций в области SDN в РФ (с 2012 года)«Точка роста» для SDN-исследований в РФПоддержка трансфера SDN-технологий в РФПодготовкаквалифицированныхисследований и разработокСоздание передовых решений в области SDN и NFVкадровРешения в области SDN и NFVНИОКР для индустрииЦентр Тестирования решенийв области SDN&NFVдляSDN-Образовательные программыОбщая схема сети«Абонент-Оператор-IX»ЦОД оператора связиBRAS, BPE,IPTV, FW,CGNATТранспортная сетьоператора связиЦОДDR1AR1Абоненты (С/В)IXACGPONDR2AR2…AR nСеть абонента «С»Конечные абоненты могут использовать универсальные устройства«вечные», управляемые оркестратором провайдераСеть абонента «В»B2B абоненты могут использовать решенияSDN Enterpriseи интегрировать их с NFVСеть абонентаB2B абоненты могут использовать решения SDN Enterpriseи интегрировать их с NFV (простой вариант)B2B абоненты могут использовать решения SDN Enterpriseи интегрировать их с NFV (сложный вариант)Что делать, если у вас:- трафик 10Gb/s требует шифрации и NAT,- имеются 18 FullView BGP соседей,- требуется DPI гигабитного трафика на предмет 200 сигнатур последнего вируса- и при этом вы испытываете DDoS атаку ?Два пути:1.

Купить самые мощные middlebox вашего вендора и приготовится делать это раз вдва года,2. Купить обычный сервер (DPDK, SPDK, Netmap,QEMU, OpenVSwitch….)GUI+Средство визуализации = EasyWayПеречень приложений для контроллера, работающего в сети предприятия:•Приложение для сегментации сети и ограничения трафика +Поддержка QoS•Приложение “Edge”: VPN + функции Firewall+NAT и маршрутизацияс филиалами, провайдерами и партнерами, туннелирование трафика.•Приложение ААА- работа с пользователями•Приложение Mirror для зеркалирования трафика•Приложение IPS для санации трафика на предмет зловредностей•Приложение AntiDDoS для динамической блокировки бот-сетей•Модуль интеграции с WiFi контроллерами Мы встраиваем мощный сервер NFV в инфраструктуру сети, управляемойSDN контроллером.

Это позволяет управлять цепочками сервисов не толькопро-активно, но и реактивно, динамически.Пример:Про-активное правило «весь трафик следующий на адреса партнера Х.Х.Х.Хдолжен сначала пройти шифрацию на NFV сервере»Реактивное правило «В случае если приложение IDS на контроллереподозревает аномалию в трафике пользователя Y весь его трафикперенаправить на систему IPS NFV»Сеть оператораАгрегация трафика – AR (аппаратный VS программный)• Сервера Intel с большим числомсетевых интерфейсов• OC Linux, Ubuntu 14.04, REHL• Программный коммутатор – на подобииOpen vSwitch• Сетевой стек на базе Intel DPDK• Количество портов (пример):• 24x 1Gbps портов• 12x 10Gbps портов• 80Gbps на устройство• Поддерживаемые протоколы:OpenFlow1.3, lacp, vlan, bfd, stp, QoS, ipv6,gre, vxlan…Программный коммутатор:+: полная поддержка OpenFlow1.3 (поиск по всем полям,метеринг, qos)+: неограниченное кол-во таблици записей+: можно легко изменять подзаказчика+: масштабированиепроизводительности-: цена и размерСеть оператораРаспределение трафика – DR решение на NP5 от ЦПИКС Модуль управления:•••4x10/1Гб/с1х1Гб/с1 RS-232 console Сетевые интерфейсы:•44x10Гб/сили•11x40Гб/с QSFP+или•4х100ГБ/с Высота 1.5U Монтаж в стойку 19”Сетевой процессор производительностью до 240 Гб/с, 500 миллионов пакетов в секунду5-уровневая иерархическая система очередизации.

Поддержка WFQ c приоритетной очередьюПоддержка WRED, Shaping (CIR, PIR), Per flow metering, marking, policing для миллионов потоковL2-4 switching/routing. Сбор статистики по потокам, программируемые пороги. 512М счетчиковСеть оператораАгрегация трафика – AR/DR: Управление QoS с помощью Flow (De) Multiplexing ProtocolFDMP роутерУправлениеSDNкоммутаторыРасширенный TCP API FDMP агент на стороне отправителя:разделяет поток байтов от отправителяна несколько TCP потоков и передаёт ихнезависимо друг от другаСамодостаточныеTCP потокиFDMPагентFDMPагентПриложенияс требованиямипо качествуСамодостаточныеTCP потокиFDMP роутер:• Обнаруживает попытки установить новые FDMPсоединения и потоки• Маршрутизирует их так, чтобы уменьшить взаимноевлияние потоков одного FDMP соединения• Задействует сетевые ресурсы вдоль нескольких путейчерез сетьСреда FDMPРасширенный TCP API Число TCP потоков изменяется динамическив зависимости от актуального состояниясети и текущих требований приложенийА так же PQ, WRR, Polcier/Shaper, управление очередями!Приложенияс требованиямипо качествуSDN контроллер FDMP агент на стороне получателя:собирает из пакетов, приходящих через TCPпотоки от отправителя, оригинальный потокбайтовFDMP агента можно ставить на vCPEСеть оператора.

ЦОДВиртуализация сервисов- Self Organizing CloudЧто это меняет?Примерысетевых функцийоблачная платформа Сloud Conducter от ЦПИКСLBVNF #2ИсточниктрафикаRouterКлиентFirewallLoad BalancerDistribution SwitchWeb ServerFWVNFLBVNF #1Сеть оператора. ЦОДВиртуализация сервисов“For Clients. By Clients.”Язык описания тенантаТенантВМКлиентыКак описатьсетевой сервис?Сетевой элементЭлементная базадля создания тенантаХранилищеВМL2-доменСетевой элементХранилищеL2-доменШаблоны элементовСервисКлиентыШаблоныВМШаблонысетиJSONXMLПК Сеть оператораСистема управления сетьюпервый российский SDN-контроллер RUNOSRUssian Network Operation SystemЕсть разные варианты контроллера с единой базой и различным наборомсервисов и приложений•Открытая версия на Github•Своя база на C++11/14, а не Javaцель: упростить разработку сетевых приложений и не забывать опроизводительностиприложения: топология, маршрут, перестроение в случае обрыва, REST, WebUI,проактивная загрузка правил, резервирование Active-PassiveВнутренняя ядерная версия•http://arccn.github.io/runos/Супер-производительность 30 млн событий в секундуРазработка приложений под заказчикаВнутренняя версия с приложениями под оператора связиБаза такая же, как и на Github.

Заказчики сами могут разрабатыватьприложения. Учиться по доступным материаламСервисы B2C, B2B (p2p, mp2mp, multicast, и т.п.)Active-Standby режимМО МРФ – МО МРФMACRO ORC - TELCO CLOUDSDX - RUNOSМРФ = 7 штОбласть действия решения(глобально) Филиал = 64 штТрафик управленияCOREМРФ №1BSSMACROORC.XNATCOREBSSMACRO DCКонтр.SDXФилиал 1TELCOCOREMACROORC.XFWTELCO NATNATМРФ №7Контр.SDXФилиал 1Филиал 2TELCOMACRO DCXFWФилиал 2TELCOXFWNATFWDR1DR2DR1DR2DR1DR2DR1DR2AR1ARnAR1ARnAR1ARnAR1ARnФилиалSDN/OpenFlowcontrollerTelco Cloud/Telco LegacyCGNATSDN/OpenFlowcontrollerAR6DDoSDR2DR1AR1AR5GWBRASAR7AR2AR8AR3AR4Сервисы и сервисные модели, обеспечиваемые филиалом1.Транзит L2 трафика B2C и B2B/G абонентов к сервисным устройствам.2.Транзит L2 трафика между точками присутствия абонентов B2B, B2G (точка-точка, точка-многоточка, многоточка-многоточка)3.Резервирование путей движения клиентского трафика по необходимости с минимальным временем восстановления сервиса.4.Обеспечение многопараметрической маршрутизации трафика, в том числе и на основании выбора кратчайшего пути.5.Транзит multicast и VoIP трафика абонентам6.Транспорт трафика мобильной сети и синхронизации – mobile backhaul.7.Обеспечение параметров QoS для трафика клиентов (PQ,WRR, Policiers, очереди), отдельно управляющего трафика.8.

Обеспечение управления «out of band» для DR и «in band» для AR9.«Шторм-контроль» для широковещательного трафика10. Построение сервисных моделей через произвольную топологию AR-DR11. Поддержка LAG, в том числе с протоколом LACP12. Отказоустойчивость контроллеров SDN по принципу Active/Standby13.

Статистика и CLI на коммутаторах ПКС, отображение статистики в GUI в режиме реального времени.14. Интеграция с OSS/BSS системами.Сервисная модель B2CCGNATBRAS 1BRAS 2MACLearningBRASОбеспечение надежного доступа вInternet и к сервисам, предлагаемымРТК для абонентов.РезервныйсервисPWтуннельDR1DR2AR1AR2QinQPPPOEсессияСервисная модель B2BОбеспечение надежного доступа в Internet и ксервисам, предлагаемым РТК для абонентов.

Атак же связь между точками присутствияабонента. (МР/Р2Р)Реализовано с помощьюТехнологии «Синтетический МАС»Система управления сетью первый российский SDN-контроллер RUNOSИ набор приложений для управлению сетьюРабочее место оператораУправление в режиме реального времениВопросы?arccn.ru@ArccnNewsinfo@arccn.rusmonin@arccn.ru.