Cisco ACI 4.0 революционная концепция сетевой инфраструктуры ЦОД.

Transcription

1 Cisco ACI 4.0 революционная концепция сетевой инфраструктуры ЦОД. Любая рабочая нагрузка, любой гипервизор, любое местоположение Виктор Подкорытов Cisco SE Сервера Cisco Forum Kyiv 2015 Cisco and/or its affiliates. All rights reserved. 1

2 Необходима НОВАЯ Операционная модель Традиционная СЕТЕВАЯ МОДЕЛЬ SDN МОДЕЛЬ НОВОЕ ПОКОЛЕНИЕ СЕТЬ КОРОБОК Software-Based Network Virtualization APP-CENTRIC INFRASTRUCTURE Существующая Модель 2 Сети вместо 1 Едины Сеть и Автоматизация Гибкость и HW производи-сть Cisco and/or its affiliates. All rights reserved. Applications Drive Development Network 2

3 Cisco ACI на рынке

4 4 Заказчики по всему миру!

5 ACI: Целостная, автоматизированная и простая Сеть Опорная сеть отделена от Сетей заказчика Сетевой Профиль Сервиса SPINE APIC Контроллер ANSIBLE Плагин App/EPG/Infra NX-OSподобный HEALTH SCORE Easy APIC для GUI vcenter Library troubleshooting CLI LEAF Site1 L3 IP VXLANSite2 Nexus 9000 Physical Networking Nexus 7K Nexus 2K Hypervisors and Virtual Networking Compute L4 L7 Services Storage Multi DC WAN and Cloud Integrated WAN Edge Сервера Physical & Virtual ACI Делает Сеть Проще!

6 App Center Apps Programmable Infrastructure: Open APIs for Value Added Applications AlgoSec App Dynamics Tetration Cisco UCS Get Your Fabric A Score On Security And Compliance. Path Analysis Discover Application Dependencies and Define Application Network Profile Provisioning UCS uplinks from APIC with M integration (ESXi, Hyper-V, etc Connectivity and Compliance Application Performance Monitoring Smart Tenant Deployment ACI UCS Integration ECOSYSTEM Apps BRKACI

7 Как сложно ACI запустить? 1 Подключить все LEAF к SPINE Подключить Контроллеры к LEAF SPINE LEAF ACI Делает Сеть Проще!

8 Как сложно ACI запустить? Подключиться Консолью к APIC 2 Следуйте указаниям мастера начальной настройки SPINE LEAF ACI Делает Сеть Проще!

9 Как сложно ACI запустить? ACI Делает Сеть Проще!

10 ACI: Как сложно это запустить? Adding elements to the ACI Fabric and automating VXLAN

11 ACI: Как сложно это запустить? What tasks & configuration did ACI just saved me from doing manually on every switch РАНЕЕ ACI External to Internal Route redistribution (MBGP) Multicast and Control Plane (MBGP) Overlay Network (VXLAN) Underlay Routed Network (IS-IS) SSH to every switch, Assign IP Address, Enable Telnet/SSH, Add users on every switch/create ACLs (optional) (Times X Switches & Y VNIs) Switch management (Inband or Out-of-Band options) ACI Автоматизирует задачи за секунды!

12 ACI: Единое и простое управление Для всего Сетевого

13 ACI Anywhere Расширяем просто Управляем во множеством ЦОД как Одним из одного инструмента ACI Multi-POD ACI Remote-Leaf ACI Multicloud Multiple Networks (Pods) in a single Availability Zone (Fabric) ACI 3.0 Physical Remote Leaf extends an Availability Zone (Fabric) to remote locations ACI 4.0 ACI Extensions to Public Clouds ACI 2.0 ACI Multi-Site ACI 3.1 ACI vpod CY19 Multiple Availability Zones (Fabrics) in a Single Region and Multi-Region Policy Management Virtual POD extends an Availability Zone (Fabric) to remote locations on standard s

14 ACI Multipod Any Routed Network (IPN) Other Rooms/DCs Active-Active DCs Pod N Pod 1 Pod 2 Multicast on IPN needed & Jumbo Frames (<=1550) <= 50 ms RTT Required Up to 12 Pods, distributed gateway Single central management (APIC) Automated L2 DCI VXLAN extension

15 ACI Multi-Site Site N Any Routed Network Other Rooms/DCs Site1 Site 2 Multi-Site Orchestrator (MSO) 3 Cluster No Multicast Phased Changes (Zones) <= 1s RTT Required (MSO à APIC) Up to 12 Sites, distributed gateway Single central management (MSO) Automated L2 DCI VXLAN extension

16 ACI Multi-Site Требование к Оборудованию и ПО Поддерживаются все ACI LEAF Any Routed Network Can have only a subset of spines connecting to the IP network Модульные SPINE с EX/FX картами 1 st Gen 1 st Gen -EX -EX Фиксированные SPINE 9364c или 9332x 1-е поколение SPINE (9336PQ)

17 ACI Remote Leaf RL Remote Location A Any Routed IP Network Satellite DC RL Remote Location B Pod 1 Brownfield RL Remote Location C Telco/Co-lo Zero Touch Auto Discovery of Remote Leaf <= 300 ms RTT Required Up to 20 Remote Locations Single central management Automated L2 VXLAN extension

18 ACI Remote Leaf Сеть удаленной серверной за 2 минуты Data Center 1 (ACI Pod 1) DHCP Offer ACI (Central Network Control Plane) Data Center 2 (ACI Pod 2) IPN IP Network Nexus 9000 (DC Network) VXLAN L2 Extension Nexus 9000 (DC Network) WAN Local Router OSPF Area /24 1/52 DHCP Request Nexus 9000 (Remote Leaf Network) Zero Touch Auto Discovery of Remote Leaf <= 300 ms RTT Required Up to 20 Remote Locations Single central management Automated L2 VXLAN extension

19 ACI Remote Leaf

20 ACI Remote Leaf Требование к Оборудованию и ПО ACI Основной ЦОД Фиксированные SPINE N9364C N9332C Модульные SPINE N9732C-EX N9736C-FX Удаленная Серверная N93180YC-EX N93108TC-EX N93180LC-EX N93180YC-FX N93108TC-FX N9348GC-FXP N9336C-FX2 Все оборудования начиная с EX серии

21 ACI vpod Data Center A ACI VPod Pod 2 Any Routed IP Network Bare Metal Cloud ACI Virtual Edge Data Center B ACI VPod Pod 1 ACI Virtual Edge Pod 3 Brownfield Data Center C ACI VPod Pod 4 ACI Virtual Edge Virtual Spine/Leaf Functionality w/ave integration Up to 64 AVEs per vpod Co-location/Remote DC Single central management Automated L2 VXLAN extension

22 ACI vpod Требование к Оборудованию и ПО Основной ЦОД Фиксированные SPINE N9364C N9332C Модульные SPINE N9732C-EX с N9K-C950x-FM-E(2) N9736C-FX с N9K-C950x-FM-E(2) Контроллер APIC ACI 4.0+ Виртуальный vpod ware vcenter начиная с сервера для управляющего кластера ESXi 6.0 or 6.5 Каждый 2x vspine (x2) х 4vCPU, 16 GB RAM 80 GB Каждый AVE (1 на ESXi) 2x vleaf(x2) 2vCPU, 8 GB RAM and 8 GB storage

23 ACI vpod Лицензирование Management Cluster Лицензия Cisco ACI Virtual Edge AVE (vpod Mode) на Сервер AVE (vpod Mode) на Сервер AVE (vpod Mode) на Сервер До 64 AVE на vpod (8 в 4.0 релизе) AVE НЕ лицензируется не в vpod J

24 ACI Multicloud Multi-Site Orchestrator (MSO) Скоро Site 1 Site 2 On-Premise DC Public Cloud VXLAN AWS Region EPG Web Contract EPG APP Contract EPG DB IP Network SG Web SG Rule SG APP SG Rule SG DB Discovery & Visibility Policy Translation CSR-1Kv/Direct- Connect integration Single Point Of Orchestration Operational Consistency

25 Cisco Data Center Архитектурные бизнес выгоды Безопасная Простая Сеть ACI ВЕЗДЕ 1 Единообразная и автоматизированная настройка и мониторинг Для Физической, Виртуальной и Контейнерной Сети 200+ Коммутаторов управляются как ОДИН 79% Скорость настройки Сети 3 Секунды откат на проверенную конфигурацию ACI (rollbacks) Безопасность Микро-сегментация везде! & Multicloud consistent policy Унификация IP, FC и FCoE Автоматизация Switch discovery & configuration (even at remote sites) Масштабируемость ACI supports any bandwidth 100M/1/10/25/40/50/100/400G Интеграция Data Center Interconnect (VXLAN) and Monitoring (at no additional cost)

26 Проще Декларация намерения, трансляция в политику и проверка целостности SDN Сеть Cisco для ЦОД Безопаснее Автоматизированная конфигурация сети и / или политики на любом облаке ACI Правильная и оптимизированная Непрерывная проверка, понимание и видимость плюс корректирующие действия

27 ACI: Настраиваем по новому,... Проще! ПЕРЕД ACI Физические Сети/VRF We would purchase separate networks and assign different IP subnets to each (Prod, Test, etc) Создание Tenant You can partition your ACI Fabric & have up to 3000 Tenants even using the same IP subnets with no conflict Tenant Test Tenant Prod Test IP Change Production ACI The network made simple

28 ACI: Настраиваем по новому,... Проще! Easy as Создаем Теннант: 1

29 ACI: Настраиваем по новому,... Проще! БЫЛО Unclear network connectity Show VLAN would show all and every VLAN per-switch without understanding how they connect between each other ACI Create Application Profiles An Application Profile is a graphical representation of our network configuration. Think of it as a folder of VLANs at the Fabric level. A Tenant may have multiple Application Profiles Application Profile App ACI The network made simple Switch 1 Switch 5 Switch 2 Switch 6

30 Инновационный подход к описанию сети CRM APP WEB APP DB OUTSIDE F/W ADC SLB Что такое Политика Приложения? Группа: Набор или физических серверов с одинаковой политикой Контракт: Набор правил (ACL) взаимодействия между группами Сервисная Цепочка: Набор сетевых сервисов между группами Cisco and/or its affiliates. All rights reserved. 30

31 ACI: Настраиваем по новому,... Проще! Создаем Сетевой Сервис Приложения 2

32 ACI: Настраиваем по новому,... Проще! Создаем Группу Серверов БЫЛО Создаем VLAN Add VLANs per Switch, name each of them and then configure trunks to extend connectivity. Additionally configure HSRP/VRRP for Gateways at the distribution/core layer ACI Создаем End Point Groups (EPGs) We will create an EPG and name it just as we would with a VLAN. You may also add one Bridge Domain per EPG with an IP address (just like an SVI) in case you want ACI Anycast Gateway functionality Collapsed Core Access Layer HSRP/VRRP Gateways 802.1q Switch(config)#vlan 1 Switch(config-vlan)#name Netweaver Switch(config)#vlan 2 Switch(config-vlan)#name HANA Switch(config)#int e1/1 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 1-2 Switch(config)#feature hsrp Switch(config)#interface vlan 1 Switch(config-if)#ip address Switch(config-if)#no shut Switch(config-if)#hsrp 1 Switch(config-hsrp)#ip Switch(config-hsrp)#priority 100 Switch(config-hsrp)#preempt Switch(config-hsrp)#no shut Switch(config)#interface vlan 2 Switch(config-if)#ip address Switch(config-if)#no shut Switch(config-if)#hsrp 2 Switch(config-hsrp)#ip Switch(config-hsrp)#priority 100 Switch(config-hsrp)#preempt Switch(config-hsrp)#no shut EPG Netweaver VXLAN Anycast GW Spine Layer Leaf Layer BD BD EPG HANA

33 ACI: Настраиваем по новому,... Проще! Создаем End Point Groups (EPGs) 3

34 ACI: Настраиваем по новому,... Проще! ACI The network made simple БЫЛО Создаем ACL per Switch/Port Specify the type of traffic you want each switch to allow ACI Создаем Контракты We will create a Contract to specify how 2 EPGs may talk between each other. This contract will be pushed to the whole fabric (physical, virtual, etc) consistently. NO complex IP + Ports to specify like ACLs HSRP/VRRP Gateways Collapsed Core Spine Layer 802.1q Access Layer Contract SAP_POLICY Filters permit icmp permit tcp eq 80 (Bidirectional) VXLAN Anycast GW Leaf Layer Switch(config)#ip access-list extended name SAP_POLICY Switch(config-acl)#10 permit icmp any any Switch(config-acl)#20 permit tcp any any eq 80 Switch(config-acl)#30 permit tcp any eq 80 any Switch(config)#int e1/1 Switch(config-if)#ip access-group SAP_POLICY in Switch(config-if)#ip access-group SAP_POLICY out BD BD EPG Netweaver ICMP FCoE EPG HANA

35 ACI: Настраиваем по новому,... Проще! Easy as Создаем Контракты 4

36 ACI Политика по умолчанию Zero Trust TRUST BASED ON LOCATION (Traditional DC Switch) ZERO TRUST ARCHITECTURE (Nexus 9000 with ACI) EPG 1 WEB EPG 2 APP Cisco and/or its affiliates. All rights reserved. Whitelist policy = Explicitly configured ACI contract between EPG 1 and EPG 2 allowing traffic between their members ACI architecture allows flexible EPG membership, enabling wide range of security policies 36

37 УПРОЩЕНИЕ ACL / интеграции сетевых сервисов Device Package Device Specification <dev type= f5 > <service type= slb > <param name= vip > <dev ident <validator= ip <hidden= no > <locked= yes > Файл с описанием Возможностей Устройства FW/SLB/DDoS Device Model APIC Script Interface Device-Specific Python Scripts Device Interface: REST/CLI Script Engine Cisco and/or its affiliates. All rights reserved. Service Device Cisco ASA / ASAv, SLB и т.п. 37

38 Что такое Сервисный Граф? EPG Web Contract EPG App Service Graph Network automation ACI Fabric Web App Device automation

39 Кластер FW между сайтами IPN Cluster 39

40 useg EPG Интеграция FMC с APIC: Rapid Threat Containment FMC Remediation Module для APIC Шаг 4: APIC быстро перемещает заражённый узел в карантинную микросегментационную useg EPG Шаг 3: На основании события атаки срабатывает remediation модуль для APIC, использующий API для сообщения APIC о зараженном узле 4 ACI Fabric 3 1 FMC Infected App1 App EPG App2 2 DB EPG Шаг 1: Заражённый узел начинает атаку, обнаруживаемую и блокируемую NGFW(v), FirePOWER Services в ASA или FirePOWER appliance Шаг 2: Событие о попытке вторжения генерируется и передаётся на FMC с информацией о заражённом хосте

41 Security Certifications Certification ACI Done Done Done Vulnerability Scanners Nessus, Norad Corona, AppScan Done (Ran every release) Done

42 План реагирования на угрозы безопасности Задаем политики для Сети Multiple levels of policy sets Applied globally Ограничение распространения

43 Инструментарий (микро)сегментации Cisco ACI EPG и контракты Модель политик ACI Микросегментация с использованием атрибутов Изоляция внутри EPG Интеграция с сервисами L4/L7

44 ACI Stateful Distributed Firewall with AVE VLAN Protocol Source IP Source Port Dst IP Dst Port VLAN Protocol Source IP Source Port Dst IP Dst Port A TCP IP_A 1234 IP_B 80 A TCP IP_B 80 IP_A 1234 Consumer A B TCP IP_A 1234 IP_B 80 B TCP IP_B 80 IP_A 1234 Provider B OpFlex OpFlex AVE AVE SYN + ACK attack FAIL ware ESXi Server ware ESXi Server

45 Микросегментация на основании Active Directory Включить политику микросегментации на основе Active Directory. Динамически отслеживать активность AD и применять политику при входе пользователя в систему

46 2010 Cisco and/or its affiliates. All rights reserved. Cisco 46

47 ACI: Настраиваем по новому,... Проще! БЫЛО ACI ACI The network made simple Configure IP Routing Configure the routing protocol you may need on each switch/router to learn routes coming from the outside OSPF Router Create L3 Out Specify on which leaf and port of the fabric you want to enable external routing. Those routes will be imported inside the ACI Fabric with BGP (autoconfigured) and Spines will serve as Route Reflectors. L3 Outs need a contract to communicate to EPGs and BDs need to be associated to L3 Outs HSRP/VRRP Gateways 802.1q Switch(config)#router ospf 1 Switch(config)#interface e1/1 Switch(config)#ip address Switch(config-if)#ip ospf network point-to-point Switch(config-if)#ip router ospf 1 area 0 Switch(config-if)#ip ospf mtu ignore Collapsed Core Access Layer L3Out Internet Leaf 1 Int 1/15 ospf area 0 network p2p mtu ignore IP /24 Contract Internet (EPGàL3Out) BD EPG Netweaver BGP RRs Leaf 1 1/15 Spine Layer Leaf Layer permit any (bidirectional) OSPF L3 Out Router

48 ACI: Настраиваем по новому,... Проще! Easy as Создаем L3Out 5

49 Миграция с Существующей Сети в ACI Easy as Nexus 7000 (or L2/L3 Boundary) Существующая Сеть ЦОД HSRP/VRRP L3 Internet/WAN Contract L3 VLAN 1 à EPG 1 VLAN 2 à EPG 2 Новая ACI Фабрика Gateways Nexus 9000 Spine Layer 1) Redundant-NIC Server failover (disconnect standby NIC from legacy & connect to ACI) 2) Assign EPG 2 to End-Point, communication within the same EPGàVLAN allowed by default 3) Inter-EPG/EPGàVLAN Communication routed by existing gateway requiring a contract on ACI 4) Migrate Gateway to ACI (Anycast Gateway) when ready. Repeat q 802.1q VXLAN Nexus 5000 (or L2 Access/ToR) Anycast GW Nexus 9000 Leaf Layer VLAN /24 VLAN /24 Contract permit ip any any EPG 1 EPG 2 APIC Cluster

50 Миграция с Существующей Сети в ACI Easy as Your existing network Your new ACI Fabric 5) Once all servers are migrated to the ACI Fabric, you may remove your old gear Nexus 7000 (or L2/L3 Boundary) Internet/WAN Contract L3 VLAN 1 à EPG 1 VLAN 2 à EPG 2 If you add more leaves or spines, APIC will auto-discover and autoconfigure them. It is that SIMPLE! Nexus 9000 Spine Layer 802.1q 802.1q VXLAN Nexus 5000 (or L2 Access/ToR) Anycast GW Nexus 9000 Leaf Layer APIC Cluster VLAN / / /24 EPG 1 EPG 2 Non-disruptive At your own pace Nexus 7K/5K and legacy networking migration Simplify & secure your DC network Integrate virtual & cloud

51 Миграция с Существующей Сети в ACI Your existing network Nexus 5000 VLAN 2143 IP Address VLAN 2143 à EPG NETWEAVER Your new ACI Fabric 802.1q Nexus 9000 Spine Layer VXLAN Anycast GW Nexus 9000 Leaf Layer APIC Cluster DEMO-NETWEAVER DEMO-HANA EPG NETWEAVER EPG HANA

52 Целостная Безопасная и Закриптованная ACI 4.0 MultiSite Orchestrator 2.0 Data Center 1 (ACI Site 1) v v v v ACI MultiSite Orchestrator Data Center 2 (ACI Site 2) CloudSec ISN CloudSec Nexus 9000 (LAN Network) VXLAN L2 Extension Nexus 9000 (LAN Network) FC MDS MDS DCNM Intersight Intersight Web Server 1 IIS Web Server 2 Apache Ware Cluster UCS C240 FCoE Cisco FTD Site Replicated Cisco FTD UCS C240 FCoE Web Server 3 IIS Web Server 4 Apache marketplace-1.cisco.com WAN WAN marketplace-2.cisco.com Simple provisioning Integrated L4-L7 Service-Chaining One-Click Encryption

53 Enhanced Monitoring Powered by ACI 4.0 AppD & Network Insights Tetration Cloud Center CWOM NAE Data Center 1 (ACI Site 1) Network Insights - Resources (NIR) ACI MultiSite Orchestrator Network Insights Resources (NIR) Data Center 2 (ACI Site 2) Nexus 9000 FX (LAN Network) Nexus 9000 FX (LAN Network) FC MDS MDS Intersight DCNM Intersight UCS C240 FCoE Cisco FTD Site Replicated Cisco FTD UCS C240 FCoE Ware Cluster WAN GSLB WAN Optimized Resources Secure Data Center Better visibility and correlation

54 Start Small vapic/aci Mini Virtual Networks Physical Networks 100M/1/10/25/40/50/100/400G* LAN & SAN FC NPV Support ACI 4.0 Always Secure CloudSec Encrypted VXLAN Cloud * * Containers On any hardware ACI vpod* (vspine/vleaf) Any Scale, Any App, Anywhere *Post GA

55 ACI : Рекомендуемый путь обучения Day 1 Day 2 Day 3 Day 4 Test Drive (2 day ILT) Who delivers it Firefly, GK Objective: Introduction Beginner Understand how to implement ILT and e-learnings Cisco Intermediate Understand how to implement and operate ILT Cisco Advanced Understand how to operate and troubleshoot ILT Cisco Skyline Lumos Lumos Coursera (soon) BTA, NIL, etc Housley NetAcad (soon) Mira, OneCloud, etc Firefly, Lumos, etc ACI The network made simple

56