Маршрутизаторы Cisco ISR серии 4000
Cisco ISR 4000 – универсальное решение на базе модульной операционной системы IOS XE Software для построения корпоративной распределенной сети, в том числе с использованием технологии Cisco Intelligent WAN (IWAN). С помощью Cisco IWAN осуществляется динамическая маршрутизация трафика приложений с выбором оптимального канала связи на основе сформированной политики и с учетом текущего состояния сети. Это позволяет гарантировать требуемые производительность приложений и конфиденциальность передаваемых данных, контролировать использование полосы пропускания и состояние соединений WAN.
Помимо оптимизации WAN-каналов, в решении объединены возможности унифицированных коммуникаций, поддержка корпоративных распределенных вычислений за счет использования серверных модулей UCS-E, средства обеспечения сетевой безопасности. В условиях стремительной трансформации бизнеса, роста трафика данных и перехода большинства бизнес-процессов в онлайн, оборудование предоставляет необходимые скорость, масштабируемость и сервисы.
Маршрутизаторы Cisco ISR 4331 и 4321 оптимально подходят для подключения офисов с требованиями к пропускной способности от 50 до 300 Мбит/с. Платформа предусматривает поэтапное наращивание функциональности и производительности, которую, по мере обновления лицензии, можно увеличить без аппаратной модернизации и в тот момент, когда это действительно требуется. При этом производительность предсказуема и не зависит от количества и типа настроенных сетевых сервисов. Разделение трафика данных, контроля и сервисов позволяет достигать максимальной эффективности, а также обеспечивать непрерывное функционирование сервисов, в том числе в случае сбоя. Это дает возможность задействовать на одной платформе такие актуальные технологии, как VPN, межсетевой экран, контроль приложений, выбор маршрута, оптимизация WAN, передача голоса, видеонаблюдение и т. д.
Встроенная в модульную платформу IOS XE виртуализация на основе контейнеров KVM обеспечивает запуск приложений на процессоре ISR 4000, в том числе функций шифрования, соответствующих стандартам ГОСТ. С помощью технологии Cisco PnP можно осуществлять поддержку автоматического удаленного развертывания маршрутизаторов. Кроме того, оборудование обеспечивает интеллектуальное распознавание и управление трафиком сетевых приложений в корпоративной сети заказчика благодаря технологии Application Visibility and Control.
Немного о производительности сетевого оборудования Cisco
В этом году мы опубликовали две статьи, связанные со сравнением функциональности маршрутизаторов и межсетевых экранов компании Cisco, а также с обзором разделения control и data plane в сетевом оборудовании. В комментариях к этим статьям был затронут вопрос производительности сетевого оборудования. А именно как зависит производительность маршрутизаторов Cisco разных поколений от включения на них тех или иных сервисов. Так же обсуждалась тема производительности межсетевых экранов Cisco ASA. В связи с этим возникло желание посмотреть на эти вопросы с практической стороны, подкрепив известные моменты цифрами. О том, что получилось и, что получилось не очень, расскажу под катом.
Под производительностью будем подразумевать пропускную способность устройства, измеряемую в Мбит/с. Стенд для тестирования представлял из себя два ноутбука, с установленной программой iPerf3. Методика испытания – достаточно проста. iPerf3 запускался в режиме передачи пакетов по протоколу TCP. Использовалось 5 потоков. Я не ставил перед собой цели определить реальную производительность устройств. Для этой задачи необходима более сложная экипировка, так как требуется воссоздавать паттерны трафика реальной сети. Да и мерить нужно было бы количество обрабатываемых пакетов. У нас же основной задачей была оценка влияния использования различных сервисов на работу устройства, а также сравнение результатов, полученных на различных устройствах. Таким образом, выбранный инструментарий на первый взгляд казался достаточно подходящим для поставленных задач.
Cisco Integrated Services Router (ISR) Generation 1 и 2
Для начала из коробки были взяты два младших маршрутизатора Cisco 871 и 881. Это маршрутизаторы разных поколений (871 более старый – G1, а 881 более новый – G2), которые обычно ставятся в небольшие офисы, например, в удалённые филиалы компании.
Исследуемые маршрутизаторы имеют сходные черты в плане программной и аппаратной архитектуры: операционная система – Cisco IOS, «мозг» устройств – SoC MPC 8272 в 871 и SoC MPC 8300 в 881.
Тестирование затрагивало маршрутизацию трафика (L3-коммутацию) на базе CEF и Process Switching. Оба режима работы на исследуемых устройствах являются программной обработкой пакетов. Разница в том, как именно маршрутизатор принимает решение куда отправить пакет. В случае Process Switching маршрутизатор для каждого пакета определяет, куда его передать и формирует/модифицирует необходимые заголовки в рамках отдельного процесса на основании таблицы маршрутизации и L2-таблиц. Происходит так называемая процессорная обработка. В случае CEF маршрутизатор использует заранее подготовленные специальным образом таблицы FIB (таблица префиксов) и Adjacency (таблица данных по соседям), которые позволяют существенно снизить нагрузку на ЦПУ и повысить скорость обработки пакета внутри устройства.
Для более наглядного сравнения данные по разным устройствам нанесены на один график (рисунок 1).
Общая загрузку ЦПУ составляет 47%. Из них 42% уходит на обработку прерываний, вызванных передачей пакетов. Прерывания при передаче пакетов бывают двух типов: прерывание получения и прерывание передачи пакета. Прерывание получения пакета инициируется интерфейсным процессором, когда пакет получен через интерфейс маршрутизатора и он готов к обработке. Получив такое прерывание ЦПУ прекращает обработку текущих процессов, и начинает выполнять обработку пакета. Так как включен режим CEF, ЦПУ принимает решение, куда передать пакет на основании таблиц CEF (FIB и Adjacency) во время прерывания. Т.е. ему не требуется отправлять пакет на процессорную обработку, а значит существенно экономятся процессорные мощности. В связи с этим на процессы в маршрутизаторе тратится лишь 5% загрузки ЦПУ. Прерывание отправки пакета передаётся на ЦПУ, когда пакет был отправлен интерфейсным процессором дальше по каналам связи. ЦПУ реагирует на это прерывание обновлением счётчиков и освобождением памяти, выделенной для хранения пакета. В плане вклада в общую загрузку устройства данное прерывание менее интересно.
Маршрутизация в режиме Process Switching:
Теперь общая загрузка ЦПУ составляет 99%. Причём только 27% уходит на прерывания. Остальные 72% тратятся на выполнение процессов. Процесс IP Input забирает практически 70% процессорного времени. Именно этот процесс отвечает за процессорную обработку пакетов, т.е. тех пакетов, которые не могут быть обработаны во время прерывания (например, отключен CEF или в его таблицах нет нужной информации для передачи, пакеты адресованы непосредственно маршрутизатору или являются широковещательным трафиком и пр.). А так как в нашем примере отключены CEF и Fast Switching (об этом методе я не упоминал в силу его неактуальности), после того как к ЦПУ пришло прерывание получения пакета, ЦПУ отправляет пакет на процессорную обработку. Прерывание завершается и ЦПУ обрабатывает пакет непосредственно в рамках одного из своих процессов. Поэтому мы и видим такую утилизацию ЦПУ процессом IP Input.
Ещё интересно будет посмотреть на загрузку ЦПУ в случае ACL с опцией log.
Опция log в ACL заставляет маршрутизатор каждый пакеты отправлять на процессорную обработку, признаком чего, как и в предыдущем примере, является высокая утилизация ЦПУ процессом IP Input.
Давайте посмотрим теперь на такое устройство как межсетевой экран Cisco ASA 5505. Можно сказать, что ASA 5505 – это аналогичное маршрутизатору Cisco 881 устройство в плане позиционирования (для небольших офисов и филиалов). Эти устройства примерно из одного ценового сегмента и обладают относительно сходными аппаратными характеристиками. В ASA 5505 используется ЦПУ AMD Geode с тактовой частотой 500 MHz. Самое главное отличие –операционная система. В ASA 5505 используется ASA OS. Про различия между маршрутизаторами и ASA в плане функциональности мы говорили в отдельной статье. Посмотрим теперь на производительность ASA и влияния на неё различных сервисов.
Из диаграммы видно, пропускная способность ASA 5505 во всех режимах работы ограничена лишь техническими аспектами стенда. Причём, если мы посмотрим на загрузку ЦПУ, то для всех вариантов она практически идентична:
Идём дальше. Предлагаю посмотреть, как обстоят дела с влиянием сервисов на производительность маршрутизаторов Cisco ISR 4000. Это самая новая линейка маршрутизаторов Cisco для небольших и средних инсталляций. Как мы помним, в этих маршрутизаторах используется операционная система Cisco IOS XE, которая умеет работать в многопоточном режиме. С точки зрения аппаратной начинки, в этих маршрутизаторах используются многоядерные процессоры.
И так достаём из коробки самый младший Cisco ISR 4000 – 4321. Активируем на нём performance license, чтобы получить заявленную максимальную производительность 100 Мбит/с, и начинаем тестировать. Важно отметить, что на маршрутизаторах ISR 4000 всегда используется шейпер, ограничивающий максимальную производительность устройства. Используется два порога: базовая (для 4321 – это 50 Мбит/с) и расширенная (для 4321 – это 100 Мбит/с; активируется лицензией performance license) производительности. Такая схема работы направлена на получение прогнозируемых значений производительности устройства, не позволяя «захлёбывать» от большого количества трафика.
Для начала проверяем производительность чистой маршрутизации в режиме CEF без дополнительных сервисов. Запускаем iPerf3 и получаем 95 Мбит/с. Ожидаемо. Смотрим в этот момент на загрузку ЦПУ:
Вот это результат! Загрузка ЦПУ 1%. Круто! Но не всё так идеально. Понимание данного феномена приходит после более детального изучения специфики работы IOS XE.
IOS XE – это операционная система, созданная на базе Linux’а, тщательно допиленного и оптимизированного вендором. Традиционная операционная система Cisco IOS запускается в виде отдельного Linux процесса (IOSd). Самое интересное заключается в том, что в IOS XE мы имеем отдельный основной процесс, выполняющий функции data plane. Т.е. мы имеем чёткое разделение control и data plane на программном уровне. Процесс, отвечающий за control plane, называется linux_iosd-imag. Это собственно и есть привычным нам IOS. Процесс, отвечающий за data plane, называется qfp-ucode-utah. QFP, знакомо? Сразу вспоминаем про сетевой процессор QuantumFlow Processor в маршрутизаторах ASR 1000. Так как изначально IOS XE появился именно на этих маршрутизаторах, процесс, отвечающий за передачу пакетов, получил аббревиатуру qfp в своём названии. В дальнейшем для ISR 4000, видимо, ничего менять не стали, с одной лишь разницей, что в ISR 4000 QFP является виртуальным (выполняется на отдельных ядрах процессора общего назначения). Кроме озвученных процессов в IOS XE присутствуют и другие вспомогательные процессы.
Таким образом, чтобы посмотреть на сколько загружены процессорные мощности, анализируем вывод следующих команд, специфичных для IOS XE:
В нашем маршрутизаторе используется четыре ядра (CPU 0, 1, 2, и 3). Команда позволяет нам получить информацию по загрузке каждого из них.
Увидеть аппаратную начинку маршрутизатора можно выводом стандартной для Linux информации из файла dmesg: more flash:/tracelogs/dmesg.
В маршрутизаторе ISR 4321 используется процессор:
CPU0: Intel® Atom(TM) CPU C2558 @ 2.40GHz stepping 08
Следующая команда позволяет нам увидеть утилизацию процессорных мощностей различными процессами:
В данном примере, IOS съедает всего 2%, а QFP – 150% (что эквивалентно утилизации одно ядра полностью и ещё одного на половину).
Так, что же в итоге показывает тогда команда «show processes cpu»? Она выводит загрузку виртуального ЦПУ, который был выделен процессу IOSd. Под данный процесс на маршрутизаторах ISR 4000 выделяется одно из ядер ЦПУ.
Из всего этого можно сделать вывод, что в IOS XE архитектура обработки пакетов существенно изменилась по сравнению с обычным IOS. IOS больше не занимается обработкой абсолютно всех пакетов. Данным процессом обрабатываются лишь те пакеты, которые требуют процессорной обработки. Но даже в этом случае в IOS XE используется более новый механизм Fastpath, который реализует передачу пакетов для процессорной обработки посредствам отдельного потока внутри IOSd, а не через прерывания. Прерывания в IOSd возникают только, когда не возможна обработка через Fastpath.
Результаты тестирования представлены на рисунке 3. Для большей наглядности на один график нанесены значения пропускной способности (а они у нас во всех случаях одинаковы) и загрузку ЦПУ процессом QFP. Процесс IOSd не интересен в силу того, что во всех режимах загрузка виртуального ЦПУ внутри IOSd минимальна – 1%.
При проведении тестирования выявить зависимость производительности маршрутизатора ISR 4321 от включения сервисов не удалось. Есть небольшое повышение загрузки CPU, но совсем незначительное. Также стоит отметить, что включение опции log в ACL больше не приводит к драматическим потерям в производительности, так как пакет не отправляется на процессорную обработку.
На примере нескольких устройств разных поколений и типов мы попытались рассмотреть, как зависит производительность от включения различных сервисов. В целом полученные результаты укладываются в ранее известные факты. Америки мы не открыли. Краткие выводы, полученные в результате тестирования, можно сформулировать так:
Isr cisco что это
Маршрутизаторы Cisco с интеграцией сервисов второго поколения устраняют все границы сети благодаря функциям поддержки видео, виртуализации сервисов и превосходным эксплуатационным характеристикам.
Архитектура для передачи видео
Решение ISR G2, созданное специально для передачи видео, совместимо с медиасетями и облегчает совместную работу с помощью универсальных мультимедийных сервисов для филиалов, включая TelePresence, видеонаблюдение, цифровые информационные панели, масштабируемые конференции WebEx и проведение конференций для настольных ПК. Модуль мультимедийных сервисов — это цифровой сигнальный процессор с поддержкой голосовой и видеосвязи, который позволяет объединить в одном модуле и голосовую, и видеосвязь.
Виртуализация сервисов
Модули для развертывания сервисов Cisco (SRE) предоставляют новый уровень гибкости обслуживания, возможности расширения «облака» и развертывание сервисов «по запросу», которые разделяют оборудование и программное обеспечение, позволяя выполнять удаленное развертывание и управление виртуальными сервисами, не обращаясь в службу поддержки.
Превосходные эксплуатационные характеристики
ISR G2 обеспечивает максимальное уменьшение совокупной стоимости владения, упрощая эксплуатацию благодаря единому универсальному образу программного обеспечения Cisco IOS, модулям для развертывания сервисов, инновациям EnergyWise и высокому уровню защиты инвестиций, который обеспечивает быструю окупаемость капиталовложений.
Подробнее
Краткий обзор
Маршрутизаторы Cisco с интеграцией сервисов второго поколения предоставляют безопасную и надежную платформу для масштабируемой интеграции множества сервисов в филиалах предприятий и коммерческих организаций, а также на небольших предприятиях. Они предлагают гибкое предоставление сервисов на единой платформе и пятикратное увеличение производительности. Эти маршрутизаторы следующего поколения обеспечивают превосходное обслуживание заказчиков, масштабируемость архитектуры и защиту инвестиций, необходимые для уменьшения общей стоимости развертывания.
Cisco ASA или Cisco ISR
Перед системным администратором и инженером, проектирующим корпоративную сеть передачи данных, встаёт задача проектирования архитектуры граничного сегмента сети, выбора типа граничного оборудования, количество единиц оборудования и используемых функций. Граничное оборудование — это оборудование, которое с одной стороны соединяет ЛВС организации с сетью Интернет, с другой стороны защищает локальную сеть и корпоративные данные от Интернет угроз.
В качестве граничного оборудования может быть использован маршрутизатор или межсетевой экран, а могут быть использованы оба устройства. В нашей статье мы рассмотрим данные устройства, взяв за основу решения компании Cisco.
Компания ВИСТЛАН предлагает Заказчикам маршрутизаторы и межсетевые экраны Cisco. Cisco ASA — это серия межсетевых экранов, Cisco ISR — это серия сервисных маршрутизаторов.
Маршрутизатор или межсетевой экран
Основная задача маршрутизатора — объединять сети, передавать пакеты между разными сетями и разными сегментами сети, обеспечить передачу пакета с заданным качеством сервиса.
Задача брандмауэра обеспечить безопасность сети независимо от того, будет ли пакет доставлен по назначению, корректно ли время прибытия пакета, направление и т. д. То есть задача обеспечить гарантированную передачу пакета не является целью работы межсетевого экрана, его задача противоположна, его задача — остановить пакет, если он несёт вред сети.
Между тем IS — это уже не просто маршрутизаторы, это роутеры с функциями IP фильтрации. А ASA это — фаерволы с поддержкой многих функций роутеров таких, как динамическая маршрутизация.
Межсетевые ASA 5500-X
Cisco ASA серии 5500-X предоставляет защиту от Интернет угроз, включая защиту от целенаправленных атак и вирусных программ.
Рисунок 1 – Серия ASA 5500-X
Cisco ASA — это популярный в ИТ-среде межсетевой экран. Серия 5500-X обладает следующими функциями:
Рисунок 2 – Схема включения ASA 5500-X
Рисунок 3 – Интерфейс с централизованным управлением устройствами ASA
Тактико-технические характеристики ASA 5500-X
Для сравнения рассмотрим основные характеристики старшей и младшей моделей серии.
| Максимальная пропускная способность | Пропускная способность межсетевого экранирования | Пропускная способность VPN (3DES/AES) | |
| ASA 5506-X | 750 Mb в сек. | 300 Mb в сек. | 100 Mb в сек. |
| ASA 5555-X | 4 Gb в сек. | 2 Gb в сек. | 700 Mb в сек. |
Маршрутизаторы ISR 4000
ISR Cisco семейства 4000 включает все необходимые функции по передаче трафика. Роутеры выполняют несколько параллельных задач без снижения пропускной способности каналов связи:
Рисунок 4 – Маршрутизаторы серии ISR 4000
Семейство ISR Cisco 4000 обладает функционалом программного решения Cisco Software Defined WAN (SDWAN). Cisco SDWAN — это набор интеллектуальных программных приложений, которые позволяют надёжно и безопасно подключать конечные устройства и филиалы через разнообразный набор транспортных каналов сети Интернет. Маршрутизаторы с поддержкой SDWAN, такие, как ISR 4000, динамически маршрутизируют трафик по «лучшему» каналу связи, принимают решения по интеллектуальным алгоритмам, что обеспечивает:
Технология DNA — архитектура цифровых сетей
Архитектура цифровых сетей – это открытая, расширяемая, программно-управляемая архитектура. Cisco DNA использует сетевые интеллектуальные алгоритмы, которые помогают организациям автоматизировать, упростить и обезопасить сеть. Основные преимущества технологии DNA:
Рисунок 5 – Панель управления Cisco DNA Center
Модуль Firepower для ISR
Модуль Cisco Firepower для ISR расширяет для маршрутизаторов ISR возможности по защите устройств в сети.
Рисунок 6 – Cisco FirePOWER на блейд-платформе Cisco Series Unified Computing System E
Cisco Firepower для ISR — это те же компоненты безопасности:
Тактико-технические характеристики ISR 4000
Для сравнения рассмотрим основные характеристики старшей и младшей моделей серии.
| Пропускная способность (max) | Пропускная способность (VPN AES) | |
| ISR 4221 | 1,2 Gb в сек. | 100 Mb в сек. |
| ISR 4461 | 10 Gb в сек. | 7 Gb в сек. |
Заключение
В этой статье мы увидели, что маршрутизатор ISR 4000 — это устройство с функционалом межсетевого экрана. В одном устройстве есть функции маршрутизации и функции защиты.
Межсетевой экран ASA 5500-X — это устройство с функционалом маршрутизатора, в одном устройстве есть функции защиты и функции маршрутизации.
Обе серии имеют схожие ТТХ и набор функций. В чём тогда различие? Дело в том, что если вы подключаете к Интернету небольшое предприятие или филиал, то вы можете использовать устройство из любой линейки, вы закроете все потребности предприятия, а это:
Но всё же ISR 4000 — это больше маршрутизатор, а ASA 5500-X — больше межсетевой экран. Аппаратные и программные компоненты серий оптимизированы для выполнения своих уникальных функций. И если у вас крупное предприятие со сложными бизнес-процессами или у вас Дата-центр с большим количеством сервисов и приложений, вам придётся использовать оборудования обоих классов, только в этом случае ваши приложения будут выполняться с минимальными сетевыми задержками, и вы будете конкурентны на рынке.
Рисунок 7 – Сетевая инфраструктура Центра обработки данных
В чем отличия между Cisco ASA и Cisco ISR и как выбрать устройство для вашей сети
Автор
Сергей Калашников, CCIE
Технический директор
На смену решению Cisco ASA пришли устройства Cisco Firepower. Более подробно о решениях Firepower можно почитать у нас в FAQ или посетить Демо-стенд.
В целом, большинство используемых заказчиками протоколов и технологий представлены как на устройствах безопасности Cisco ASA, так и на маршрутизаторах, например:
Однако, Cisco ASA позиционируется как устройство безопасности. Поэтому основные ее функции – межсетевой экран, IPS и VPN концентратор для удаленных пользователей в деталях превосходят аналогичный функционал на маршрутизаторе. Многие функции безопасности работают уже “из коробки”. По умолчанию в Cisco ASA “завинчены все гайки”, в то время как на маршрутизаторе функции безопасности требуется принудительно включать. Рассмотрим, что она умеет очень хорошо, а где имеются ограничения:
Часто этого функционала оказывается достаточно и необходимости устанавливать маршрутизатор нет. Однако есть ряд функций, доступных только для маршрутизаторов:
Ниже приведено сравнение по цене к производительности. За опорные приняты максимальные значения производительности межсетевого экрана и IPSec.
График цены/производительности для межсетевого экрана:
Для ASA на оси стоимости – базовая стоимость платформы. Для маршрутизатора – стоимость SEC bundle, без интерфейсных модулей.
Сравнение по цене к производительности IPSec VPN:
Для маршрутизаторов с лицензией SEC производительность IPSec ограничена 85 Мбит/с в одну сторону (170 двунаправленая). Покупка лицензии HSEC в дополнение к SEC снимает это ограничение. На диаграмме модели начиная с 2951 имеют модуль аппаратного шифрования(VPN ISM), а также лицензию HSEC.
Производительность шифрования IPSec на маршрутизаторе складывается из производительности модуля аппаратного шифрования и программного, исполняемого на CPU маршрутизатора. В то время как на Cisco ASA производительность IPSec не зависит от нагрузки на CPU, т.к. выполняется целиком на ASIC схемах.
Вывод.
Выбор между маршрутизаторами Cisco ISR и устройствами безопасности Cisco ASA в некоторых ситуациях не так прост, как может показаться на первый взгляд. Если требования можно сформулировать так: требуется защитить выход в интернет для пользователей и предоставить удаленный доступ, чтобы сотрудники могли работать из любой точки, тогда можно рекомендовать Cisco ASA. Если же данное устройство должно быть установлено в филиале, тогда маршрутизатор может оказаться более выгодным и гибким решением, поскольку в нем можно совместить большее число сервисов. Если установка планируется в главном офисе компании на границе сети, тогда можно установив в одной сети оба устройства и разделить между ними сервисы: Cisco ASA использовать для МСЭ, фильтрация контента, IPS, VPN для удаленных пользователей, а маршрутизатор – для протоколов динамической маршрутизации (OSPF, EIGRP, BGP), CUBE, site-to-site IPSec, DMVPN и др..
