Обзор технологий и средств контроля...
DESCRIPTION
TRANSCRIPT
© 2011 Cisco and/or its affiliates. All rights reserved. 1
Cisco Expo 2012
Обзор технологий и средств контроля производительности приложений в корпоративной сети
Константин Григорьев Системный инженер
25 октября 2012 года
© 2011 Cisco and/or its affiliates. All rights reserved. 2
Необходимость идентификации приложений
Расширенная классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 3
“Я бы мог избежать простоев сети, зная
как используются её ресурсы”
“Нам неизвестно, сколько пользователей
испытывают проблемы с
производительностью”
“Мы не можем точно определить, что
является источником проблемы –
клиент, сеть или сервер”
“Нам не хватает статистики и
исторических данных, чтобы проактивно
обнаруживать нежелательные тренды
и их причины”
“Мне нужно понимать, соблюдаются ли
SLA”
“Я хочу ограничить использование
ресурсов сети нежелательными
приложениями”
© 2011 Cisco and/or its affiliates. All rights reserved. 4
Эволюция
приложений
Облака и
виртуализация –
централизованные
ресурсы
Множество устройств,
обеспечивающих
доставку приложений
Идентифицировать
растущее кол-во
приложений, не
использующих
статические порты
Изолировать проблемные
места, минимизировать
простои сети и влияние на
бизнес
Определить
производительность и
время отклика
приложений для конечных
пользователей
© 2011 Cisco and/or its affiliates. All rights reserved. 5
Увеличенная задержка
Проблема с WAN-каналом
Проблема с приложением
Проблема с сервером
Проблема у пользователя
Сеть очень
медленно
работает, я не
могу ничего
сделать!
Я не наблюдаю
никаких
проблем в сети Конечный
пользователь
Сетевой
администратор
Что видят пользователи? Что видят администраторы? В чём проблема?
ping?
show ip route?
traceroute?
show interface?
© 2011 Cisco and/or its affiliates. All rights reserved. 6
Сеть должна знать приложения
Узнать о работающих в сети приложениях, трендах
производительности, текущем времени отклика приложений
для пользователей и т.д.
Интеллектуально приоритезировать, контролировать и перенаправлять
трафик приложений. Улучшить время отклика приложений для
пользователей
© 2011 Cisco and/or its affiliates. All rights reserved. 7
Branch
Office
Data Center
Servers Web
Servers
DPI
Performance
Monitoring
Appliance
До AVC Решение AVC
Branch
Office
Data Center
Servers Web
Servers
AVC
on
ASR1K
AVC
on
ISR G2
Management Management
Интегрированное решение
• Идентификация более 1200 приложений на платформах ISR G2 и ASR 1000
• Простая активация программного обеспечения
Богатые возможности мониторинга и
контроля
• Детальная статистика по трафику – время отклика и пропускная способность
• Набор инструментов для контроля (HQoS, PfR, WAAS)
Гибкое внедрение
• Филиал, ЦОД, подключение WAN, подключение Internet
• Поддержка средств управления Cisco и сторонних производителей
ISR-G2: 15.2(2)T1
ASR1K: XE 3.4S
© 2011 Cisco and/or its affiliates. All rights reserved. 8
Увеличение
производительности
работы приложений:
QoS или PfR для
контроля и
оптимизации
использования
ресурсов сети
ASR1K
ISR G2
Контроль
High
Med
Low
Расширенные
средства
агрегируют
информацию и
предоставляют
отчёт о работе
приложений
App Visibility &
User Experience Report
Средства
отчётности
ISR G2 & ASR собирают
информацию о
пропускной способности
и времени отлика
приложений и
экспортируют
информацию системам
управления
ASR1K
ISR G2
FNFv9
FNF
IOS PA
Reporting Tool Сбор и экспорт
информации
Reporting Tools
App BW Transaction
Time
…
WebEx 3 Mb 150 ms …
Citrix 10 Mb 500 ms …
DPI engine
(NBAR2)
идентифицирует
приложения
используя L7-
сигнатуры
ASR1K
ISR G2
Глубокий
анализ пакетов
© 2011 Cisco and/or its affiliates. All rights reserved. 9
Необходимость идентификации приложений
Расширенная классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 10
Методы традиционной классификации в прошлом
Статической классификации на портах TCP/UDP теперь недостаточно
Приложения непрозрачны (например, потоки видео)
Использование шифрования, туннелей и закрытость приложений
Stateful inspection – динамически назначаемые TCP/UDP порты
Сессии состоят из потоков различных приложений (видео, голос, данные)
Распространение IPv6 и переход на IPv6 с использованием различных transition-методов
© 2011 Cisco and/or its affiliates. All rights reserved. 11
NBAR2
IOS NBAR +150 сигнатур
Классификация SCE
+1200 сигнатур
Расширенные механизмы классификации
Инновации Классификация IPv6
Открытый API для интеграции сторонних приложений
• NBAR2 – новое поколение в развитии механизмов классификации
• Новые компоненты глубокого анализа пакетов (DPI) обеспечивают расширенную классификацию приложений и механизмы извлечения полей (унаследовано от SCE)
• Обратная совместимость с предыдущей версией NBAR
• Уникальная структура категорий и подкатегорий приложений
• Поддержка более 1200 приложений и протоколов - http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6616/product_bulletin_c25-627831.html
© 2011 Cisco and/or its affiliates. All rights reserved. 12
Классификация протоколов и приложений
Упрощение конфигурации и агрегация отчётов Categories Sub-Categories Application-Group P2P-technology Tunnel Encrypted file-sharing client-server ftp-group n n n
browsing other other y y y
net-admin routing-protocol ipsec-group unassigned unassigned unassigned
other tunneling-protocols imap-group
internet-privacy network-management irc-group
instant-messaging voice-video-chat-collaboration kerberos-group
email authentication-services ldap-group
newsgroup database sqlsvr-group
voice-and-video naming-services netbios-group
business-and-productivity-tools terminal nntp-group
industrial-protocols streaming pop3-group
gaming p2p-networking snmp-group
obsolete p2p-file-transfer tftp-group
trojan control-and-signaling fasttrack-group
layer3-over-ip inter-process-rpc gnutella-group
location-based-services remote-access-terminal skinny-group
layer2-non-ip network-protocol edonkey-emule-group
commercial-media-distribution bittorrent-group
rich-media-http-content smtp-group
license-manager windows-live-messanger-group
epayement yahoo-messenger-group
storage flash-group
backup-systems skype-group
one-click-hosting corba-group
© 2011 Cisco and/or its affiliates. All rights reserved. 13
• Обнаружение протоколов приложений на интерфейсах
• Экспорт Netflow v9
• Поддержка для входящего и исходящего трафика
• Top-N для всех интерфейсов и для каждого отдельного интерфейса с активированным NBAR
interface GigabitEthernet0/0/2
ip nbar protocol-discovery
ASR-1000#sh ip nbar protocol-discovery top-n
GigabitEthernet0/0/2
[snip]
Input Output
----- ------
Protocol Packet Count Packet Count
Byte Count Byte Count
5min Bit Rate (bps) 5min Bit Rate (bps)
5min Max Bit Rate (bps) 5min Max Bit Rate (bps)
------------------------ ------------------------ ------------------------
itunes 1352704 413286
2042671577 28254387
3395000 18000
15000000 208000
secure-http 584678 330847
640511303 76683682
2357000 196000
8847000 353000
youtube 139631 66440
207492818 3869014
1296000 17000
3575000 80000
bittorrent 37186 82432
11025469 113101301
81000 248000
84000 2465000
© 2011 Cisco and/or its affiliates. All rights reserved. 14
WAN1 (IP-VPN)
WAN2 (IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
HQ
• Обнаружение протоколов приложений на интерфейсах
• Консолидированная классификация для IPv4/IPv6 трафика
• Поддержка для входящего и исходящего трафика
class-map match-any peer2peer
match protocol kazaa2
match protocol gnutella
match protocol fastrack
policy-map limit-p2p
class peer2peer
bandwidth percent 10
interface Serial1
service-policy input limit-p2p
Какой трафик?
Какие политики
для этого
трафика?
Где применять
политики?
Internet
IPv4
Native IPv6
© 2011 Cisco and/or its affiliates. All rights reserved. 15
WAN1 (IP-VPN)
WAN2 (IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
HQ
class-map my-class1
match protocol attribute category email ‘email’ включает в себя
outlook, gmail, hotmail,
yahoo-mail, и т.д.
• Более широкий выбор различных типов специфичных приложений на базе аттрибутов
• Category, sub-category, p2p, tunnel…
IPv4
Native IPv6
Internet
class-map my-class2
match protocol attribute category filesharing
‘filesharing’ включает в себя
FTP, CIFS, Bittorrent и т.д.
class-map match-any excluded-apps
match protocol ftp
match protocol cifs
class-map my-class2
match protocol attribute category filesharing
match not class-map excluded-apps
Хотим исключить FTP, CIFS
© 2011 Cisco and/or its affiliates. All rights reserved. 16
• Новые релизы IOS и IOS XE поставляются с новыми наборами PDL – Protocol Description Language (show ip nbar version)
• PDLM представляет из себя update с реализацией поддержки новых приложений (PDLM доступен на www.cisco.com )
• Набор из нескольких PDLM выпускается как protocol pack, начиная с 15.2(4)M и XE 3.7S (show ip nbar protocol-pack)
• Инсталляция protocol pack не требует замены IOS и перезагрузки маршрутизатора
PDLM
(bittorrent.pdlm ,
citrix.pdlm и т.д.)
Protocol Pack
PD
LM
PD
LM
PD
LM
ip nbar pdlm
<path_to_pdlm_file>
ip nbar protocol-pack
<path_to_protocol_pack>
NBAR2
© 2011 Cisco and/or its affiliates. All rights reserved. 17
• Приложение может быть не идентифицировано
• Определение используемых портов и протоколов приложения
• Использование custom protocol-> загрузка с www.cisco.com и использование PDLM-файла
• Назначение портов для custom protocol и использование MQC
Router# debug ip nbar unclassified-port-stats
Router# show ip nbar unclassified-port-stats
Port Proto # of Packets
------- -------- -------
6346 tcp 347679
27005 udp 55043
Router# ip nbar port-map custom-02 tcp 5634 6346 6347 6348 6349 6355
Router(config)# class-map gnutella
Router(config-cmap)# match protocol custom-02
Router(config-cmap)# exit
Router(config)# policy-map sample
Router(config-pmap)# class gnutella
Router(config-pmap-c)# police 1000000 31250 31250 conform-action drop
exceed-action drop violate-action drop
Детальная информация – http://www.cisco.com/en/US/tech/tk543/tk757/technologies_tech_note09186a0080094ac5.shtml
© 2011 Cisco and/or its affiliates. All rights reserved. 18
• Обнаружение протоколов
Обнаруживает приложения и предоставляет статистику в режиме реального времени
Статистика по интефейсам, по приложениям, по направлениям и т.д.: Bit rate (bps), количество пакетов, количество байт и т.д.
Информация доступна для систем мониторинга через CISCO-NBAR-PROTOCOL-DISCOVERY-MIB
• Использование с Flexible NetFlow (независимо от QoS) или Performance Agent (PA)
Использует ‘application name/ID’ поля в flexible netflow (FNF)
Application name/ID включены в отчёты экспорта NetFlow
• Использование в C3PL/MQC (class-map) CLI - ‘match protocol’
Оптимизация и изоляция приложений, применение политик QoS
Используется другими различными функциями IOS (QoS, performance monitor, IOS FW)
• Интеграция с PfR через ‘traffic-class application nbar’
© 2011 Cisco and/or its affiliates. All rights reserved. 19
Необходимость идентификации приложений
Расширенная классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 20
• Расширение механизмов классификации с уровня сети до уровня конечных устройств
• Конечное устройство может предоставить информацию, которая обычно недоступна или не видна в сети
Этот поток промаркирован
DSCP = EF
Этот поток содержит RTP
Voice
Этот пакет маркирован DSCP=EF
Пакет приходит с интерфейса Fast1/0
Пакет приходит с устройства “Desk1”
Пакет приходит от пользователя “Иван”
Пётр Петров
Голосовой звонок между Иваном и Петром
Голосовой звонок инициируется приложением “X”
Пакеты маркированы DSCP=EF
Мне известно много информации от
приложения, которую я не передаю
Иван Иванов
© 2011 Cisco and/or its affiliates. All rights reserved. 21
1. Приложение
создаёт Metadata
Meta
data
DB
Meta
data
DB
Meta
data
DB
10.1.1.2 20.1.1.2
3. Медиапоток 2. Передача
информации
Metadata
Экспорт данных
для системы
мониторинга
QoS на базе
Metadata
IP Src IP Dst Prot L4
Src
L4
Dst
Application Vendor Dial From Dial To Caller ID
10.1.1.2 20.1.1.2 UDP 2000 4000 Video-
Conference
(Audio)
Cisco 83922564 85268229 Ivan
Ivanov
Идентификация потока Metadata
© 2011 Cisco and/or its affiliates. All rights reserved. 22
WAN1 (IP-VPN)
WAN2 (IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
HQ
• Сети Cisco с использованием Metadata & Media Services Proxy
Устройства с поддержкой Metadata (WebEx, DMS, IP-камеры видеонаблюдения, VXС, TelePresence, Tandberg , CIUS, Jabber и другие в будущем) - Media Services Interface (MSI)
Устройства, не поддерживающие Metadata – используйте Media Services Proxy (MSP) на сетевом устройстве доступа (ISR G2, Catalyst 4500 и другие в будущем)
Metadata Signaling
class-map my-class
match metadata global-session-id <>
match metadata end-point [model | vendor | version]
© 2011 Cisco and/or its affiliates. All rights reserved. 23
WAN1 (IP-VPN)
MC/BR
MC/BR
BR
MC/BR
BR
BR
HQ
Филиал
IP Src IP Dst Prot L4 Src L4 Dst Application Vendor Dial
From
Dial
To
User
Идентификация потока Metadata
Metadata от конечного устройства
10.1.1.1 125.1.1.1 90 4080 1234 telepresence Cisco
MSP на сетевом
устройстве доступа
rtp 1001 2002 Bob
NBAR на
пограничном
маршрутизаторе
telepresence-
video
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Необходимость идентификации приложений
Расширенная
классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Interface
Source IP Address
Source Port
Destination Port
NetFlow
Мониторинг на уровнях L2-L4
Идентификация приложения по
номеру порта
7 ключевых полей для
идентификации потока
Информация о потоке: кто, что,
когда, где и т.д.
NBAR
Анализ данных на уровнях L3-L7
Использование для
классификации данных L3-L4 +
анализ пакетов
Анализ трафика с динамическими
портами
Статистика по кол-ву пакетов и
байтов
Protocol
Link Layer
Header
Deep Packet (Payload) Inspection
ToS NetFlow
NBAR
Destination IP Address
IP Header
TCP/UDP
Header
Data
Packet
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Традиционный NetFlow
SrcIf SrcIPadd DstIf DstIPadd Protocol SrcPort DstPort
Fa1/0 173.100.21.2 Fa0/0 10.0.227.12 11 00A2 00A2
Fa1/0 173.100.3.2 Fa0/0 10.0.227.12 6 15 15
Fa1/0 173.100.20.2 Fa0/0 10.0.227.12 11 00A1 00A1
Fa1/0 173.100.6.2 Fa0/0 10.0.227.12 6 19 19
Кэш NetFlow
7 ключевых
полей Export
Export
Export
Export
Получатель 1
Получатель 2
Получатель 3
Кэш потока 1 DstIPadd Protocol TOS
10.0.227.12 11 80
10.0.227.12 6 40
10.0.227.12 11 80
10.0.227.12 6 40
Protocol TOS Flgs
11 80 10
6 40 0
11 80 10
6 40 0
SrcIf SrcIPadd DstIf
Fa1/0 173.100.21.2 Fa0/0
Fa1/0 173.100.3.2 Fa0/0
Fa1/0 173.100.20.2 Fa0/0
Fa1/0 173.100.6.2 Fa0/0
Flow Monitor 1
Flow Monitor 2
Flow Monitor 3
Кэш потока 2
Кэш потока 3
Реализация нескольких “flow cache” (flow monitor) для различных задач, с их одновременной работой
© 2011 Cisco and/or its affiliates. All rights reserved. 27
Ключевые поля Пакет #1
Source IP 10.1.1.1
Destination IP 173.194.34.134
Source Port 20457
Destination Port 23
Layer 3 protocol 6
TOS byte 0
Ingress Interface Ethernet 0
Src. IP Dest. IP Src. Port Dest.
Port
Layer 3
Prot.
TOS
Byte
Ingress Intf.
10.1.1.1 173.194.34.13
4.
20457 80 6 0 Ethernet 0
Ключевые поля Пакет #2
Source IP 10.1.1.1
Destination IP 72.163.4.161
Source Port 30307
Destination Port 80
Layer 3 protocol 6
TOS byte 0
Ingress Interface Ethernet 0
Src. IP Dest. IP Src.
Port
Dest.
Port
Layer 3
Prot.
TOS
Byte
Ingress Intf. App
Name
Times
tamps
Bytes Packets
10.1.1.1 173.194.34.134 20457 23 6 0 Ethernet 0 HTTP
10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube
Кэш NetFlow
News
router(config)# flow record app_record
router(config-flow-record)# match ipv4 source address
router(config-flow-record)# match ipv4 destination address
router(config-flow-record)# match …..
router(config-flow-record)# collect application name
Первый пакет в потоке создаст запись Flow entry с использованием “ключевых полей”
Остальные пакеты этого же потока будут только обновлять статистику (байты, счётчики, временные метки и т.д.)
© 2011 Cisco and/or its affiliates. All rights reserved. 28
flow exporter my-exporter
destination 1.1.1.1
flow record my-record
match ipv4 destination address
match ipv4 source address
collect counter bytes
flow monitor my-monitor
exporter my-exporter
record my-record
int s3/0
ip flow monitor my-monitor input
Настройка Exporter
Настройка Flow Record
Настройка Flow Monitor
Настройка интерфейса
© 2011 Cisco and/or its affiliates. All rights reserved. 29
flow record fnf-QoS-record
match ipv4 source address
match ipv4 destination address
match application name
match ipv4 dscp
match flow class-id
collect counter bytes
collect counter packets
!
flow monitor fnf_monitor
record fnf-QoS-record
!
interface eth0/0
ip flow monitor fnf-monitor output
!
Отображение информации о приложении в flow
record (записи Netflow) обеспечивается
функциональностью NBAR
Поддержка сбора статистики и отчётов для
трафика протоколов IPv4/IPv6
Flow class-id отображает класс, к которому
относится это приложение
Flow export format - Netflow version 9 (RFC 3954)
или IPFIX (RFC 5101)
Графическое отображение информации о
приложениях, с использованием collector’ов
(например, Plixer)
show flow mon <fnf_mon> cache
IPV4 SRC IPV4 DST APP NAME DSCP Class-id
======== ======== ======== ==== ========
10.0.1.1 10.0.1.2 nbar ssh 0x20 Management
10.0.1.1 10.0.1.2 nbar telnet 0x20 Management
10.0.1.1 10.0.1.2 NBAR my-app 0x22
Transactional
© 2011 Cisco and/or its affiliates. All rights reserved. 30
show flow mon <app_mon> cache
IPV4 SRC ADDR IPV4 DST ADDR APP NAME Hostname URL… …
=============== ============== ============= =============== ===========
10.0.1.1 10.0.1.2 nbar http www.google.com /news
router(config)# flow record HTTP_record
router(config-flow-record)# match ipv4 source address
router(config-flow-record)# match ipv4 destination address
router(config-flow-record)# match application name
router(config-flow-record)# match application http hostname
router(config-flow-record)# match application http URL
News
• NBAR извлекает поля из потоков и передаёт их Flexible NetFlow
• Поддержка HTTP-полей (Hostname и URL) в релизах 15.2(4)M и IOS XE 3.7.0S
NEW
© 2011 Cisco and/or its affiliates. All rights reserved. 31
Необходимость идентификации приложений
Расширенная
классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 32
Какие приложения, какая полоса пропускания, направления потоков?
(Flexible Netflow и NBAR/NBAR2) Стандартный
мониторинг
• Интегрированные средства расширенного мониторинга производительности для различных типов приложений
HTTP HTTP
Производительность голоса и
видео
(Media Monitoring)
Расширенный
мониторинг
30% трафика –
голос и видео
Производительность
критичных приложений
(Performance Agent)
40% трафика –
бизнес-критичные
приложения
© 2011 Cisco and/or its affiliates. All rights reserved. 33
Плохо
работают
приложения!
Долго
грузится
почта!
Branch ЦОД
Как
обеспечить
соблюдение
SLA?
Ключевые функции
Использование приложений (пропускная
способность, Top N)
Метрики времени отклика приложений
Интеграция с NBAR/NBAR2 для идентификации
приложений
Стандартный экспорт Netflow v9 (IPFIX в
будущем)
Возможное внедрение с WAAS Express
Преимущества
Информация о производительности и использовании приложений WAN в ЦОД и удаленных филиалах
Оценка восприятия приложений для пользователей с использованием метрик времени отклика
Определение “узких мест” для приложений
Оценка эффективности оптимизации WAAS
Средство
отчётности
WAN
NFv9
ISR G2: сейчас
ASR1K: В будущем
© 2011 Cisco and/or its affiliates. All rights reserved. 34
• Несколько сегментов на пути доставки приложения
• Анализ времени отклика приложений на каждом сегменте
• Анализ поведения приложения определяет источник проблемы (узкое место – локальная сеть, WAN или сервер) для её изоляции
• Внедрение IOS PA в ISR обеспечивает возможности для end-user мониторинга (NAM)
Application
Servers
Общая задержка
Client
Network
Clients
Сетевая задержка на
стороне клиента
Сетевая задержка на
стороне сервера Серверная
Задержка
Сетевая задержка
IOS PA
Server
Network
Запрос
Ответ
© 2011 Cisco and/or its affiliates. All rights reserved. 35
• Статистика по работе приложения и производительности с оптимизацией WAAS и без неё
• Каждый TCP-поток разделён на 3 сегмента, для каждого сегмента необходим источник для сбора и передачи статистики
Специфичные WAAS-метрики, например original и optimized bytes
Application Response Time (ART) метрики: transaction time, network delay и response time
• NAM коррелирует данные со всех источников и предоставляет единый отчёт по производительности приложений
WAN
Client Side
Un-optimized
WAN Side
Optimized
Pass-through
Server Side
Un-Optimized
FA
SPAN
or FA IOS PA
NAM 5.1
© 2011 Cisco and/or its affiliates. All rights reserved. 36
TT
Client IOS PA
Server
X
SYN
SYN-ACK
ACK 6
Request 1
ACK
DATA 4
DATA 3
DATA 5
DATA 3
Request 1 (Cont)
X
DATA 4
DATA 1
Request 2
DATA 6
DATA 2
ACK 3
ACK
SND
CND
• Время отклика Response Time (RT)
t(First response pkt) – t(Last request pkt)
• Время транзакцииTransaction Time (TT)
t(Last response pkt) – t(First request pkt)
• Сетевая задержка Network Delay (ND)
ND = Client Network Delay (CND) + Server Network Delay (SND)
• Задержка приложения Application Delay (AD)
AD = RT – SND
Request
Response
Оценка восприятия
пользователем
Идентификация
проблемы с
производительностью
сервера
Retrans
mission
RT
© 2011 Cisco and/or its affiliates. All rights reserved. 37
Метрики IOS PA
• Application ID (from NBAR2)
• Client/Server Bytes
• Client/Server Packets
• Source MAC Address
• Input/Output Interface
• IP DSCP
Метрики ART
• CND - Client Network Delay (min/max/sum)
• SND – Server Network Delay (min/max/sum)
• ND – Network Delay (min/max/sum)
• AD – Application Delay (min/max/sum)
• Total Response Time (min/max/sum)
• Total Transaction Time (min/max/sum)
• Number of New Connections
• Number of Late Responses
• Number of Responses by Response Time
(7-bucket histogram)
• Number of Retransmissions
• Number of Transactions
• Client/Server Bytes
• Client/Server Packets
Метрики WAAS Express
• Input/Output Bytes
• WAAS Connection Mode
TFO, TFO/LZ, TFO/DRE, TFO/LZ/DRE
• Input/Output DRE Bytes
• Input/Output LZ Bytes
© 2011 Cisco and/or its affiliates. All rights reserved. 38
flow exporter pa-export
destination 172.30.104.128
transport udp 3000
!
flow record type mace pa-record
collect application name
collect art all
!
flow monitor type mace pa-monitor
record mace-record
exporter mace-export
!
access-list 100 permit tcp any host
10.0.0.1 eq 80
class-map match-any pa-traffic
match access-group 100
!
policy-map type mace mace_global
class pa-traffic
flow monitor pa-monitor
!
interface Serial0/0/0
ip nbar protocol-discovery
mace enable
Этапы настройки
1. Настройка flow exporter
2. Настройка flow record типа mace
3. Настройка flow monitor типа mace
4. Настройка class-map
5. Настройка policy-map типа mace – имя политики должно быть ‘mace_global’
6. Активация на интерфейсе – ‘mace enable’
Активация NBAR2 для
идентификации приложений
Сбор информации о приложении
при помощи NBAR2
© 2011 Cisco and/or its affiliates. All rights reserved. 39
WAN Voice/video
Endpoints
Voice/video
Endpoints
Medianet
Perf Monitoring
FNFv9
Alarm
Syslog
FNFv9
Alarm
Syslog
Management Tool
i.e. PAM
Ключевые функции и основные преимущества
Ключевые функции
Мониторинг метрик голоса и видео - jitter, loss,...
Интеграция с NBAR2 для идентификации
приложений
Использование триггеров и генерация
alert/alarm
Стандартный экспорт Netflow v9
Преимущества
Мониторинг производительности голоса и видео в режиме реального времени
Упрощение поиска несправностей и изоляции проблемы – что, где, когда
Проактивный поиск неисправностей
Измерение SLA
© 2011 Cisco and/or its affiliates. All rights reserved. 40
Flexible
Netflow PerfMon
Пассивный мониторинг
Flow Record
Flow Record
Flexible Netflow - идентифицикация типов трафика в сети и общая
статистика
Performance Monitor - расширенные метрики RTP/TCP и
фильтрация/классификация трафика для мониторинга (на базе C3PL)
Активный мониторинг
Router 1 Router 2
IPSLA Responder IPSLA Sender
Active Probing
© 2011 Cisco and/or its affiliates. All rights reserved. 41
flow exporter pam
destination 10.35.89.61
transport udp 9991
!
flow monitor type performance-monitor medianet-perf-mon-monitor
record default-rtp
exporter pam
!
class-map match-any rtp-traffic
match protocol rtp
!
policy-map type performance-monitor medianet-perf-mon
class rtp-traffic
flow monitor medianet-perf-mon-monitor
react 1 transport-packets-lost-rate
threshold value ge 5.00
action syslog
!
interface GigabitEthernet0/0
service-policy output wan-qos
service-policy type performance-monitor input medianet-perf-mon
service-policy type performance-monitor output medianet-perf-mon
Шаблоны по умолчанию для RTP
Мониторинг RTP-трафика
Сбор статистики по производительности
трафика RTP
Уведомление в случае RTP loss > 5%
Мониторинг трафика RTP
на интерфейсе Gi0/0
© 2011 Cisco and/or its affiliates. All rights reserved. 42
Как мне всё это настроить?
Flexible
Netflow
flow record my-flow-record
match ipv4 source address
match ipv4 destination address
match application name
collect counter bytes long
(..)
flow monitor intf-fnf
(..)
interface Gi0/0/1
ip flow monitor intf-fnf input
ip flow monitor intf-fnf-output
Medianet
Performance Monitor
flow record type performance-
monitor medianet-record
match ipv4 source address
match ipv4 destination address
match application name
collect transport rtp-jitter
(..)
flow monitor type performance-
monitor medianet-mon
(..)
policy-map type performance-
monitor medianet
class rtp-traffic
flow monitor medianet-mon
interface Gi0/0/1
service-policy type performance-
monitor input medianet
service-policy type performance-
monitor output medianet
Performance
Agent
flow record type mace mace-record
collect art all
(..)
flow monitor type mace ios-pa
(..)
policy-map mace_global
class http-traffic
flow monitor type mace ios-pa
interface Gi0/0/1
mace enable
Flow byte-count, interface и т.д. Voice/video RTP-метрики, jitter и т.д. Время отклика приложений и т.д.
© 2011 Cisco and/or its affiliates. All rights reserved. 43
Унифицированная
политика
flow record type performance-monitor rtp-record
match ipv4 source address
match ipv4 destination address
match application name
collect transport rtp-jitter
(..)
flow record type performance-monitor art-record
match ipv4 source address
match ipv4 destination address
match application name
collect art all
(..)
flow monitor type performance-monitor rtp-mon
(..)
flow monitor type performance-monitor app-mon
(..)
policy-map type performance-monitor avc
class rtp-traffic
flow monitor rtp-mon
class tcp-app
flow monitor app-mon
(..)
!
interface Gi0/0/1
service-policy type performance-monitor input avc
service-policy type performance-monitor output avc
Flow byte-count, interface. Voice/video RTP-метрики, jitter и т.д. Время отклика приложений и т.д.
Мониторинг на базе политик
Классы трафика для мониторинга, выбор параметров и полей для сбора статистики в рамках единой политики
IOS XE
3.8S
© 2011 Cisco and/or its affiliates. All rights reserved. 44
Необходимость идентификации приложений
Расширенная
классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 45
BR
HQ
Campus WAN Aggregation
Campus
Access
Campus
Distribution
Si
Si
BR
Si
Si
ToS Src IP
Addr
Dest IP
Addr
IP Packet TCP/UDP Packet
Src Port
Data Packet
Sub-Port/Deep Inspection Dst Port Protocol
App Vendor Dial From Dial To Caller ID
Video-Conference
(Audio)
Cisco 83922564 85268229 Albert
Albatross
Metadata
Src IP Dst IP S Port D Port DSCP
1.1.1.1 1.1.1.2 16384 16399 46
ACL
NBAR2
© 2011 Cisco and/or its affiliates. All rights reserved. 46
Application BW Priority
Business Critical Committed 50% High
Browsing 30% (=15% of the line) Normal
Internal
Browsing
60% (Out of Browsing)
Remaining 70% (=35% of the line) Normal
class-map match-all business-critical match protocol citrix match access-group 101 class-map match-any browsing match protocol attribute category browsing class-map match-any internal-browsing match protocol http url “*myserver.com*” policy-map internal-browsing-policy class internal-browsing bandwidth remaining percent 60 policy-map my-network-policy class business-critical priority percent 50 class browsing bandwidth remaining percent 30 service-policy internal-browsing-policy interface Serial0/0/0 service-policy output my-network-policy
Internal-Browsing:
60% of Browsing
Browsing:
30% of Excess BW
(=15% of the line)
Remaining:
70% of Excess BW
(=35% of line)
Business-Critical:
High Priority
50% committed
Committed BW
(50% of the line)
Excess BW
(50% of the line)
© 2011 Cisco and/or its affiliates. All rights reserved. 48
Необходимость идентификации приложений
Расширенная
классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 49
• Гарантировать необходимую полосу пропускания для бизнес-критичных приложений
• Обеспечить низкую задержку для чувствительных к ней приложений
• Ограничить или запретить использование полосы пропускания канала WAN нежелательными приложениями
• Маршрутизация приложений на базе информации о производительности в режиме реального времени
• Интеллектуальное распределение полосы обеспечивает гибкость в использовании доступных ресурсов WAN
• Улучшение производительности голоса, видео и бизнес-критичных приложений
Контроль полосы пропускания Контроль маршрута
Internet
No SLA
WAN 1
High SLA
WAN 2
Med SLA
WAN LAN WAN LAN
HTTP
© 2011 Cisco and/or its affiliates. All rights reserved. 50
Расширение методов традиционной
маршрутизации за счёт учёта
информации о текущем состоянии при
выборе маршрутов
Динамический обход “чёрных дыр” и
каналов связи с потерей пакетов в
WAN-сети или Internet
Адаптивная маршрутизация на базе
real-time информации о метриках
производительности
Performance Routing (PfR)
Internet
No SLA
WAN 1
High SLA
WAN 2
Med SLA
WAN LAN
HTTP
Балансировка и распределение
трафика через каналы связи с
различной пропускной способностью
© 2011 Cisco and/or its affiliates. All rights reserved. 51
Protecting critical applications while Maximizing bandwidth utilization
• Защита облачных бизнес-приложений от потерь пакетов
Loss > 10%
• Предпочтительный маршрут для облачных сервисов – ISP1
• Увеличение полосы пропускания для трафика Internet за счёт его распределения между двумя ISP
Cloud Service & Load Balancing Policy
ISP-1 (Primary) ISP-2 (Secondary)
Detect loss >
10%
Cloud Service
Best Effort traffic
Internet
• Защита качества голоса и видео
Latency > 200ms; Jitter > 30ms
• Защита VDI-приложений от потерь пакетов
Loss > 5%
• Предпочтительный маршрут для трафика голоса и видео - SP-A
• Предпочтительный маршрут для трафика VDI-приложений - SP-B
• Увеличение использования полосы пропускания за счёт её распределения между двумя ISP
Multimedia & Critical Data Policy
SP-A (MPLS VPN) SP-B (MPLS VPN)
VDI
Detect high
jitter
Voice&Video
Best Effort traffic
WAN
© 2011 Cisco and/or its affiliates. All rights reserved. 52
WAN1 (IP-VPN)
WAN2 (IPVPN, DMVPN)
MC/BR
MC/BR
BR
BR
HQ
• The Decision Maker: Master Controller (MC) Применение политик, проверка, отчётность
Не требуется передача/анализ пакетов
• The Forwarding Path: Border Router (BR) Изучение, измерение, воздействие
MC
Оптимизация на основе: Reachability, Delay, Loss, Jitter, MOS,
Throughput, Load и/или $Cost MC/BR
BR
MC/BR
BR
© 2011 Cisco and/or its affiliates. All rights reserved. 53
Необходимость идентификации приложений
Расширенная
классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 55
SPAN ERSPAN RSPAN NetFlow CEF VACL WAAS
Cisco Prime NAM для Nexus 1010 NAM 2200 Series Appliance
Cisco Prime NAM для WAAS VB
Унифицированная консоль отчетности
PA
Cat65xx/C76xx NAM1/NAM2 Blades
Cat65xx NAM3 Blade
Cisco Prime NAM для ISR G2 SRE
Cisco ISR G2 NAM Blade
Оперативный сбор, агрегация данных и отчетность по производительности сети и услуг
© 2011 Cisco and/or its affiliates. All rights reserved. 56
Централизованная панель управления производительностью приложений, услуг и пользователей
Отчётность и тренды
Управление несколькими NAM
Анализ пакетов и потоков
Метрики времени отклика приложений TCP
Метрики голоса и видео
Метрики сетевой производительности
Отдельный лицензируемый модуль Cisco Prime Infrastructure 1.2
Корреляция и агрегация данных для быстрой диагностики
© 2011 Cisco and/or its affiliates. All rights reserved. 57
• Предоставляет информацию о сетевой инфраструктуре с детализацией о загрузке процессора, памяти, интерфейсов и т.д.
© 2011 Cisco and/or its affiliates. All rights reserved. 58
flow record type mace mace-record
collect datalink mac source address input
collect ipv4 dscp
collect interface input
collect interface output
collect application name
collect counter client bytes
collect counter server bytes
collect counter client packets
collect counter server packets
collect art all
Сбор информации об объёмах
передаваемого трафика Кто загружает сеть приложением
Bittorrent?
© 2011 Cisco and/or its affiliates. All rights reserved. 59
Обнаружение наиболее активных
пользователей, использующих bittorrent
Обнаружение приложений, которые
использует пользователь
© 2011 Cisco and/or its affiliates. All rights reserved. 60
• Различные метрики оценки работы приложений: время отклика приложений для пользователей, время отклика серверов/сайтов, время транзакций и т.д.
© 2011 Cisco and/or its affiliates. All rights reserved. 61
• Сбор метрик Medianet по производительности для голоса и видео: jitter, loss и т.д.
• Сбор статистики для голосовых приложений (MOS и т.д.), предоставляемой NAM
© 2011 Cisco and/or its affiliates. All rights reserved. 63
Необходимость идентификации приложений
Расширенная
классификация
NBAR2
Metadata
Анализ и мониторинг
Flexible Netflow
Performance Monitoring
Контроль приложений
Quality of Service (QoS)
Performance Routing (PfR)
Управление
Заключение
© 2011 Cisco and/or its affiliates. All rights reserved. 64
Какие приложения работают в сети?
Пользователи сообщают о сбоях в работе
приложений, как обнаружить и
изолировать эти проблемы?
Пользователи сообщают о проблемах с
качеством работы аудио и видео, как
определить и изолировать эти проблемы?
Необходимо обеспечить мониторинг
качества работы приложений Oracle для
удалённых пользователей ЦОД
YouTube и BitTorrent перегружают мою
сети
Использовать NBAR2 на уровне агрегации
WAN, Internet edge, Datacenter edge или
маршрутизаторе филиала
Использовать IOS PA на маршрутизаторе
филиала и получить информацию о
задержках по каждому сегменту.
Использовать IOS PerfMon на филиальном
маршрутизаторе. Обнаружить и устранить
неисправности при помощи Mediatrace.
Использовать IOS PA на филиальном
маршрутизаторе и обеспечить мониторинг
времени транзакций и задержки серверов
Использовать NBAR2 и политики QoS для
ограничения трафика нежелательных
приложений. Маркировать внутренний
трафик более высоким приоритетом
© 2011 Cisco and/or its affiliates. All rights reserved. 65
IOS 15.2(2)T1 IOS XE 3.4S
• NBAR2
• Performance Agent
• Performance Monitor
• Flexible Netflow
• QoS
• NBAR2
• Performance Monitor
• Flexible Netflow
• QoS
• Cisco Prime Infrastructure
1.2 с лицензией Assurance
• Cisco Prime NAM 5.1(3)
Branch Headend/Internet Management
ISR G2 ASR 1000 Cisco Prime
© 2011 Cisco and/or its affiliates. All rights reserved. 66
Платформа Лицензия
800 Advanced IP Services
1900 Data License
2900 Data License
3900 Data License
ASR1K Advanced IP Services/Advanced Enterprise
Services
ISR G2 1900/2900/3900 - бесплатная временная Data-лицензия на 60 дней
Prime Assurance Manager – бесплатная evaluation-версия на 60 дней
© 2011 Cisco and/or its affiliates. All rights reserved. 67
AVC обеспечивает идентификацию приложений и предоставляет информацию о работе приложений в сети
AVC обеспечивает контроль для каждого приложения, управление использованием сетевых ресурсов и улучшает работу приложений в сети
AVC предоставляет богатые возможности для упрощения процедур поиска и устранения неисправностей в сети
AVC – интегрированное решение в маршрутизаторы Cisco ISR G2 и ASR1K
© 2011 Cisco and/or its affiliates. All rights reserved. 68
• Application Visibility and Control - http://www.cisco.com/go/avc
• NBAR - http://www.cisco.com/go/nbar и http://www.cisco.com/en/US/partner/docs/ios/ios_xe/qos/configuration/guide/clsfy_traffic_nbar_xe.html
• Flexible Netflow - http://www.cisco.com/go/netflow
• Performance Agent -
http://www.cisco.com/en/US/products/ps11671/index.html
• Performance Monitor - http://www.cisco.com/en/US/partner/docs/ios/media_monitoring/configuration/guide/mm_pasv_mon.html
• Performance Routing - http://www.cisco.com/go/pfr
• Prime NAM - http://www.cisco.com/go/nam
• Prime Assurance Manager - http://www.cisco.com/go/pam
© 2011 Cisco and/or its affiliates. All rights reserved. 70
Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua